ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS METODOLOGÍA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ENFOCADO A LAS INDUSTRIAS DE TELECOMUNICACIONES EN EL ECUADOR. TESIS PREVIA A LA OBTENCIÓN DEL GRADO DE MÁSTER EN GESTIÓN DE LAS COMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN. GALLEGOS GUZMÁN FREDDY PATRICIO. [email protected] MURILLO NARANJO MARIO FERNANDO. [email protected] DIRECTOR: ING. CARLOS MONTENEGRO. [email protected] Abril, 2015 I DECLARACIÓN Nosotros, Gallegos Guzmán Freddy Patricio y Murillo Naranjo Mario Fernando, declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que hemos consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedemos nuestros derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Gallegos Guzmán Freddy Murillo Naranjo Mario Patricio. Fernando. II CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Gallegos Guzmán Freddy Patricio y Murillo Naranjo Mario Fernando, bajo mi supervisión. Ing. Carlos Montenegro. DIRECTOR DE PROYECTO III AGRADECIMIENTOS A mi madre que jamás claudico sus ideales de lucha por la familia y permitirme sentir el sabor de la libertad, Gracias por enseñarme que padre y madre eres tú. También quiero manifestar mi agradecimiento a algunos de quienes, directa o indirectamente, contribuyeron al resultado de esta magnífica Tesis, ya que me sería imposible mencionarlos a todos. Pero no puedo dejar de mencionar a mi esposa Diana Carolina Zurita Salazar que me brindó su apoyo, tiempo y dedicación sin ningún tipo de interés, y en particular quiero agradecer al MSc. Carlos Montenegro, por habernos dado muchísimos ejemplos y conocimientos de lo que debe de ser un argumento estructurado. sólido y bien A la “Escuela Politécnica Nacional” por darme el conocimiento y dejar que nuevos horizontes se abran a mi paso profesional, y por permitirme el placer de conocer profesores y amigos que aprecio y valoro Freddy Gallegos G. I AGRADECIMIENTOS Quiero agradecer profundamente a mis padres, a su ejemplo de vida y valores morales inquebrantables, los cuales guían mi vida en todo momento. A mi esposa por ser la compañera fiel de mil batallas y a mis hijas Melanie y Nicole, por recordarme todos los días con su mirada que soy un hombre afortunado. A mi hermana por su ejemplo de tenacidad inspiradora y los buenos consejos. A mi abuelita Carmela que ya no está en esta dimensión; pero, aún logro sentir su presencia y cariño. A mi gran amigo René por su transparencia y honestidad. Además quiero agradecimiento dar al. un sincero Ing. Carlos Montenegro Msc, por su invaluable apoyo profesional en el desarrollo de la presente Tesis y su calidad humana. Mario Murillo N. I DEDICATORIA Quiero dedicar investigación este trabajo de a mi esposa, por acompañarme en cada uno de mis retos que he emprendido en mi vida y ser siempre mi mejor amiga. A “Dios” por permitirme existir y dotarme de los medios y las personas para lograr conseguir hoy dar este paso tan importante para mí, por no dejarme nunca en la oscuridad y sacarme de los problemas en los que yo mismo logre meterme, sin ti no podría lograr este éxito A mi madre amada “Adema Guzmán”, por todo lo que me han dado en esta vida, especialmente por sus sabios consejos y por estar a mi lado en los momentos difíciles. Freddy Gallegos. II DEDICATORIA Este esfuerzo va dedicado a mi hermano Johnny, por ser quien es en mi vida espiritual; quiero a la vez renovar mi compromiso con él, de cumplir la promesa que le hice cuando fuimos niños. Mario Murillo N. I CONTENIDO CAPÍTULO 1. GESTIÓN DE LAS SEGURIDADES EN LAS EMPRESAS DE TELECOMUNICACIONES. ................................................................................................................ 1 1.1. ESTUDIO EXPLORATORIO DEL FRAUDE INFORMÁTICO EN LAS TELCO’S ECUATORIANAS. ..................... 1 1.1.1. INCIDENCIA DEL FRAUDE INFORMÁTICO EN LAS TELCO´S ECUATORIANAS. ................................. 3 1.1.2. CATÁLOGO DE FRAUDE INFORMÁTICO EN LAS TELCO ECUATORIANAS. ...................................... 4 1.1.2.1. Bypass Telefónico. ................................................................................................................................... 5 1.2. ESTUDIO EXPLORATORIO DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN LAS TELCO´S ECUATORIANAS. ........................................................................................................................................... 9 1.2.1. ESTRATEGIA ORGANIZATIVA DE GSI CNT EP. .............................................................................. 11 1.2.2. ESTRATEGIA ORGANIZATIVA DE GSI GRUPO TVCABLE................................................................ 17 1.3. ANÁLISIS DE LOS ESTUDIOS REALIZADOS. ............................................................................................ 24 CAPÍTULO 2. SELECCIÓN, INTEGRACIÓN DE ESTÁNDARES Y MEJORES PRÁCTICAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. ..................................................................... 27 2.1. ESTADO DEL ARTE EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. ............................................... 27 2.1.1. eTOM. [11] ................................................................................................................................... 29 2.1.2. COBIT. [12] ................................................................................................................................... 32 2.1.3. FAMILIA ISO/IEC 27000. 27011. [2] .............................................................................................. 33 2.2. SELECCIÓN DE PROCESOS DE ETOM. .................................................................................................... 35 2.2.1. METODOLOGÍA DE SELECCIÓN DE PROCESOS. ............................................................................ 35 2.2.1.1. Definición de Nomenclatura de Procesos de eTOM. ............................................................................. 35 2.2.1.2. Identificación de Procesos Críticos. ...................................................................................................... 37 2.2.1.3. Evaluación del Nivel de Riesgo aplicado a los procesos críticos. ........................................................... 40 2.2.2. APLICACIÓN DE LA METODOLOGÍA DE SELECCIÓN DE PROCESOS. .............................................. 45 2.2.2.1. Aplicación de procedimiento de identificación de Procesos Críticos. .................................................. 45 2.2.2.2. Aplicación de Evaluación del Nivel de Riesgo a Procesos Críticos. ...................................................... 47 2.3. INTEGRACIÓN DE COBIT 5 E ISO/IEC 27011 A LOS PROCESOS DE ETOM. ............................................. 47 2.3.1. MAPEO COBIT 5 E ISO/IEC 27011. ................................................................................................ 47 2.3.2. MAPEO DE COBIT 5 E ISO/IEC 27011 A LOS PROCESOS DE ETOM. .............................................. 51 CAPÍTULO 3. PROPUESTA METODOLÓGICA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EMPRESAS DE TELECOMUNICACIONES. ............................................ 53 3.1. DEFINICIÓN DE ARQUITECTURA DE LA GSI.......................................................................................... 53 3.1.1. ESTRUCTURA ORGANIZACIONAL DE LA GSI. ................................................................................ 53 3.1.1.1. Roles en la GSI [13] . .............................................................................................................................. 54 3.1.1.2. Comités [13]. ......................................................................................................................................... 56 II 3.1.2. PRINCIPIOS EN LA GSI [13]. .......................................................................................................... 58 3.1.3. LINEAMIENTOS PARA LA DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.60 3.1.3.1. Lineamientos para la Implementación. ................................................................................................. 61 3.1.4. PROCESOS. ................................................................................................................................... 62 3.1.5. MODELO DE MADUREZ DE LA GSI................................................................................................ 63 3.1.6. CICLO DE MEJORA CONTINUA DE LA GSI. .................................................................................... 63 3.1.6.1. Enfoque de mejoramiento continuo para la GSI. .................................................................................. 64 3.2. DESARROLLO DE PROPUESTA METODOLÓGICA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. .. 67 3.2.1. METODOLOGÍA DE GSI. ................................................................................................................ 68 3.2.1.1. CHECK/STUDY (VERIFICAR/ESTUDIO). .................................................................................................. 68 3.2.1.2. ACT (ACCIONES Y/O MEJORAS). ........................................................................................................... 68 3.2.1.3. PLAN (PLANIFICAR). ............................................................................................................................... 68 3.2.1.4. DO (HACER). ......................................................................................................................................... 68 3.2.2. ALTERNATIVA COMO METODOLOGÍA GENÉRICA DE GSI PARA TELCO’S. .................................. 69 CAPÍTULO 4. DESARROLLO DEL MODELO DE MADUREZ DE LA METODOLOGÍA DE GSI. .......................................................................................................................................................... 70 4.1. DEFINICIÓN DE MÉTRICAS Y PROCESOS DEPENDIENTES. .................................................................... 71 4.1.1. Métricas del Modelo de Madurez de GSI. .................................................................................... 71 4.2. DEFINICIÓN DE ESCALAS, CUANTIFICACIÓN Y RECOMENDACIONES. .................................................. 79 4.2.1. RANGOS Y ESCALAS ASOCIADOS AL PROGRESO DE IMPLANTACIÓN DE LA METODOLOGÍA DE GSI. ......................................................................................................................................................... 79 4.2.2. RANGOS Y ESCALAS ASOCIADOS AL ESTADO DE LA GSI. ............................................................. 79 4.3. ZONAS DE MADUREZ Y PLAN DE ACCIÓN PROPUESTO. ........................................................................ 80 4.3.1. ZONAS DE MADUREZ. .................................................................................................................. 81 4.3.2. PLAN DE ACCIÓN. ......................................................................................................................... 84 4.4. MODELO DE MADUREZ DE LA GSI........................................................................................................ 85 4.4.1. PERIODO DE EVALUACIÓN. .......................................................................................................... 85 4.4.2. CONTABILIZACIÓN DE MÉTRICAS. ................................................................................................ 86 4.4.3. EVALUACIÓN. ............................................................................................................................... 86 CAPÍTULO 5. CASO DE ESTUDIO................................................................................................. 87 5.1. SELECCIÓN DEL CASO DE ESTUDIO APLICADO A UN SERVICIO DE TELECOMUNICACIONES................. 87 5.2. EVALUACIÓN DEL CASO DE ESTUDIO. .................................................................................................. 87 5.2.1. CHECK/STUDY (Verificar/Estudio). .............................................................................................. 88 5.2.2. ACT (ACCIONES Y/O MEJORAS). ................................................................................................ 131 5.2.3. PLAN (PLANIFICAR)..................................................................................................................... 131 5.2.4. DO (HACER). .............................................................................................................................. 138 5.2.4.1. Descripción del estado actual de la GSI en el Grupo TVCABLE [17]. .................................................. 138 III 5.2.4.2. Estrategia organizacional para implementar la GSI. ............................................................................ 140 5.2.4.3. Mapeo de procesos de Grupo TVCable con los procesos objetivo de la Metodología de GSI. ........... 143 5.3. INFORME EJECUTIVO. ........................................................................................................................ 144 CAPÍTULO 6. CONCLUSIONES Y RECOMENDACIONES. ........................................................ 145 6.1. CONCLUSIONES. ................................................................................................................................. 145 6.2. RECOMENDACIONES. ......................................................................................................................... 147 BIBLIOGRAFÍA.............................................................................................................................. 149 GLOSARIO DE TÉRMINOS. ......................................................................................................... 152 ANEXOS ........................................................................................................................................ 154 ANEXO A. [14] ............................................................................................................................... 155 ANEXO B. [14] ............................................................................................................................... 163 ANEXO C. [14] ............................................................................................................................... 182 ANEXO D. [14] ............................................................................................................................... 186 ANEXO E. [14] ............................................................................................................................... 199 ANEXO F. [14] ............................................................................................................................... 200 ANEXO G. [14]............................................................................................................................... 212 IV ÍNDICE DE FIGURAS FIGURA 1-1: RUTA TELEFÓNICA LEGAL SIN BYPASS TELEFÓNICO [5]. ............................................................................... 7 FIGURA 1-2: RUTA ILEGAL CON BYPASS TELEFÓNICO [5]. .............................................................................................. 8 FIGURA 1-3: PARTICIPACIÓN DEL MERCADO DE TELEFONÍA MÓVIL [8] . ......................................................................... 10 FIGURA 1-4: PORCENTAJE DE ACCESO A INTERNET POR OPERADORAS MARZO 2012 [8] . ................................................. 11 FIGURA 1-5: ESTRUCTURA ORGANIZACIONAL CNT EP ENERO-2012 [9] . ...................................................................... 14 FIGURA 1-6: ESTRUCTURA ORGANIZACIONAL GRUPO TVCABLE [10] . ........................................................................... 19 FIGURA 1-7: ESQUEMA GENERAL DE LAS REDES - GERENCIA NACIONAL TÉCNICA [10] . .................................................... 21 FIGURA 2-1: ESTÁNDARES RELACIONADOS CON LA GSI. [3] ......................................................................................... 27 FIGURA 2-2: MODELO NGOSS. [11] ...................................................................................................................... 28 FIGURA 2-3: MODELO DE REFERENCIA ETOM [11]. ................................................................................................... 32 FIGURA 2-4: EVOLUCIÓN DE COBIT [12]. ................................................................................................................ 33 FIGURA 3-1 ESTRUCTURA ORGANIZACIONAL PROPUESTA PARA LA GSI. [14] ................................................................... 53 FIGURA 3-2 CICLO PDCA DE MEJORA CONTINUA. [15] .............................................................................................. 64 FIGURA 3-3 ENFOQUE DE MEJORA CONTINUA, ACOPLADO A LA METODOLOGÍA DE GSI. [14] ............................................. 65 FIGURA 3-4 METODOLOGÍA DE GSI, ENFOQUE DE MEJORA CONTINUA PDCA, VARIAS ITERACIONES. [14] ............................. 66 FIGURA 5-1 PROGRESO DE LA IMPLEMENTACIÓN, GRUPO TVCABLE. [14] .................................................................... 107 FIGURA 5-2 ESTRUCTURA ORGANIZACIONAL PARA LA GSI, GRUPO TVCABLE (PROPUESTA). [17] ..................................... 141 V INDICE DE TABLAS TABLA 1-1: TOP 5 CATEGORÍA DE FRAUDE EN LAS TELCO EN EL 2011 [1] . ..................................................................... 1 TABLA 1-2: MODALIDADES DE FRAUDE EN LAS EMPRESAS TELCO ECUATORIANAS [5] . ...................................................... 5 TABLA 1-3: TELEFONÍA FIJA, PROYECCIÓN DE LA POBLACIÓN JUNIO 2012 [8] . ............................................................... 10 TABLA 1-4: EMPRESAS GRUPO TVCABLE [10] . ......................................................................................................... 17 TABLA 2-1 ÁREAS DE PROCESOS, ETOM V.12. [14]................................................................................................... 35 TABLA 2-2 AGRUPACIÓN HORIZONTAL, ÁREA DE PROCESOS: ESTRATEGIA, INFRAESTRUCTURA Y PRODUCTO, OPERACIONES, ETOM V.12. [14] ...................................................................................................................................... 36 TABLA 2-3 AGRUPACIÓN HORIZONTAL, ÁREA DE PROCESOS: GESTIÓN EMPRESARIAL, ETOM V.12. [14] .............................. 36 TABLA 2-4 AGRUPACIÓN VERTICAL, ÁREA DE PROCESOS: ESTRATEGIA, INFRAESTRUCTURA Y PRODUCTO, ETOM V.12. [14] .... 36 TABLA 2-5 AGRUPACIÓN VERTICAL, ÁREA DE PROCESOS: OPERACIONES, ETOM V.12. [14] ............................................... 36 TABLA 2-6: CUMPLIMIENTO DE OBJETIVOS ESTRATÉGICOS. [14] .................................................................................... 38 TABLA 2-7: TIEMPO MÁXIMO FUERA DE SERVICIO. [14] .............................................................................................. 38 TABLA 2-8: PROBLEMAS EN LA EJECUCIÓN DEL PROCESO. [14] ...................................................................................... 38 TABLA 2-9: CALIFICACIÓN Y NIVEL DE CRITICIDAD DE PROCESOS. [14] ........................................................................... 39 TABLA 2-10: CATÁLOGO DE AMENAZAS [2] . ............................................................................................................ 41 TABLA 2-11: CATÁLOGO DE VULNERABILIDADES [2]. .................................................................................................. 43 TABLA 2-12: DEFINICIÓN DEL IMPACTO. [14]............................................................................................................ 43 TABLA 2-13: PROBABILIDAD DE OCURRENCIA. [14].................................................................................................... 44 TABLA 2-14: CUALIFICACIÓN DEL RIESGO. [14] ......................................................................................................... 45 TABLA 2-15: RESULTADO DE PROCESOS CRÍTICOS DE ETOM. [14] ................................................................................ 46 TABLA 2-16: PROCESOS CRÍTICOS CON ALTO NIVEL DE RIESGO DE ETOM. [14] ............................................................. 47 TABLA 2-17 MAPEO COBIT 5 CON ISO/IEC 27011, PARA LA GSI. [14] ....................................................................... 51 TABLA 2-18 VULNERABILIDADES PRINCIPALES DEL PROCESO BILL INVOICE MANAGEMENT. [14].................................. 52 TABLA 3-1 INTEGRANTES ISSC, REFERENCIA TOMADA DE COBIT5 Y ACOPLADA PARA LA GSI. [13] .................................... 56 TABLA 3-2 FUNCIONES DEL ISSC, REFERENCIA TOMADA DE COBIT5 Y ACOPLADA PARA LA GSI. [13] .................................. 57 TABLA 3-3 INTEGRANTES DEL ERM, REFERENCIA TOMADA DE COBIT5 Y ACOPLADA PARA LA GSI. [13] ............................... 58 TABLA 3-4 PRINCIPIOS DE LA GSI, DEFENDER EL NEGOCIO. [13] ................................................................................... 59 TABLA 3-5 PRINCIPIOS DE LA GSI, APOYAR EL NEGOCIO. [13] ...................................................................................... 59 TABLA 3-6 PRINCIPIOS DE LA GSI, DAR SOPORTE AL NEGOCIO. [13] ............................................................................. 60 TABLA 3-7 PROCESOS CRÍTICOS CON ALTO NIVEL DE RIESGO DE ETOM. [14] ................................................................ 63 TABLA 3-8 ITERACIONES DE LA METODOLOGÍA DE GSI, ENFOQUE DE MEJORA CONTINUA. [14] ......................................... 66 TABLA 4-1 PROCESOS CRÍTICOS CON ALTO NIVEL DE RIESGO DE ETOM. [14] ................................................................ 71 TABLA 4-2 OBJETIVOS DE LA GSI A PARTIR DE LAS ACTIVIDADES DE LAS GUÍAS DE IMPLEMENTACIÓN, PROCESO BILL INVOICE MANAGEMENT. [14]................................................................................................................................... 72 VI TABLA 4-3 EXTRACTO, GUÍA DE IMPLEMENTACIÓN DE METODOLOGÍA DE GSI, PROCESO BILL INVOCE MANAGEMENT. [14] ............................................................................................................................................................... 74 TABLA 4-4 MÉTRICAS DE GSI, PROCESO BILL INVOICE MANAGEMENT. [14] ............................................................ 75 TABLA 4-5 MÉTRICAS DE GSI, PROCESO SM&O SUPPORT & READINESS. [14]......................................................... 76 TABLA 4-6 MÉTRICAS DE GSI, PROCESO FRAUD MANAGEMENT. [14] ..................................................................... 77 TABLA 4-7 MÉTRICAS DE LA GSI, PROCESO SERVICE CONFIGURATION & ACTIVATION. [14] ................................... 78 TABLA 4-8 MÉTRICAS DE LA GSI, PROCESO REGULATORY MANAGEMENT. [14] ....................................................... 78 TABLA 4-9 MÉTRICAS DE LA GSI, PROCESO AUDIT MANAGEMENT. [14] .................................................................. 78 TABLA 4-10 RANGOS DE PORCENTAJE Y ESCALA DEL PROGRESO DE IMPLANTACIÓN DE CONTROLES DE GSI. [14].................... 79 TABLA 4-11 RANGOS DE VALORACIÓN Y ESCALA CUALITATIVA PARA MÉTRICA DE GSI. [14] ................................................ 80 TABLA 4-12 ZONAS DEL MODELO DE MADUREZ DE GSI. [14] ..................................................................................... 81 TABLA 4-13 PRIORIDAD DE LAS ZONAS DEL MODELO DE MADUREZ DE LA GSI. [14] ........................................................ 82 TABLA 4-14 EJEMPLO SIMPLIFICADO, ZONA DE MADUREZ, PROCESO BILL INVOICE MANAGEMENT. [14] ............................. 83 TABLA 4-15 EJEMPLO DE PROCESOS CON SU RESPECTIVA ZONA DE MADUREZ. [14] ......................................................... 84 TABLA 4-16 SIMPLIFICADO DE TABLA 4-10, PRIORIDAD, ZONAS DE MADUREZ Y ACCIONES. [14] ........................................ 85 TABLA 5-1 RANGOS DE PROGRESO DE IMPLEMENTACIÓN. [14] .................................................................................... 88 TABLA 5-2 MODELO DE MADUREZ DE LA GSI, RANGOS DE MÉTRICAS, GRUPO TVCABLE. [14] .......................................... 91 TABLA 5-3 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO BILL INVOICE MANAGER, GRUPO TVCABLE. [14]..................... 95 TABLA 5-4 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO SERVICE MANAGER OPERATION SUPPORT READINESS, GRUPO TVCABLE. [14] .......................................................................................................................................... 98 TABLA 5-5 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO SERVICE CONFIGURATION AND ACTIVATION, GRUPO TVCABLE. [14] ............................................................................................................................................................. 102 TABLA 5-6 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO FRAUD MANAGEMENT, GRUPO TVCABLE. [14] .................... 103 TABLA 5-7 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO AUDIT MANAGEMENT, GRUPO TVCABLE. [14] .................... 105 TABLA 5-8 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO REGULATORY MANAGEMENT, GRUPO TVCABLE. [14] ........... 106 TABLA 5-9 ZONAS DE MADUREZ DE LOS PROCESOS, GRUPO TVCABLE [14]................................................................... 107 TABLA 5-10 PLAN DE ACCIÓN PROPUESTO, GRUPO TVCABLE. [14] ............................................................................. 130 TABLA 5-11 PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE. [14] ........................................................ 136 TABLA 5-12 ESTADO DESEADO AL FINALIZAR EL PERIODO, GRUPO TVCABLE. [14] .......................................................... 137 TABLA 5-13 MAPEO ENTRE PROCESOS DE METODOLOGÍA DE GSI Y PROCESOS DEL GRUPO TV CABLE. [14] ....................... 143 TABLA 5-14 MAPEO ENTRE PROCESOS DE METODOLOGÍA DE GSI Y PROCESOS DEL GRUPO TV CABLE (DESCRIPCIÓN DEL PROCESO Y RESPONSABLE). [14] .................................................................................................................. 143 TABLA 6-1 GLOSARIO DE TÉRMINOS Y DEFINICIONES. [14] ......................................................................................... 153 VII RESUMEN Partiendo del alto impacto del fraude en la Industria de las Telecomunicaciones, los múltiples problemas de Seguridad de la Información en las organizaciones y la no adecuada Gestión de la Seguridad de la Información (GSI) en las Operadoras de Telecomunicaciones (TELCO) ecuatorianas, el presente trabajo propone una Metodología de GSI, enfocada a la industria de las Telecomunicaciones del Ecuador; basándose en Enhanced Telecom Operations Map (eTOM v12), COBIT 5 y la ISO/IEC 27011. El framework eTOM v12, contempla todos los procesos de negocio de una TELCO, con sus 86 procesos de nivel 2, Objetivos de Control para Tecnologías de Información o Relacionadas (COBIT 5) es un framework de Gobierno de Tecnología, en tanto que la ISO/IEC 27011 es un estándar de Seguridad de la Información para la Industria de las Telecomunicaciones, basado en la ISO/IEC 27002. La Metodología de GSI propuesta, se orienta a la mejora continua de la GSI y se enfoca en un conjunto reducido de procesos de eTOM; para el efecto, se propone y aplica una Metodología de Selección de Procesos, que se basa en dos criterios; el primero son los Procesos críticos para el negocio y el segundo son Los procesos con mayor nivel de riesgo. Tras la aplicación de la Metodología de Selección de Procesos propuesta, se reduce de 86 a 6 procesos de nivel 2 de eTOM; sobre los cuales, se enfoca el desarrollo de la Metodología de GSI. La integración formal entre COBIT 5 For Security Information y la ISO/IEC 27002 propuesta por ISACA, da un sólido soporte conceptual a la Metodología de GSI desarrollada; pues, de esta se desprenden las Guías de Implementación de procesos, acopladas para la Industria de las Telecomunicaciones en el Ecuador. Es importante hacer énfasis en el Modelo de Madurez desarrollado, como parte de la Metodología de GSI desarrollada, el cual se fundamenta en el Progreso de Implantación de la Metodología y en la Calidad de Implementación de la misma; cuyo módulo automatizado está en el Anexo Digital. Finalmente se realiza un caso de estudio de aplicación de la Metodología de GSI a una TELCO del Ecuador. 1 CAPÍTULO 1. GESTIÓN DE LAS SEGURIDADES EN LAS EMPRESAS DE TELECOMUNICACIONES. 1.1. ESTUDIO EXPLORATORIO DEL FRAUDE INFORMÁTICO EN LAS TELCO’S ECUATORIANAS. Las Tecnologías de la Información (TI) son fundamentales para las Operadoras de Telecomunicaciones (TELCO), ya que las TI intervienen en todos los procesos que una TELCO requiere para proveer sus servicios; lo que ha posicionado a la gestión de TI en un rol estratégico de la organización. Las TI en una TELCO se desarrollan en un entorno técnico complejo, por la convergencia tecnológica necesaria para implementar nuevos servicios que demanda el mercado, generando una plataforma tecnológica heterogénea con diferentes sistemas operativos, marcas de equipos de comunicación, soluciones propietarias, motores de bases de datos, sistemas distribuidos, entre otros; que tienen vulnerabilidades o las mismas son inducidas durante su ciclo de vida, que generan riesgos a todo el entorno tecnológico. “Las pérdidas por fraude en las TELCO son altas, la Communications Fraud Control Association (CFCA) publicó en diciembre del 2011 el top 5 a nivel mundial de las categorías de fraude en la industria de las Telecomunicaciones con sus respectivos montos de pérdida aproximando”. [1] En la Tabla 1-1 se expone el ranking con sus respectivas pérdidas. RANKING BILLONES (USD) CATEGORÍA DE FRAUDE 1 4.96 Compromised PBX/Voicemail Systems. 2 4.32 Subscription/Identity Theft. 3 3.84 International Revenue Share Fraud. 4 2.88 By-Pass Fraud. 5 2.4 Credit Card Fraud. Tabla 1-1: Top 5 Categoría de Fraude en las TELCO en el 2011 [1] . 2 La GSI en una TELCO debe ser formal, por su parte la International Organization for Standarization (ISO) ha publicado el estándar ISO/IEC 27011 orientado a la Gestión de Seguridad de la Información de las TELCO [2]; mientras la International Telecomunication Union (ITU) desarrolló y mantiene actualizado un compendio de recomendaciones técnicas para la seguridad en la industria de las telecomunicaciones [3]. Considerando los párrafos anteriores, el objetivo de la tesis es desarrollar una Metodología de GSI acorde a las TELCO ecuatorianas, que sea un referente para las empresas, en la implementación de la GSI y para el ente regulador en su rol de control. DEFINICIONES DE FRAUDE. A continuación se describen definiciones de fraude en el ámbito de las telecomunicaciones: 1. “Acción intencional efectuada generalmente con el propósito de eludir los derechos de las operadoras de telecomunicaciones, para obtener beneficios económicos, aprovechando la vulnerabilidad existente en diferentes componentes de sus redes y en los procesos de sus servicios. [4]” 2. “Toda la acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete; acto cumplido intencionalmente tendiente a eludir, herir o menoscabar disposiciones legales o derechos del Estado o de terceros. Engaño que se realiza eludiendo obligaciones legales o usurpando derechos con el fin de obtener un beneficio. [5] ” 3. “Es el uso o adquisición de los servicios de telecomunicaciones a través de medios ilegales y sin la intención de pagar por ellos. [6]” Partiendo de las definiciones anteriores, con un enfoque de Gestión en las TELCO, se propone la siguiente definición: 3 4. “El Fraude en las Telecomunicaciones es el acto intencional perpetrado por personas u organizaciones con el propósito de eludir derechos de las TELCO y/o de los usuarios, para obtener beneficios económicos, aprovechando vulnerabilidades existentes en componentes tecnológicos de las redes y/o en los procesos del servicio, generando un impacto negativo en el aspecto económico y administrativo de las TELCO que han sido víctimas del fraude.” 1.1.1. INCIDENCIA DEL FRAUDE INFORMÁTICO EN LAS TELCO´S ECUATORIANAS. Un estudio de la SUPERTEL destaca que las pérdidas por fraude ascienden al 10% de los ingresos de las TELCO; según una encuesta del CFCA el 80% de las operadoras respondió que el fraude va en incremento, en tanto que un 45% aprecian que el fraude va en ascenso en sus propias organizaciones; tomando como ejemplo a CONECEL, la empresa con mayor monto de facturación del país en 2011, cuyo valor asciende a 1258 millones de dólares, se estima que son 126 millones de pérdidas por concepto de fraude [5] . El fraude impacta negativamente a los ingresos de las TELCO, ya que incrementa su costo operacional y según el tipo de fraude a sus clientes. Las telecomunicaciones en calidad de “servicio de los servicios”, recorre transversalmente diferentes actividades de la sociedad, por lo que su afectación puede causar perjuicios a estas actividades y además puede ser usada para cometer fraudes o delitos graves como el terrorismo. Un ejemplo de fraude en el país es la comercialización de kits de televisión para 250 canales con suscripción no autorizada, la señal es decodificada ilegalmente de operadores satelitales como Hispasat y Amazonas, este producto se ha comercializado libremente desde hace varios años en el país y apenas en Julio2012 la SUPERTEL en base a la resolución No. RTV-682-22-CONATEL-2010, remite la disposición al Servicio Aduanero Ecuatoriano y a La Fiscalía General del Estado, para prohibir la importación y comercialización de estos dispositivos [7] . 4 Tras la prohibición de la SUPERTEL el 16 de octubre del 2012 Hispasat y Amazonas codificaron su señal con el sistema de seguridad Nagra3, con el objetivo de inhabilitar los decodificadores ilegales de forma definitiva; sin embargo, el 13 de octubre del 2012, tres días antes de la codificación de la señal ya se tenían dos alternativas de fraude, la una, con un dispositivo adicional de bajo costo llamado dongle i-box y la otra por medio de una suscripción de bajo costo por IKS privado, que en conjunto con el kit de televisión “obsoleto” decodifican cientos de canales de televisión internacional entre HD y de resolución normal, evidenciando así la primera vulnerabilidad de Nagra3, actualmente en junio del 2014 en el país, a pesar de las leyes impuestas y restricciones de importación de estos decodificadores, es posible conseguir en el mercado informal decodificadores con nueva tecnología para para perpetrar el fraude. 1.1.2. CATÁLOGO DE FRAUDE INFORMÁTICO EN LAS TELCO ECUATORIANAS. En la Tabla 1-2, se cita un compendio de las principales modalidades de fraude que ocurren en las empresas TELCO ecuatorianas, de todas ellas, la que mayor perjuicio ha causado al Estado es el Bypass Telefónico [5], por esta razón a continuación se explica a detalle esta modalidad de fraude. No. SERVICIO TIPO FRAUDE DESCRIPCIÓN 1 Telefonía Fija y Móvil Telecomunicaciones ByPass Telefónico La Operadora cobra una llamada Internacional a precio de llamada local, en tanto que la persona o empresa autora del fraude cobra a sus usuarios la llamada a tarifa internacional reducida, lo que se hace del bypass un servicio apetecible para el usuario. 2 Telefonía Fija y Móvil Telecomunicaciones Call Back En términos simples, la llamada desde el país "X" al país" Y" se cobra a tarifa de llamada del país "Y" al" X", donde la tarifa de llamada desde el país "X" es mayor que la tarifa de llamada desde el país "Y". Hacking a PBX Corporativo El atacante llama a un PBX Corporativo, por ende paga una llamada local, pero obtiene tono de marcado para llamadas a móviles o Internacionales, todas las llamadas realizadas son cargadas a la empresa dueña del PBX, normalmente en este tipo de fraude existe un contacto técnico al interior de la empresa del PBX. 3 4 Centrales PBX Corporativas Telecomunicaciones Internet por Clonación de Telecomunicaciones Cable Modem Cable Modem Un suscriptor del servicio de Televisión por Cable es decir que está dentro de la red de servicios de la TELCO, tiene la opción de adquirir en el mercado informal un cable modem con acceso a internet sin limitación de ancho de banda por un solo pago, la persona quien lo vende no le garantiza el funcionamiento continuo del servicio. 5 5 6 Telefonía Fija y Móvil Telefonía Móvil 7 Telefonía Fija 8 Telefonía Fija Pública Refilling Una Operadora legalmente establecida en el país "A" llega a un acuerdo con otra operadora legalmente establecida en el país "C", para que el tráfico telefónico internacional originado en el país "A" y destinado al país "B", pase primero por dicha operadora C; esto debido a que los cargos tarifarios entre el país "A" y el país "B" son sumamente altos, entonces, el fraude consiste en enrutar las llamadas desde "A" pasando por "C" para llegar a "B" , al reenrutar las llamadas, los costos de interconexión y terminación de llamada a pagar por el país "A" para comunicarse con el país "B" son menores. Telecomunicaciones Fraude en Roaming El fraude en roaming es el uso de un servicio móvil de un operador, mientras el usuario está fuera del país de “origen”, sin la intención de pagar por las llamadas realizadas. El fraude en roaming es normalmente un fraude secundario, siendo el fraude de suscripción el fraude primario, es decir, el defraudador tiene que obtener primero una suscripción a una red, utilizando identidades falsas o robadas. Telecomunicaciones Robo de líneas telefónicas Este tipo de fraude puede ser interno o externo, se da cuando líneas activas con asignación a usuarios son cambiadas de domicilio sin autorización del suscriptor o de la empresa local proveedora del servicio. Telecomunicaciones Fraude en teléfonos públicos Es un tipo de fraude telefónico externo, el cual ocurre cuando se conecta otro aparato telefónico en paralelo o directamente a la línea asociada al teléfono público, para originar tráfico telefónico sin costo alguno. Telecomunicaciones 9 Internet Informático Pishing Es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de la duplicada, normalmente se utiliza con fines delictivos imitando páginas web de bancos o tiendas virtuales. 10 Internet Informático Robo de contraseñas El objetivo es obtener las claves de acceso a las cuentas de webmail para luego pedir una recompensa por las mismas. 11 Internet Informático Vbonbing Es la captura de información durante una llamada por internet. 12 Internet Informático Keyloggers Se detecta la pulsación de cada tecla del pc de un usuario y esta información es notificada periódicamente al atacante. 13 Internet Informático Spyware Son programas que se instalan en el pc del atacante siendo muy difícil detectar su presencia, que recolectan todo tipo de información de usuario y es enviada al atacante. Tabla 1-2: Modalidades de Fraude en las Empresas TELCO Ecuatorianas [5] . 1.1.2.1. Bypass Telefónico. Esta modalidad de fraude causa pérdidas millonarias a nuestro país, en resumen el “ByPass” encamina directamente el tráfico que viene del exterior hacia centrales locales privadas, sin pasar por la central de tráfico internacional, es decir, se evita la tarifación de la llamada internacional y se la convierte en una llamada local, el tráfico de llamadas entrantes es aproximadamente 8 veces mayor que el de las llamadas salientes y en esta misma relación se comete el ilícito del “ByPass”. 6 El “ByPass” se muestra como una ruta alternativa para los carriers internacionales, el cual presenta un costo menor que el exigido por las compañías telefónicas locales; por este motivo deciden ingresar sus volúmenes de tráfico mediante esta vía alternativa o fomentar la implementación de sistemas de “ByPass” para ingresar su tráfico a un menor costo. El tráfico telefónico internacional se enruta por telepuertos privados y no por las estaciones terrenas internacionales de las empresas telefónicas ecuatorianas, del telepuerto privado acceden a un local clandestino mediante enlaces de última milla como fibra óptica, spread spectrum, líneas dedicadas de cobre o microondas, previamente se debió equipar el local clandestino con numerosas líneas telefónicas, dependiendo del tamaño del “ByPass” estas líneas son conseguidas normalmente a través de cómplices en la misma empresa telefónica o con documentación falsa, adulterada o robada. Una vez que todo el volumen de tráfico ha ingresado al local clandestino, equipos de telecomunicaciones procesan la información como una mini central telefónica; las llamadas procesadas por la mini central telefónica generan llamadas locales hacia los abonados finales en el Ecuador, completando la llamada que se generó desde cualquier parte del mundo hacia nuestro país. Las empresas telefónicas locales sólo perciben una llamada local, mientras la porción internacional la cobra la empresa que comete el fraude. Para continuar con el estudio de esta modalidad de fraude se detalla las características fundamentales de una “Ruta Telefónica Legal” frente a una “Ruta Telefónica Bypass”. 7 · RUTA TELEFÓNICA LEGAL: Se detalla en el siguiente escenario: 3 4 5 2 Operador Local o Celular 6 7 Facturación CARRIER A 1 Central de Tránsito Empresa Telefónica ESTACION TERRENA B Central Local Operador Local o Celular País B (Donde termina la llamada) País A (Donde inicia la llamada) Figura 1-1: Ruta Telefónica Legal sin ByPass Telefónico [5]. PASO 1: el usuario en el “País A”, desea comunicarse con un usuario en el “País B”, puede realizarlo mediante la Empresa Telefónica (la cual tiene contrato de concesión de telefonía internacional) o a su vez mediante el uso de tarjetas telefónicas (legalmente establecidas). El usuario “A” marca el número de destino y la llamada ingresa a la empresa telefónica. PASOS 2, 3 Y 4: la llamada es transferida por la Empresa Telefónica hacia un CARRIER “A”, con el cual tiene un acuerdo para enrutar las llamadas internacionales. Este CARRIER “A”, se encarga de entregar la llamada a la ESTACIÓN TERRENA “B”, con la cual tiene un acuerdo la Central local del “País B”, para terminar las llamadas internacionales. PASOS 5 Y 6: la central local del “País B” recibe la llamada mediante la Central de Tránsito, la cual la factura como una Llamada Internacional. 8 PASO 7: la central local del “País B” enruta la llamada para su recepción por el usuario en el “País B”. · RUTA TELEFÓNICA BYPASS: Se detalla en el siguiente escenario: 3 4 2 6 5 Sitio Clandestino Líneas Telefónicas 7 Equipamiento 1 CARRIER NO AUTORIZADO Operador Local o Celular TELEPUERTO NO AUTORIZADO PARA RECIBIR TRAFICO INTERNACIONAL Empresa Telefónica Central Local Operador Local o Celular País B (Donde termina la llamada) País A (Donde inicia la llamada) Figura 1-2: Ruta Ilegal con ByPass Telefónico [5]. PASO 1: en este caso generalmente se usan tarjetas de telefonía internacional, el usuario prefiere adquirir estas tarjetas debido a que tienen un menor costo por minuto. El usuario en el “País A” sigue los pasos detallados en la misma, y realiza la llamada deseada; la llamada ingresa a la Empresa Telefónica en el “País A”, en la cual se encapsula en paquetes IP. PASO 2, 3 Y 4: el paquete IP que contiene la llamada se enruta hacia el CARRIER (el cual podría o no ser autorizado). El paquete es transferido por el CARRIER NO AUTORIZADO en el “País A” hacia el TELEPUERTO NO AUTORIZADO en el “País B”, el cual pertenece al sitio clandestino donde se 9 procesa la llamada telefónica internacional no autorizada, en este paso se hace uso de proveedores de SIP Trunking. PASO 5: una vez que la información se recibe en el TELEPUERTO NO AUTORIZADO en el “País B”, el tráfico es ingresado al sitio clandestino, en el cual se desencapsula la información de los paquetes IP. PASO 6: posteriormente se envía la información a su destino mediante las líneas telefónicas adquiridas por los defraudadores, la llamada es ingresada a la central local del “País B”, como si se tratara de una llamada local. PASO 7: la llamada es entregada al usuario del “País B”. Como ya se dijo, la forma de operar de los defraudadores empieza por la venta en el exterior de tarjetas de telefonía internacional, mediante las cuales las llamadas ingresan por rutas ilegales. 1.2. ESTUDIO EXPLORATORIO DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN LAS TELCO´S ECUATORIANAS. La SUPERTEL como ente rector de las telecomunicaciones del país, tiene la misión de vigilar y controlar técnicamente la prestación de los servicios de telefonía, radiodifusión, televisión, Internet, transmisión de datos y el uso del espectro radioeléctrico, para que estos se proporcionen con eficacia y calidad. Para tener una idea clara de la participación de mercado de las empresas TELCO sobre los principales servicios que se ofrecen en el país (Telefonía Fija, Telefonía Móvil, Acceso a Internet), se presenta la siguiente información estadística tomada de la SUPERTEL, ver Taba 1-3, Figura 1-3, Figura 1-4. 10 ESTADÍSTICAS DE TELEFONÍA FIJA SUPERTEL. Líneas principales TELCO ECUATORIANAS Líneas en Conmutación Abonados Teléfonos Públicos Población Ecuatoriana Centrales Total Densidad Telefónica por Operadora (%) Digitalización (%) 1.941.015,00 7.459,00 1.955.829,00 2.602.167,00 787,00 13,26% 100,00% LINKOTEL S.A. 7.795,00 271,00 8.364,00 15.488,00 9,00 0,16% 100,00% SETEL S.A. 45.612,00 4.702,00 50.369,00 70,00 3,00 0,49% 100,00% ECUADORTELECO M S.A. 71.539,00 4.606,00 76.235,00 102.995,00 3,00 0,89% 100,00% ETAPA EP 147.215,00 607,00 148.808,00 18.687,00 130,00 1,96% 100,00% GLOBAL CROSSING 2.851,00 0,00 2.962,00 966,00 1,00 - 100,00% 10,00 0,00 10,00 250,00 1,00 - 100,00% 2.216.037,00 17.645,00 2.242.577,00 3.237.180,00 934,00 CNT EP GRUPOCORIPAR S.A. TOTAL 15.286.209,00 15.286.209,00 16,76% Tabla 1-3: Telefonía Fija, Proyección de la Población Junio 2012 [8] . ESTADÍSTICA DE TELEFONÍA MÓVIL (SERVICIO MÓVIL AVANZADO) SUPERTEL. DISTRIBUCIÓN DEL MERCADO DE TELEFONÍA MÓVIL, POR OPERADORA 2,02% 28,94% 69,04% % Otecel % Conecel % CNT EP Figura 1-3: Participación del Mercado de Telefonía Móvil [8] . 11 ESTADÍSTICA DE ACCESO INTERNET SUPERTEL. Figura 1-4: Porcentaje de Acceso a Internet por Operadoras Marzo 2012 [8] . Entrando en el contexto de la GSI en el Ecuador, a continuación se realiza una descripción de la estrategia de GSI de las empresas “CNT EP” y “GRUPO TVCABLE”, se han seleccionado estas organizaciones porque corresponden al sector público y privado respectivamente, por proveer varios servicios, por tener plataformas tecnológicas para proveer servicios convergentes y también por ser líderes de mercado en el país. 1.2.1. ESTRATEGIA ORGANIZATIVA DE GSI CNT EP. El 30 de octubre del 2008 la Corporación Nacional de Telecomunicaciones CNT S.A fue resultado de la fusión de Andinatel S.A. y Pacifictel S.A, el 14 de enero del 2010 la CNT S.A se convierte en empresa pública y pasa a ser la CNT EP, el 30 de julio del 2010 se oficializa la fusión de la CNT EP con TELECSA comercialmente conocida como ALEGRO, permitiéndole potenciar su cartera de productos y servicios. La CNT EP tiene presencia en todas las provincias del país, pero el poder de decisión y las Gerencias Principales se encuentran físicamente ubicadas en Quito, 12 que tienen injerencia a nivel nacional, su estructura organizacional se muestra en la Figura 1-5. La Corporación Nacional de Telecomunicaciones CNT EP, está integrada por los siguientes niveles en la organización: NIVEL DIRECTIVO: es responsable de emitir las normas, políticas y regulaciones para la planificación, organización y administración de la empresa. El nivel Directivo, está conformado por el Directorio. NIVEL DE ADMINISTRACIÓN Y PLANIFICACIÓN: este nivel está enfocado en la planificación empresarial y en la organización interna, encaminado en establecer y dirigir los planes y programas operacionales, comerciales, técnico y administrativos de CNT EP, que permitan cumplir con las políticas y objetivos determinados por el Directorio, promueve la interfaz con los niveles Directivo y de Administración de la Operación. Este nivel está conformado por dos subniveles que son: · Subnivel de Administración: se encuentra representado por el Gerente General como máxima autoridad administrativa de la empresa. · Subnivel de Planificación: se encuentra representado por los Gerentes de las áreas de la Gerencia General y por los Gerentes Nacionales, teniendo competencia a nivel nacional de acuerdo a su ámbito de acción. NIVEL DE ADMINISTRACIÓN DE OPERACIÓN: este nivel es responsable de la ejecución de los procesos operativos de la empresa de acuerdo a su jurisdicción y se encuentra conformado por los Administradores Regionales y Provinciales bajo la denominación de Gerentes. 13 Actualmente existen tres gerencias que llevan a cabo los procesos relacionados con la GSI: a) Gerencia de Riesgo y Aseguramiento de Ingresos. b) Gerencia Nacional Técnica. c) Gerencia Nacional de Tecnología de Información. Son estas gerencias las responsables de todo el ámbito tecnológico, relacionado con la implementación, provisión, mantenimiento y operación de los servicios de telecomunicaciones que se proveen: 14 Figura 1-5: Estructura Organizacional CNT EP Enero-2012 [9] . 15 a) GERENCIA DE RIESGOS Y ASEGURAMIENTO DE INGRESOS (GRAI). Esta unidad organizacional es una Gerencia Nacional de tipo STAFF de la Gerencia General, al más alto nivel de la organización, que está conformada por las siguientes unidades funcionales: · Aseguramiento de Ingresos. · Prevención del Fraude. · Gestión de Riesgos. · Control de Facturación. Las unidades funcionales citadas son las encargadas de establecer procedimientos de control de su competencia, en todas las áreas de la organización que lo requieran. b) GERENCIA NACIONAL TÉCNICA (GNT). Esta unidad organizacional es la encargada de gestionar las plataformas tecnológicas para brindar los servicios de telecomunicaciones, así tenemos entre sus responsabilidades: · Gestión de redes de cobertura de todos los servicios que se proveen. · Gestionar las centrales telefónicas que proveen los servicios de telefonía fija y móvil a los suscriptores. · Gestión de anillos SDH de fibra óptica que generan redundancia a los clientes de transmisión de datos. · Gestión de los routers de borde con el protocolo BGP que publican los rangos de redes de Internet de Ecuador hacia todo el mundo. · Gestión de la infraestructura para dar cobertura de navegación a dispositivos móviles. · Gestión de redes de planta externa para todos los servicios telecomunicaciones que se proveen. de 16 c) GERENCIA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (GNTI). La GNTI es la unidad organizacional responsable de todos los servicios de TI internos de la organización y a su vez tiene responsabilidades compartidas con la Gerencia Nacional Técnica, sobre las plataformas tecnológicas que brindan los servicios a los suscriptores, entre estas tenemos: · Sistemas de facturación de todas las líneas de negocios. · Sistemas de mediación entre el sistema de servicio al cliente y las plataformas tecnológicas, por ejemplo el sistema de mediación de telefonía móvil que permite que un empleado de atención al cliente pueda activar o desactivar una línea móvil de forma inmediata. · Gestión de procesos automáticos de corte de servicio, activaciones y reconexiones ya sea para telefonía fija, móvil o Internet. Las tres gerencias (GRAI, GNT y GNTI) han definidos los siguientes procesos para la gestión de la seguridad de la información en todo la CNT EP. Proceso de Control de Calidad: es un proceso de la GNTI que determina si un proceso definido ha sido correctamente implementado, definiendo lo que debe ser verificado, un plan de pruebas y ejecución de las validaciones a ser realizadas en cada una de las fases del proceso. Proceso de Gestión de Incidentes: es un proceso de la Gerencia Nacional de TI, enfocado a recuperar en el menor tiempo posible la operación de los sistemas informáticos y la atención de los requerimientos tecnológicos de los usuarios de la compañía. Proceso de Gestión del Cambio: es un proceso utilizado en la empresa para estimar, planificar, controlar y supervisar la ejecución de cualquier cambio que impacte a los servicios que provee la organización, los cuales son implementados por los sistemas informáticos en producción. (Software, hardware, redes de datos, procedimientos e instalaciones físicas de Gerencia Nacional de Tecnologías de la Información. 17 Proceso de Gestión de la Seguridad: la Gerencia Nacional de TI es responsable de la custodia de la información y de la infraestructura tecnológica de los sistemas internos de la CNT E.P. La Seguridad de la Información está delegada a la GNTI, a través del Área de Seguridad Informática y es la responsable de la Seguridad de la información en la CNT E.P., además de asistir al personal de la CNT E.P. en materia de seguridad y junto con los propietarios de los procesos, analiza el riesgo de los activos de información de la compañía y verifica la aplicación de las medidas de seguridad necesarias para la protección de la misma. También es responsable de diseñar e implementar un plan de seguridad de la información que este alineado con los objetivos de negocio tomando en cuenta los riesgos existentes en la compañía. Proceso de Administración de Identidades: la GNTI, es la encargada de administrar y asegurar las TI de la compañía, la cual se compone de múltiples sistemas y aplicaciones utilizadas por los usuarios internos para el normal desempeño de sus tareas y el correcto funcionamiento del negocio. A cada sistema informático se da protección de una seguridad de acceso (usuario, contraseña y perfil o rol); el número de aplicaciones a las que tendrá acceso el colaborador dependerá de las funciones que este va a desempeñar. 1.2.2. ESTRATEGIA ORGANIZATIVA DE GSI GRUPO TVCABLE. La empresa TVCable S.A, empieza sus actividades en Ecuador en 1987 con el servicio de Televisión Pagada por suscripción, en el año 2003 se forma el Grupo TVCable S.A, diversificando sus servicios con las siguientes empresas detalladas en la Tabla 1-4: EMPRESA SERVICIOS TVCable S.A. TV Pagada región Sierra Satelcom S.A TV Pagada región Costa Satnet S.A Proveedor de Servicios de Internet Suratel S.A Transmisión de datos Setel S.A Telefonía Fija Tabla 1-4: Empresas Grupo TVCable [10] . 18 Cabe acotar que en el año 2003 se conforma Setel S.A, luego de obtener la concesión de la licencia de operador de Telefonía Fija, estableciéndose como un Holding privado propiedad del Grupo “El Juri” y Grupo “Isaías”, líder en la industria de las Telecomunicaciones en el país en ese entonces. En el año 2011 el 35,48% de las acciones del Grupo TvCable es incautado por el estado ecuatoriano al grupo “Isaías” y posteriormente, este porcentaje es adquirido por Hersalbar Holding S.A, y el 64,52% se mantiene bajo la propiedad del Grupo “El Juri”. El Grupo TVCable no tiene certificación en estándares de calidad internacionales, tanto en sus procesos técnicos como administrativos; sin embargo, todos los procesos están definidos por la Gerencia de Organización y Métodos, la cual define, implementa y mantiene los procesos de la organización en base a la experiencia y ciertos criterios tomados de la ISO/IEC 9001. En cuanto a la GSI partimos del siguiente Organigrama. (Ver Figura 1-6). 19 Figura 1-6: Estructura Organizacional Grupo TVCable [10] . 20 En el organigrama funcional no está definida una gerencia responsable de la seguridad de la información a nivel de toda la organización; sin embargo, cada gerencia de acuerdo a su círculo de influencia y responsabilidad, adopta medidas de seguridad aisladas a su problemática y autoevaluadas por su misma gestión. A continuación se describen las unidades funcionales que toman medidas de seguridad de la información, por su cuenta en pro de la seguridad de su proceso. a) GERENCIA DE ASEGURAMIENTO DE INGRESOS Y SEGURIDAD. Su actividad central es el control de fraude de clientes, específicamente en los servicios de Televisión Pagada e Internet, se apoya en reportes generados por la Gerencia de Monitoreo y Control; los reportes son generados en base a patrones técnicos que determinan tramos de la red donde posiblemente hay fraude, para en base a esto proceder con revisiones a los clientes del segmento de red indicado. Es también responsabilidad de esta gerencia, la seguridad física en instalaciones de oficinas y nodos de telecomunicaciones a nivel nacional, dentro de su competencia está también el tomar todas las acciones legales en contra de personas naturales o jurídicas que cometan fraude o violen las políticas de seguridad interna en la organización. b) VICEPRESIDENCIA DE TECNOLOGÍA. Se encarga de la gestión de toda la Infraestructura de Telecomunicaciones necesaria para proveer a los clientes los siguientes servicios de: · Telefonía Fija. · Transmisión de datos. · Internet residencial y corporativo. · TV pagada. 21 c) GERENCIA NACIONAL TÉCNICA. Es responsable de los siguientes procesos: · Instalaciones. · Monitoreo. · Soporte y Mantenimiento. · Desarrollo de Proyectos. · Redes de Core y Acceso. En la Figura 1-7, se muestra un esquema general de las redes que gestiona esta gerencia: Figura 1-7: Esquema General de las Redes - Gerencia Nacional Técnica [10] . Esta gerencia es consciente de la necesidad de adoptar mejores prácticas para gestión de TI, pero se limita a capacitar a los mandos medios en ITIL. No existe una unidad funcional, ni persona responsable con recursos para implementar procesos de ITIL u orientados a la GSI; la Seguridad de la Información, se limita a la adquisición de soluciones tecnológicas de acuerdo a las necesidades percibidas; por ejemplo, en octubre del 2012 el Grupo TVCable hace un contrato con la empresa Conax, proveedor líder mundial de soluciones para la protección de contenido digital en multidispositivos, exclusivamente para 22 implementar las seguridades en su plataforma de video digital para servicios DVB (Digital Video Broadcasting) [10] . d) VICEPRESIDENCIA DE SISTEMAS. Esta vicepresidencia es responsable de todas las Tecnologías de la Información, que implementan los servicios para usuarios internos de la organización, dentro de sus principales responsabilidades tenemos: · Desarrollo y/o adquisición de aplicaciones. · Facturación y Operación de Sistemas. · Servicios de Colaboración. · Infraestructura Tecnológica. · Organización y Métodos. Cabe recalcar que existen servicios tecnológicos que son críticos tanto para los usuarios internos como para proveer el servicio a los clientes, que son de responsabilidad compartida entre la VP. Técnica y la VP. de Sistemas, por ejemplo, las plataformas de mediación y aprovisionamiento. Esta VP es consciente de la necesidad de adoptar las mejores prácticas de la gestión de TI en toda la organización; sin embrago, se han tenido ya intentos fallidos de hacerlo ya que no se han asignado los recursos necesarios para lograr el objetivo. e) GERENCIA DE INFRAESTRUCTURA. Es responsable de toda la infraestructura tecnológica interna, tiene las siguientes responsabilidades: · Administración de servidores a nivel nacional. · Administración de redes LAN, WAN y seguridad perimetral a nivel nacional. · Administración de perfiles de usuarios y aplicaciones de la organización. · Soluciones corporativas de seguridad Informática: 23 o Sistemas de detección de Intrusos. o Sistemas de filtrado de navegación por contenido. o Apliances antispam. o Sistemas de filtrado de paquetes. o Políticas de uso de equipos terminales y servidores. o Soluciones antivirus y antispam corporativas. · Estrategia y operación de respaldos de sistemas operativos y aplicaciones. · Administración de aprovisionamiento servidores de de Gestión Telecomunicaciones de Plataformas de (para plataformas de Transmisión de datos, Telefonía, Internet y TV pagada). · Telefonía IP y PBX para todas las áreas de la organización. Esta gerencia es importante dentro de la GSI, pero actualmente se limita a hacer Seguridad Informática y no Gestión de Seguridad de la Información. Esta gerencia tiene responsabilidades críticas dentro de la VP. de Sistemas y para el negocio, pero a su vez muestra grandes falencias a nivel operativo y de gestión, que implica un alto riesgo a la seguridad de la información, dentro de las principales tenemos: · No existe un plan de recuperación de desastres definido. · La capacitación al personal es concebida como un gasto y no como una inversión. · El personal técnico no recibe capacitación especializada en los productos que se adquieren, sino es el proveedor que da una breve inducción operativa sobre la solución adquirida y para todo cambio no operativo se necesita acompañamiento del soporte técnico del proveedor, es decir, se prefiere pagar horas de soporte técnico para que se realicen cambios de complejidad media en lugar de capacitar formalmente al personal de la unidad. 24 · Existe mucha rotación de personal por cuanto la organización no tiene planes de carrera para poder retener profesionales valiosos. 1.3. ANÁLISIS DE LOS ESTUDIOS REALIZADOS. Las siguientes observaciones son el resultado de entrevistas y encuestas realizadas a funcionarios del CNT E.P. y del Grupo TVCable (Ver Anexo A). OBSERVACIONES CNT EP: · Las recomendaciones y requerimientos que se realizan desde la GRAI, son producto de un profundo estudio, sin embargo el cumplimiento de estas tienen baja prioridad en la GNT y la GNTI, ya que el día a día consume todos los recursos de estas gerencias y no se cumplen a cabalidad los requerimientos y/o recomendaciones. · Partiendo de la premisa que la Seguridad Informática es inversamente proporcional a la facilidad de gestión de las Tecnologías de Información, es frecuente que la unidad funcional que debe implementar los requisitos de seguridad, racionalice los requerimientos a cumplir, por la complejidad que ello implica hacerlo, así como la complejidad que se induce en la gestión misma de las plataformas, sistemas de gestión y/o procesos. · La calidad de las políticas generadas por la GRAI son adecuadas para una empresa de la envergadura del CNT EP, sin embargo es notoria la falta de empoderamiento de esta gerencia para controlar y hacer cumplir las políticas y normas establecidas. · El equipo de profesionales de la GRAI es calificado para sus funciones, sin embargo no disponen del suficiente personal para auditar a detalle todas las políticas aprobadas. · Cuando el cumplimiento de una política de seguridad tiene alta prioridad, un grupo técnico de la GRAI audita el cumplimiento de la misma, donde son 25 notorios los conflictos y la burocracia que se generan para otorgar los permisos de autenticación y autorización al personal de la GRAI, fruto de una resistencia por parte de las técnicos de la GNT y GNTI. OBSERVACIONES GRUPO TVCABLE: · Respecto a la GSI el Grupo TVCable no tiene una estrategia definida, se maneja reactivamente con el concepto de seguridad informática, limitándose a la adquisición e implementación de dispositivos tecnológicos. · Existe una separación y rivalidad evidente entre la VP. Técnica y la VP. de Sistemas, que no permite la conformación de comisiones para definir en conjunto una estrategia de GSI a nivel de negocio, un ejemplo que evidencia este problema es que varias jefaturas que reportan a la Gerencia Nacional Técnica tienen sus PC´s con dos tarjetas de red, una conectada a la red Interna de la organización y otra con IP pública conectada hacia un Cable Modem, lo cual minimiza a cero todos los esfuerzos que hace la VP. de Sistemas para mantener la red interna segura. · Las VP´s Técnica y de Sistemas del Grupo TVCable en el modelo de madurez de COBIT 4.1, Proceso PO9, Planear y Organizar – Administración de Riesgos de IT, ubicamos a esta organización en un estado “1 Inicial / Ad Hoc”, que considera: o “Los riesgos de TI se toman en cuenta de manera ad hoc. Se realizan evaluaciones informales de riesgos según lo determine cada proyecto. En algunas ocasiones se identifican evaluaciones de riesgos en un plan de proyectos pero se asignan rara vez a gerentes específicos. o Los riesgos específicos relacionados con TI respecto a confidencialidad, disponibilidad e integridad se toman en cuenta ocasionalmente. Los riesgos relativos a TI que afectan las operaciones del día a día, son rara vez discutidas en reuniones gerenciales. 26 o Cuando se toman en cuenta los riesgos, la mitigación de los mismos tienen muy baja prioridad. Existe un entendimiento relativo de que los riesgos de TI son importantes y necesitan ser considerados. 27 CAPÍTULO 2. SELECCIÓN, INTEGRACIÓN DE ESTÁNDARES Y MEJORES PRÁCTICAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. 2.1. ESTADO DEL ARTE EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. Como se puede ver en la Figura 2-1, hay varios enfoques para abordar la GSI. Un primer enfoque es la familia de normas de la serie ISO/IEC 27000, que es un grupo de estándares complementarios entre sí que tratan sobre la GSI y se alinean a los requerimientos específicos de la ISO/IEC 27001, en la misma línea tenemos estándares y buenas prácticas, específicas para una industria como es la ISO/IEC 27011 y la recomendación ITU-T X.10.51 para la industria de las Telecomunicaciones. Figura 2-1: Estándares Relacionados con la GSI. [3] El segundo enfoque a la GSI se lo tiene desde el concepto de Gobierno de TI, que considera a la tecnología como protagonista en la creación de valor para las empresas. COBIT 5 que ha desarrollado también un marco de referencia específico para la GSI como lo es “COBIT 5.0 for Security Information”, se basa en COBIT 4.1, 28 y a su vez lo amplía mediante la integración de otros marcos de referencia como Val IT, Risk IT, ITIL. El tercer enfoque se tiene de la perspectiva de modelos de madurez para la GSI, en particular ISM3 (Information Security Management Maturity Model), que es un modelo alineado con la Gestión de la Calidad de la Seguridad de la Información, es compatible con la norma ISO 9001 e ISO/IEC 27001, que se describe como una norma orientada a las necesidades propias del negocio y no solamente a los a controles de la GSI. Considerando que la metodología a desarrollar es aplicada a la Industria de las Telecomunicaciones, se adopta el marco de referencia de procesos eTOM (Enhanced Telecom Operations Map) v.12, que es un framework de procesos de negocio, parte del modelo NGOSS (New Generation Operations Systems and Software) desarrollado por el TM Forum (TeleManagement Forum). NGOSS es un marco de referencia de procesos para sistemas OSS (Operation Support System) y BSS (Bussiness suport Systems) (Figura 2-3), que incluye los siguientes frameworks del TMN Forum: · eTOM Business Process Framework. · SID Information Framework. · TAM Application Framework. · Integration Framework - Architecture and standard interfaces. Figura 2-2: Modelo NGOSS. [11] 29 Entrando en el contexto de la tesis, para el desarrollo de la Metodología de GSI, se aplicarán los conceptos de GSI de COBIT 5 y la ISO/IEC 27011, sobre el marco de referencia eTOM v.12. 2.1.1. eTOM. [11] Es un modelo empresarial para los proveedores de servicios de Telecomunicaciones, su principal objetivo es hacer que las aplicaciones de soporte al negocio (BSS - Business Support Systems) y a las operaciones (OSS Operations Support Systems) inter operen entre sí, está organizado en tres zonas de procesos (Ver Figura 2-3): Estrategia, Infraestructura y Producto. Esta Zona de procesos comprende aquellos relacionados con el desarrollo de la estrategia, el compromiso con la empresa, la creación de la infraestructura, el desarrollo y gestión de los productos al igual que el desarrollo y gestión de la Cadena de Aprovisionamiento. En el Marco Estructural eTOM, la infraestructura no se limita exclusivamente a la infraestructura TI y a la de los recursos que soportan productos y servicios, sino también a la infraestructura que se requiere para sostener los procesos funcionales, como la Gestión de la Relación con Clientes. Son justamente estos procesos los que guían y permiten la puesta en ejecución de todas las actividades concernidas en la zona de procesos de Operaciones. Operaciones. La zona de Procesos de Operaciones constituye el núcleo del marco eTOM. Incluye todos los procesos de operaciones que dan soporte a la logística operacional del cliente y las actividades de gestión, al igual que aquellos que permiten poner en marcha todas las operaciones directas relacionadas con el cliente. Estos procesos enmarcan de igual forma el soporte a las operaciones día a día y la implantación de los procesos. La visión que propone el Marco eTOM en su zona de Operaciones, abarca también la Gestión de Ventas y Gestión de la Relación Proveedor/Asociado. 30 Gestión Empresarial. Esta Zona de Procesos Gestión de la Empresa, implica todos aquellos procesos de negocios elementales que son necesarios para poner en funcionamiento cualquier sociedad comercial. La óptica de estos procesos va dirigida a todos los procesos a nivel Empresa, las metas y objetivos a alcanzar. Por otro lado, estos procesos mantienen interfaces con prácticamente todos los demás procesos en el interior de la empresa, ya sea que se trate de procesos operacionales o aquellos que atañen a la infraestructura y los productos. En algunas ocasiones, son visualizados a modo de funciones empresariales o simplemente procesos empresariales, como la Gestión de Finanzas, Gestión de Recursos Humanos. A nivel de las dos primeras zonas de procesos como son “Operaciones” y “Estrategia, Infraestructura y Producto”, eTOM establece una agrupación horizontal de procesos (Ver Figura 2-3) que cruza los procesos de las dos zonas mencionadas, que son: Gestión de las Relaciones con el Cliente (CRM). Comprende el conocimiento fundamental de las necesidades de los clientes e incluye todas las funcionalidades necesarias para la adquisición, ampliación, retención y fidelización de una relación con un cliente. Implica el servicio y soporte al cliente, ya sea en centros de atención, por teléfono, web o servicio en campo, contienen todo lo relacionados con la Gestión de Ventas y Canales, la Gestión Marketing y la Gestión del Producto y de la Oferta, al igual que la Gestión de Pedidos, Gestión de Incidentes, Gestión del Contrato de Nivel del Servicio y los procesos de Facturación. 31 Gestión y Operaciones de Servicios. Involucra el conocimiento de los servicios (acceso, conectividad, contenido) e incluye todas las funcionalidades necesarias para la gestión y las operaciones de comunicaciones y los servicios de información requeridos por los clientes. El enfoque está en la entrega y gestión de los servicios, y no en la gestión de la red y la tecnología de información subyacentes. Gestión y Operaciones de Recursos. Mantiene el conocimiento de los recursos (aplicaciones, computación e infraestructura de red) y es responsable de la gestión de todos los recursos utilizados en la entrega y soporte de los servicios requeridos por los clientes, o propuestos por ellos. También incluye todas las funcionalidades responsables de la gestión directa de todos esos recursos utilizados en la empresa. Estos procesos son responsables de asegurar que la infraestructura de red y de tecnologías de información dé el soporte necesario a la entrega diaria de los servicios requeridos. Gestión de las Relaciones con Proveedores. Soporta los procesos operacionales básicos, aprovisionamiento, aseguramiento de ingresos y facturación de instancias del cliente, y los procesos funcionales de operaciones. Estos procesos se alinean fuertemente con los procesos de Gestión de las Relaciones con el Cliente y Proveedores. Por su parte el área de procesos de Operaciones tiene una agrupación vertical que cubre el proceso de Facturación, Aseguramiento de ingresos, Aprovisionamiento de servicios y Cumplimiento, en tanto que el área de procesos de Estrategia, Infraestructura y Producto se agrupa verticalmente en procesos de Gestión del Ciclo de vida de la Infraestructura, Gestión de ciclos de vida de Productos Gestión de Estrategia y Cumplimiento. y 32 Como se puede ver en la Figura 2-3, la intersección del agrupamiento horizontal y vertical en las zonas de procesos de Operaciones y Estrategia, generan procesos más detallados catalogados como de nivel 2 en eTOM, los cuales son el punto de partida para la generación de la metodología de GSI en cuestión. Figura 2-3: Modelo de Referencia eTOM [11]. 2.1.2. COBIT. [12] Es un marco de Gobierno de las Tecnologías de Información que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio, permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización. COBIT enfatiza el cumplimiento regulatorio y ayuda a las organizaciones a incrementar su valor a través de las tecnologías, permitiendo su alineamiento con los objetivos del negocio, COBIT ha evolucionado de ser una herramienta de auditoría a un marco de gobierno de las TI (Figura 2-4). COBIT 5 agrupa también los siguientes frameworks: 33 · Val IT: marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI. · Risk IT: marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI. · BMIS (Business Model for Information Security): es una aproximación holística y orientada al negocio para la administración de la seguridad informática. · ITAF (IT Assurance Framework): marco para el diseño, la ejecución y reporte de auditorías de TI y de tareas de evaluación de cumplimiento. Figura 2-4: Evolución de COBIT [12]. Para el desarrollo de la Metodología de GSI en cuestión, usaremos la guía de implementación de “COBIT 5 For Security Information, por cuanto es una guía de ISACA para el Gobierno y la Gestión Corporativa de la Seguridad de la Información, basada en los procesos APO13 Gestionar la Seguridad, DSS04 Gestión de la Continuidad y DSS05 Gestión los servicios de Seguridad [13]. 2.1.3. FAMILIA ISO/IEC 27000. 27011. [2] Las normas de la familia ISO/IEC 27000, en especial ISO/IEC 27001 e ISO/IEC 27002, tienen como principales objetivos: · Establecer un marco metodológico para un SGSI. 34 · La adopción de controles proporcionales a los riesgos percibidos. · La documentación de políticas, procedimientos, controles y tratamiento de riegos. · Identificación y asignación de responsabilidades al nivel adecuado. · Formalización, seguimiento y revisión de los controles y riesgos, de forma sistemática (periódica) y metodológica. · Generación y preservación de evidencias. · Tratamiento de los incidentes de seguridad. · Revisión y mejora continua del SGSI. · Gestión de Riesgos. · Uso de métricas para evaluar efectividad y eficiencia de los controles y del propio SGSI. La ISO/IEC 27001, es la norma más importante de la familia ya que adopta un enfoque de gestión de riesgos en la organización, es certificable y especifica los requisitos para establecer, implantar, mantener y mejorar un SGSI, promueve la mejora continua en los procesos basándose en el ciclo de Deming PDCA [2] . En tanto que la ISO/IEC 27002 es un compendio de prácticas para la GSI para preservar la confidencialidad, integridad y disponibilidad, se especifican objetivos para los controles de la información y una guía para su implementación. ISO/IEC 27002 no es certificable y sirve de apoyo en la certificación de la ISO/IEC 27001. La ISO/IEC 27011 aborda las directrices de gestión de seguridad para las empresas de la industria de las telecomunicaciones, basada en la norma ISO/IEC 27002. Esta norma facilita controles específicos para las TELCO, además de una orientación para la implementación de los controles de seguridad. 35 2.2. SELECCIÓN DE PROCESOS DE eTOM. En este apartado se define una Metodología de Selección de Procesos, en función de su criticidad y nivel del riesgo para el negocio; luego, su aplicación manteniendo el enfoque en las TELCO ecuatorianas, para así obtener los procesos resultantes sobre los cuales se enfocará la Metodología de GSI. 2.2.1. METODOLOGÍA DE SELECCIÓN DE PROCESOS. Esta metodología contempla: · La definición de Nomenclatura de Procesos de eTOM. · Identificación de Proceso Críticos. · Evaluación del Riesgo aplicado a los Procesos Críticos seleccionados. 2.2.1.1. Definición de Nomenclatura de Procesos de eTOM. Cada proceso de nivel 2 de eTOM v.12, tendrá un código de acuerdo a la siguiente nomenclatura: · 2Ad(1) Bill Invoice Management. El digito en primera posición desde la izquierda, identifica el área de proceso a la que corresponde, de acuerdo a la Tabla 2-1: DIGITO ÁREA DE PROCESO 1 Estrategia, Infraestructura y Producto. 2 Operaciones. 3 Gestión. Tabla 2-1 Áreas de Procesos, eTOM v.12. [14] La letra mayúscula en la segunda posición es el agrupamiento horizontal al que pertenece el proceso, de acuerdo a las Tablas 2-2 y 2-3: 36 LETRA MAYÚSCULA ÁREAS DE PROCESOS: ESTRATEGIA, INFRAESTRUCTURA Y PRODUCTO OPERACIONES A Gestión de las Relaciones con el Cliente (CRM). B Gestión y Operaciones de Servicios. C Gestión y Operaciones de Recursos. D Gestión de las Relaciones con el Proveedor. Tabla 2-2 Agrupación horizontal, Área de procesos: Estrategia, Infraestructura y Producto, Operaciones, eTOM v.12. [14] LETRA MAYÚSCULA ÁREA DE PROCESOS: GESTION EMPRESARIAL A Planeación Estratégica Empresarial. B Gestión de Recursos Humanos. C Gestión de Riesgos Empresariales. D Gestión Efectiva Empresarial. E Gestión del Conocimiento e Investigación. F Gestión Financiera. G Gestión de Stake Holders. Tabla 2-3 Agrupación horizontal, Área de procesos: Gestión Empresarial, eTOM v.12. [14] La letra en minúscula en tercera posición corresponde al agrupamiento vertical de acuerdo a las Tablas 2-4 y 2-5: LETRA MINÚSCULA ÁREA DE PROCESOS: ESTRATEGIA, INFRAESTRUCTURA Y PRODUCTO a Estrategia y cumplimiento. b Gestión de ciclo de vida de infraestructura. c Gestión de ciclo de vida de producto. Tabla 2-4 Agrupación vertical, Área de procesos: Estrategia, Infraestructura y Producto, eTOM v.12. [14] LETRA MINÚSCULA ÁREA DE PROCESOS: OPERACIONES a Soporte y Operaciones. b c d Cumplimiento. Aseguramiento de Ingresos. Gestión de la facturación. Tabla 2-5 Agrupación vertical, Área de procesos: Operaciones, eTOM v.12. [14] 37 El digito entre paréntesis en cuarta posición, es un secuencial que determina el número de proceso dentro de la intersección de agrupación horizontal y vertical de procesos de eTOM, ver Figura 2-3. Para el caso específico de los procesos del Área Gestión de eTOM, que tienen solo una agrupación horizontal, la nomenclatura del código de procesos tiene tres posiciones así: · 3F4 Regulatory Management. Donde el dígito en la tercera posición es un secuencial de los proceso dentro del Área de procesos de Gestión. 2.2.1.2. Identificación de Procesos Críticos. Los criterios empleados para la identificación de procesos críticos han sido elegidos luego de conocer la naturaleza e importancia de los procesos en la industria de las Telecomunicaciones. La selección de procesos críticos se evalúa en función de los siguientes criterios: · Cumplimiento de objetivos estratégicos. · Tiempo máximo aceptable fuera de servicio. · Problemas en la ejecución del proceso. Cumplimiento de Objetivos estratégicos. Este criterio es altamente ponderado en los procesos directamente relacionados al cumplimiento de los objetivos estratégicos, que atienden directamente la misión del negocio y satisfacen necesidades concretas de los clientes. La ponderación asignada al cumplimiento de objetivos estratégicos se detalla en la Tabla 2-6. 38 CUMPLIMIENTO DE OBJETIVOS ESTRATÉGICOS PONDERACIÓN Procesos directamente relacionados al cumplimiento de los objetivos. 3 Procesos medianamente relacionados al cumplimiento de los objetivos. 2 Procesos indirectamente relacionados al cumplimiento de los objetivos. 1 Tabla 2-6: Cumplimiento de objetivos estratégicos. [14] Tiempo máximo aceptable fuera de servicio. Este criterio evalúa la criticidad de los procesos en función del tiempo que los mismos pueden dejar de operar total o parcialmente, la ponderación de este criterio asignado a los procesos de acuerdo a un rango de horas fuera de servicio, se detalla en la Tabla 2-7. TIEMPO MÁXIMO ACEPTABLE FUERA DE SERVICIO. Procesos que pueden esperar 0-2 horas para su recuperación. PONDERACIÓN Procesos que pueden esperar 2-8 horas para su recuperación. 2 Procesos que pueden esperar más de 8 horas para su recuperación. 1 3 Tabla 2-7: Tiempo máximo fuera de servicio. [14] Problemas en la ejecución del proceso: Este criterio evalúa el nivel de errores que se presentan en los procesos, que generan reclamos de usuarios externos y/o internos, correcciones y reprocesamientos, que se traducen en el uso ineficiente de recursos de la TELCO, la ponderación de este criterio en función de los problemas y quejas que se generan durante la ejecución del mismo se detalla en la Tabla 2-8. PROBLEMAS EN LA EJECUCIÓN DEL PROCESO PONDERACIÓN Procesos que durante su ejecución presenta problemas y/o quejas de manera frecuente. Procesos que durante su ejecución presenta pocos problemas y/o quejas. Procesos que durante su ejecución casi no se presentan problemas y/o quejas. Tabla 2-8: Problemas en la ejecución del proceso. [14] 3 2 1 39 La ponderación de los tres criterios que fueron detallados en la Tabla 2-8, para evaluar la criticidad de los procesos, se ha utilizado la escala de valores discretos continuos 3,2,1, por cuanto los enunciados asociados a cada valor de la escala, que son cualitativos tienen relación directa con la escala cualitativa Alta, Media y Baja, por ejemplo: En el criterio “Tiempo máximo fuera de Servicio”, ver Tabla 2-7, el enunciado: · Procesos que pueden esperar 0-2 horas para su recuperación, se asocia con un nivel de criticidad Alto. · Procesos que pueden esperar de 2-8 horas para su recuperación, se asociado con un nivel de criticidad Medio. · Procesos que pueden esperar más de 8 horas para su recuperación, se asociado con un nivel de criticidad Bajo. En este ejemplo, se puede apreciar que los enunciados cualitativos contemplan rangos cuantitativos consecutivos, con ello se justifica el uso de la escala de ponderación 3,2 y 1 para los criterios de evaluación de procesos críticos, un análisis similar aplica a los dos criterios de evaluación restantes. Luego de evaluar un proceso para cada criterio, la sumatoria de las ponderaciones de los tres criterios dados, reflejan el Nivel de Criticidad del proceso el cual se lo cataloga de acuerdo a la Tabla 2-9. INTERVALOS DE SUMATORIA DE PONDERACIÓN NIVEL DE CRITICIDAD Críticos 9–7 CARACTERÍSTICAS Las actividades solo pueden realizarse si se reemplazan por otras idénticas. No pueden ser reemplazados por actividades manuales. Muy baja tolerancia a las interrupciones. 6–5 Vitales Pueden realizarse manualmente por un periodo breve. Costos de interrupción tolerables. 4–3 No Críticos Las actividades pueden interrumpirse por tiempos prolongados a bajo costo. Tabla 2-9: Calificación y Nivel de Criticidad de Procesos. [14] 40 Los procesos críticos de acuerdo a la Tabla 2-9 son la información de entrada para la Evaluación del Nivel de Riesgo. 2.2.1.3. Evaluación del Nivel de Riesgo aplicado a los procesos críticos. El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas, los factores que componen el Riesgo son la amenaza y la vulnerabilidad. La evaluación del nivel de riesgo relacionado a los procesos críticos, se determina en función de: · Catálogo de Amenazas. · Catálogo de Vulnerabilidades. · Estimación del Impacto, Amenaza - Vulnerabilidad. · Estimación de Probabilidad de Ocurrencia, Amenaza – Vulnerabilidad. · Estimación de Riesgo, Amenaza - Vulnerabilidad. Catálogo de Amenazas. Las amenazas son escenarios negativos para la organización, que ocurren cuando una vulnerabilidad a nivel de personas, procesos o tecnología es aprovechada por un atacante; por lo tanto, en el contexto de la Gestión de Riesgos es importante definir las amenazas reales a las que una organización se expone, ya que la GSI enfoca sus esfuerzos en evitar en lo posible la materialización de dichas amenazas. Por tal motivo se ha definido dentro del procedimiento de evaluación del Nivel de Riesgo un catálogo de amenazas para la industria de las telecomunicaciones, detallados en la Tabla 2-10. 41 CÓDIGO AMENAZA REFERENCIA A1 LOS SERVICIOS DE UN CLIENTE PUEDEN SER USADOS POR TERCERAS PERSONAS SIN PAGAR POR ELLOS. A2 PERSONAS NO AUTORIZADAS TIENEN ACCESO Y PERMISOS DE MODIFICACIÓN EN PLATAFORMAS TECNOLÓGICAS. A3 PERSONAS NO AUTORIZADAS TIENEN ACCESO Y PERMISOS DE MODIFICACIÓN A SISTEMAS DE INFORMACIÓN. A4 INCUMPLIMIENTO CON ENTES CONTROL QUE IMPLIQUE MULTAS A5 INCUMPLIMIENTO CON ENTES DE CONTROL QUE IMPLIQUEN SUSPENCIÓN DE LICENCIA PARA PROVEER UN SERVICIO. A6 LOS SERVICIOS QUE SE PROVEE A CLIENTES SON INTERCEPTADOS POR ENTIDADES O PERSONAS EXTERNAS. A7 INFORMACIÓN DE AUTENTICACIÓN DE CLIENTES ES REVELADA A TERCEROS. A8 INFORMACIÓN TÉCNICA DEL KNOW HOW DE LA TELCO ES REVELADA A TERCEROS. ISO/IEC 27011, 7.1.1 INVENTORY OF ASSETS, PÁG 27. LITERAL G) A9 INFORMACIÓN ESTRATÉGICA DE NEGOCIOS, CONFIDENCIAL PARA LA EMPRESA ES REVELADA A TERCEROS. ISO/IEC 27011, 7.1.1 INVENTORY OF ASSETS, PÁG 27. LITERAL G) A10 INTERRUPCIONES DEL SERVICIO A NIVEL NACIONAL. A11 INTERRUPCIONES DEL SERVICIO A NIVEL REGIONAL O DE PROVINCIA. A12 INTERRUPCIONES DEL SERVICIO EN SECTORES DENTRO DE UNA CIUDAD. A13 SISTEMAS DE INFORMACIÓN CRÍTICOS NO ESTÁN DISPONIBLES POR PROBLEMAS TÉCNICOS. DE ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, CONSIDERACIONES DE ENTORNO OPERACIONAL E INCIDENTES EN TELCOS, PÁG 13, LITERAL C). ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, CONSIDERACIONES DE ENTORNO OPERACIONAL E INCIDENTES EN TELCOS, PÁG 14, LITERAL D). ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, CONSIDERACIONES DE ENTORNO OPERACIONAL E INCIDENTES EN TELCOS, PÁG 14, LITERAL E). ISO/IEC 27011, 4.2.4.1 HOW TO ESTABLISH SECURITY REQUIREMENTS, ORIGENES DE REQUERIMIENTOS DE UN MARCO DE REFERENCIA DE SEGURIDAD EN UNA TELCO, PÁG 15,LITERAL B). ISO/IEC 27011, 4.2.4.1 HOW TO ESTABLISH SECURITY REQUIREMENTS, ORIGENES DE REQUERIMIENTOS DE UN MARCO DE REFERENCIA DE SEGURIDAD EN UNA TELCO, PÁG 15, LITERAL B). ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, ORIGENES DE REQUERIMIENTOS DE UN MARCO DE REFERENCIA DE SEGURIDAD EN UNA TELCO, PÁG 13, LITERAL A). ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, ORIGENES DE REQUERIMIENTOS DE UN MARCO DE REFERENCIA DE SEGURIDAD EN UNA TELCO, PÁG 13, LITERAL A). ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, CONSIDERACIONES DE ENTORNO OPERACIONAL E INCIDENTES EN TELCOS, PÁG 14, LITERAL C). ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, CONSIDERACIONES DE ENTORNO OPERACIONAL E INCIDENTES EN TELCOS, PÁG 14, LITERAL C). ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, CONSIDERACIONES DE ENTORNO OPERACIONAL E INCIDENTES EN TELCOS, PÁG 14, LITERAL C). ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, CONSIDERACIONES DE ENTORNO OPERACIONAL E INCIDENTES EN TELCOS, PÁG 14, LITERAL B). Tabla 2-10: Catálogo de Amenazas [2] . Las amenazas que se listan en la Tabla 2-10, son consideraciones explicitas de la ISO/IEC 27011 en su apartado 4.2.2, a pesar que la norma no define en sí misma un catálogo de amenazas, es clara en citar en este apartado los escenarios que se deben evitar en la industria de las Telecomunicaciones, a modo de ejemplo se procede a detallar el análisis realizado para definir las amenazas A10, A11, A12 de la Tabla 2-10: 42 Partiendo de la sección 4.2.2 de la ISO/IEC 27011, correspondiente a las consideraciones específicas para la Seguridad de la Información en la industria de las Telecomunicaciones, donde en el literal c), describe lo siguiente: “A major concern of telecommunications organizations is the possibility of compromised security that causes network down-time. Such down-time can be extremely costly in terms of customer relations, lost revenue, and recovery costs. Deliberate attacks on the availability of the national telecommunications infrastructure can be viewed as a national security concern. [2] ” Que se refiere a la mayor preocupación que deben tener las TELCO respecto a la GSI, este párrafo tomado de la ISO/IEC 27011 justifica que se considere en el catálogo de amenazas de la Tabla 2-10, la amenaza A10 cuya descripción es INTERRUPCIONES DEL SERVICIO A NIVEL NACIONAL, del mismo párrafo de la ISO/IEC 27011, se desprende la justificación para considerar las amenazas A11 INTERRUPCIONES DEL SERVICIO A NIVEL REGIONAL O DE PROVINCIA y A12 INTERRUPCIONES DEL SERVICIO EN SECTORES DENTRO DE UNA CIUDAD, las cuales en contexto son lo mismo que la A10, pero su impacto es diferente, por tanto las amenazas A10, A11 y A12 son aplicables a las TELCO ecuatorianas. El mismo análisis se aplica para justificar todas las amenazas de la Tabla 2-10, con su respectiva referencia a la norma ISO/IEC 27011. Catálogo de Vulnerabilidades. Una vulnerabilidad es un defecto o una debilidad en procedimientos de seguridad, deficiencia en diseño o implementación de controles internos, que podrían ser explotados y materializar una amenaza. Para la evaluación del Nivel de Riesgo, se define un catálogo de vulnerabilidades, ver Tabla 2-11, basado en la ISO/IEC 27011, con un análisis análogo a la definición de las amenazas de la Tabla 2-10. 43 CÓDIGO V1 V2 V3 V4 V5 V6 VULNERABILIDADES TRÁFICO O DATOS SENSIBLES SIN ENCRIPTACIÓN, SEA A NIVEL DE COMUNICACIONES O BASES DE DATOS. AUSENCIA O GESTIÓN INADECUADA DE ALTA DISPONIBILIDAD, CONTEMPLA PLATAFORMAS TECNOLÓGICAS, COMUNICACIONES Y SERVIDORES. AUSENCIA O GESTIÓN INADECUADA DE AUTENTICACIÓN Y/O AUTORIZACIÓN EN CPDS , SISTEMAS DE INFORMACIÓN, NMS DE PLATAFORMAS ESTRATÉGIAS DE RESPALDOS INEFICIENTES. AUSENCIA DE CONTROL DE CAMBIOS DE SISTEMAS DE INFORMACIÓN, PLATAFORMAS TECNOLÓGICAS Y DISPOSITIVOS DE COMUNICACIONES. AUSENCIA DE POLÍTICA DE USO DE INFORMACIÓN Y RECURSOS TECNOLÓGICOS EN LA TELCO. REFERENCIA ISO/IEC 27011, 10.6.2, SECURITY OF PLATFORM SERVICES, PÁG 46, LITERAL C) ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN TELECOMMUNICATIONS, PÁG 14, LITERAL A). ISO/IEC 27011, SECCION 6.2, ADDRESSING SECURITY WHEN DEALING WITH USERS AND CUSTOMERS, PÁG 20, LITERAL D). ISO/IEC 27011, SECCION 10.5, BACKUP, PÁG 46. ISO/IEC 27011, SECCION MANAGEMENT, PÁG 41. 10.1.2, CHANGE ISO/IEC 27011, SECCION 7.1.1, INVENTORY ASSETS, TELECOMMUNICATIONS-SPECIFIC IMPLEMENTATION GUIDANCE, PÁG 26. Tabla 2-11: Catálogo de Vulnerabilidades [2]. Estimación del Impacto (Amenaza - Vulnerabilidad). Es una valoración subjetiva en base a la combinación de una Amenaza y sus Vulnerabilidades, en función de su incidencia en la Integridad, Confidencialidad y Disponibilidad. Para trabajar bajo este enfoque se define una ponderación especificada en la Tabla 2-12. Amenaza - Vulnerabilidad PONDERACIÓN Bajo 1 Medio 3 Alto 5 Tabla 2-12: Definición del Impacto. [14] En la ponderación de la Tabla 2-12, se utilizan los valores discretos no continuos 1, 3, 5 asociados al Impacto Bajo, Medio y Alto respectivamente, considerando que el impacto de una combinación Amenaza – Vulnerabilidad asociada a uno de los criterios de seguridad de la información sea Integridad, Confidencialidad y Disponibilidad, puede determinar que todo el proceso tenga un alto Nivel de Riesgo, se justifica que los valores de ponderación no sean continuos, ya que se requiere mayor representación numérica en la evaluación del Impacto. 44 Estimación de Probabilidad de Ocurrencia (Amenaza – Vulnerabilidad). La probabilidad de ocurrencia se establece para cada amenaza asociada a una vulnerabilidad, se clasificada de acuerdo a la Tabla 2-8: PROBABILIDA DE OCURRENCIA PONDERACIÓN Baja 1 Media 2 Alta 3 Tabla 2-13: Probabilidad de Ocurrencia. [14] La ponderación de la Tabla 2-13, se basa en los valores discretos continuos 1, 2, 3 asociados a la Probabilidad de ocurrencia Baja, Media, Alta, mantenemos estos valores por cuanto la mayor representación numérica está dada por el Impacto asociado a la combinación Amenaza – Vulnerabilidad, y posteriormente se realizará una operación matemática entre el Impacto y la probabilidad para obtener el Riesgo asociado. Estimación de Riesgo (Amenaza – Vulnerabilidad). El Riesgo se determina en función del Impacto por la Probabilidad de Ocurrencia de una Amenaza asociada a una Vulnerabilidad. · El riesgo de la Amenaza es el promedio del riesgo de todas las vulnerabilidades asociadas a la amenaza. · El riesgo del Proceso es el promedio del riesgo de todas las amenazas del proceso. · El Nivel del Riesgo, es el riesgo del proceso en forma cualitativa de acuerdo a la Tabla 2-14, cabe acotar que la calificación del Nivel de Riesgo, no puede solamente depender de resultados matemáticos, por características propias de los riesgos dentro de la Seguridad de la Información, el Nivel de Riesgo de un proceso, obedece también a las siguientes consideraciones: El Nivel de riesgo de todo el proceso se considera alto, si: 45 · El resultado del promedio del Riesgo de al menos una Amenaza asociada a sus vulnerabilidades es alto o muy alto. · Si el resultado del riesgo de una amenaza asociada a una vulnerabilidad es muy alto. CUALIFICACIÓN DEL RIESGO PONDERACIÓN Baja >1 y <= 3 Media > 3 < =9 Alta >= 10 Muy alta >=30 Tabla 2-14: Cualificación del Riesgo. [14] 2.2.2. APLICACIÓN DE LA METODOLOGÍA DE SELECCIÓN DE PROCESOS. A continuación se detalla la aplicación y los resultados obtenidos de la Metodología de Selección de procesos definida en la sección 2.2.1 de este documento, es importante destacar, que el criterio para dicha aplicación, está en función de los resultados de las encuestas realizadas a profesionales involucrados directamente con la GSI en TELCO’s ecuatorianas (Anexo A Encuestas) y de la experiencia de los autores en el ámbito de la Industria de las Telecomunicaciones en el país. 2.2.2.1. Aplicación de procedimiento de identificación de Procesos Críticos. La información de entrada para este procedimiento, es el listado de procesos de nivel 2 de eTOM v.12 con su respectiva descripción, aplicada la nomenclatura establecida en la sección 2.2.1.1 de este documento (Anexo B), que comprende un listado de 86 Procesos de eTOM. El proceso 3B2 Security Management, no se contemplará dentro de la evaluación de procesos críticos, ya que el objetivo de la tesis es desarrollar una Metodología de GSI para las TELCO ecuatorianas, con esta omisión evitamos la posibilidad de caer en el caso de análisis ambiguo de generar recomendaciones de GSI para un proceso de GSI de eTOM. Luego de aplicar el procedimiento de evaluación de procesos críticos, de acuerdo a lo especificado en la sección 2.2.1.2 de este documento, a los 86 procesos de eTOM v.12 (Anexo B), 46 con el enfoque en las TELCO ecuatorianas, la Tabla 2-15 lista los 25 procesos considerados críticos, de acuerdo a la Metodología establecida. CODIGO DE PROCESO 1Ab PROCESO eTOM (NIVEL 2) PRODUCT & OFFER CAPABILITY DELIVERY 1Cb 7 2Ab(2) RESOURCE CAPABILITY DELIVERY SUPPLY CHAIN DEVELOPMENT & CHANGE MANAGEMENT SELLING 2Ac(2) CUSTOMER QOS/SLA MANAGEMEN 7 2Ad(1) BILL INVOICE MANAGEMENT 9 2Ba SM&O SUPPORT READINESS 9 1Dc PONDERACIÓN 7 7 8 2Bb SERVICE CONFIGURATION & ACTIVATION 7 2Ca RM&O SUPPORT & READINESS 7 2Cb RESOURCE PROVISIONING 7 2Da S/P PROBLEM REPORTING & MANAGEMENT 7 2Dd(2) S/P INTERFACE MANAGEMENT 7 3A6 ITIL CHANGE MANAGEMENT 7 3B1 BUSINESS CONTINUITY MANAGEMENT 7 3B3 FRAUD MANAGEMENT 8 3B4 AUDIT MANAGEMENT 9 3B7 ITIL IT SERVICE CONTINUITY MANAGEMENT 7 3C1 7 3C11 PROCESS MANAGEMENT & SUPPORT ITIL SERVICE ASSET AND CONFIGURATION MANAGEMENT ITIL CAPACITY MANAGEMENT 3D2 RESEARCH MANAGEMENT 7 3E1 FINANCIAL MANAGEMENT 7 3F4 REGULATORY MANAGEMENT 9 3F5 LEGAL MANAGEMENT 7 3G1 HR POLICIES & PRACTICES 7 3C6 Tabla 2-15: Resultado de Procesos Críticos de eTOM. [14] 7 7 47 2.2.2.2. Aplicación de Evaluación del Nivel de Riesgo a Procesos Críticos. Los procesos de entrada para esta evaluación, son los procesos de la Tabla 2-15, considerados como críticos, luego de la aplicación de la evaluación de acuerdo a lo especificado en la sección 2.2.1.3, en el Anexo F, Evaluación de Nivel de Riesgo de procesos críticos, se obtiene como resultado 6 procesos Críticos con un Alto Nivel de Riesgo (Tabla 2-16), estos procesos son la información de entrada para el desarrollo de la Metodología de GSI en cuestión. CODIGO DE PROCESO 2Bb PROCESO eTOM (NIVEL 2) SERVICE CONFIGURATION & ACTIVATION 2Ad(1) BILL INVOICE MANAGEMENT 9 2Ba SM&O SUPPORT READINESS 9 3B3 FRAUD MANAGEMENT 8 3B4 AUDIT MANAGEMENT 9 3F4 REGULATORY MANAGEMENT 9 PONDERACIÓN 8 Tabla 2-16: Procesos Críticos con Alto Nivel de Riesgo de eTOM. [14] 2.3. INTEGRACIÓN DE COBIT 5 E ISO/IEC 27011 A LOS PROCESOS DE ETOM. La ISO/IEC 27011, específica para la GSI de empresas de Telecomunicaciones, toma como base la ISO/IEC 27002 y agrega recomendaciones especiales para la industria de las Telecomunicaciones; como se puede ver en el Anexo Digital /Estándares, el Índex de ISO/IEC 27002 y de la ISO/IEC 27011 es el mismo; por lo que se justifica la validez de utilizar la ISO/IEC 27002 para hacer el mapeo con COBIT 5 y usar las recomendaciones de la ISO/IEC 27011 en el desarrollo de la Metodología de GSI. 2.3.1. MAPEO COBIT 5 E ISO/IEC 27011. En COBIT 5 For Security Information, en su Apéndice H, Mapeos Detallados, cuyo documento se incluye en el Anexo Digital/Estándares, establece un mapeo de los procesos de COBIT 5 con la ISO/IEC 27002, específico para la GSI (Tabla 2-17), 48 considerando el párrafo de la sección 2.3 de este documento, es válido considerar la Tabla 2-17 como el mapeo formal entre COBIT 5 y la ISO/IEC 27011, el mapeo en cuestión formulado por ISACA, es el pilar fundamental en el que se basa el desarrollo de la metodología de GSI en cuestión [13]. Evaluar, Orientar y Supervisar (EDM) COBIT 5 Procesos Asegurar el establecimiento y EDM01 mantenimiento del marco de gobierno Asegurar la entrega de EDM02 beneficios Asegurar la optimización del EDM03 riesgo Asegurar la optimización de los EDM04 recursos EDM05 APO01 Alinear, Planificar y Organizar (APO) APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 Asegurar la transparencia hacia las partes interesadas Gestionar el Marco de Gestión de TI Gestionar la Estrategia Gestionar la Arquitectura Empresarial Gestionar la Inversión Gestionar Portafolio Gestionar el Presupuesto y Costo Gestionar los Recursos Humanos Gestionar las Relaciones Gestionar los Acuerdos de Servicios OBJETIVO DE CONTROL ISO/IEC 27011 6.1.1 Compromiso de la dirección con la seguridad de la Información N/A 14.1.2 Continuidad de negocio y gestión de riesgos N/A 6.1.1 Compromiso de la dirección con la seguridad de la información 6.1.2 Coordinación de la seguridad de la información 6.1.3 Establecimiento de responsabilidades de la seguridad de la información 6.1.4 Proceso de autorización de instalaciones para el tratamiento de la información 6.1.5 Acuerdos de confidencialidad 6.1.6 Contacto con autoridades 6.1.7 Contacto con grupos de interés especiales 6.1.8 Revisión independiente de la seguridad de la información 6. Organización de seguridad de la información N/A N/A N/A N/A N/A 8. Seguridad de la Información de Recursos Humanos N/A 10.2.1 Provisión de servicios 10.2.2 Supervisión y revisión de los servicios prestados por terceros 10.2.3 Gestión del cambio en los servicios prestados por terceros 49 APO10 Gestionar Proveedores APO11 Gestionar la Calidad APO12 Gestionar el Riesgo APO13 Gestionar la Seguridad Gestionar los Programas y BAI01 Proyectos BAI02 BAI03 Construir, Adquirir e Implementar (BAI) BAI04 BAI05 Gestionar la Definición de Requisitos Gestionar la Identificación y la Construcción de Soluciones Gestionar la Disponibilidad y la Capacidad Gestionar la Introducción de Cambios Organizados BAI06 Gestionar los Cambios BAI07 Gestionar la Aceptación del Cambio y de la Transición BAI08 Gestionar el Conocimiento 6.1.5 Acuerdos de confidencialidad 6.2.1 Identificación de riesgos relacionados con terceros 6.2.3 Tratamiento de la seguridad en contratos con terceros 8.1.2 Investigación de antecedentes 8.1.3 Términos y condiciones de contratación 10.2.3 Gestión del cambio en los servicios prestados por terceros 10.8.2 Acuerdos de intercambio 12.4.2 Protección de datos de prueba del sistema 12.5.5 Externalización del desarrollo de software 15.1.4 Protección de datos y privacidad de la información de carácter personal N/A 13.1.1 Notificación de eventos de seguridad de la información 13.1.2 Notificación de puntos débiles de seguridad 14.1.1 Inclusión de seguridad de la información en el proceso de gestión de la continuidad del negocio 14.1.2 Continuidad del negocio y evaluación de riesgos Tratado a lo Largo de esta Norma N/A 10.1.1 Análisis y especificación de los requisitos de seguridad 10.3.2 Aceptación del sistema 11.6.2 Aislamiento de sistemas sensibles 12.1.1 Análisis y especificación de requisitos de seguridad Tratado a lo Largo de esta Norma 10.3.1 Gestión de la capacidad N/A 10.1.2 Gestión de cambios 11.5.4 Uso de las utilidades del sistema 12.5.1 Procedimientos de control de cambios 12.5.3 Restricciones a los cambios en los paquetes de software 12.6.1 Control de las vulnerabilidades técnicas 6.1.4 Proceso de autorización de instalaciones para el tratamiento de la información 8.2.2 Concienciación, formación y capacitación en seguridad de la información 9.1.6 Áreas de acceso público y de carga y descarga 10.1.4 Separación de los recursos de desarrollo, prueba y operación 10.3.2 Aceptación del sistema 12.4.2 Protección de los datos de prueba del sistema 12.4.3 Control de acceso al código fuente de los programas 12.5.1 Procedimientos de control de cambios 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 10.1.1 Documentación de los procedimientos de operación 10.3.2 Aceptación del sistema 10.7.4 Seguridad de la documentación del sistema 13.2.2 Aprendizaje de los incidentes de seguridad de la información 50 BAI09 Gestionar los Activos BAI10 Gestionar la Configuración DSS01 DSS02 Gestionar las Operaciones Gestionar las Peticiones y los Incidentes del Servicio Gestionar los Problemas Supervisar, Evaluar y Valorar (MEA) Entrega, Servicio y Soporte (DSS) DSS03 DSS04 DSS05 Gestionar la Continuidad Gestionar los Servicios de Seguridad DSS06 Gestionar los Controles de los Procesos del Negocio MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad MEA02 Supervisar, Evaluar y Valorar el Sistemas de Control Interno 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.2.2 Etiquetado y manipulado de la información 10.7.4 Seguridad de la documentación del sistema 11.4.3 Identificación de los equipos en las redes 12.4.1 Control del software en explotación 12.4.2 Protección de los datos de prueba del sistema 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 12.5.3 Restricciones a los cambios en los paquetes de software 12.6.1 Control de las vulnerabilidades técnicas 15.1.5 Prevención del uso indebido de los recursos de tratamiento de la información 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.2.2 Etiquetado y manipulado de la información 10.7.4 Seguridad de la documentación del sistema 11.4.3 Identificación de los equipos en las redes 12.4.1 Control del software en explotación 12.4.2 Protección de los datos de prueba del sistema 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 12.5.3 Restricciones a los cambios en los paquetes de software 12.6.1 Control de las vulnerabilidades técnicas 15.1.5 Prevención del uso indebido de los recursos de tratamiento de la información 10. Gestión de comunicaciones y operaciones 13. Gestión de incidentes de seguridad de la información 13.2.2 Aprendizaje de los incidentes de seguridad de la información 14. Gestión de la continuidad del negocio Tratado a lo Largo de esta Norma 8.2.1 Responsabilidades de la dirección 10.1.3 Segregación de tareas 10.1.4 Separación de los recursos de desarrollo, prueba y operación 10.5.1 Copias de seguridad de la información 10.6.1 Controles de red 10.7.3 Procedimientos de manipulación de la información 10.8.3 Soportes físicos en tránsito 10.8.4 Mensajería electrónica 12.4.2 Protección de los datos de prueba del sistema 12.4.3 Control de acceso al código fuente de los programas 10.10.2 Supervisión del uso del sistema 5.1.2 Revisión de la política de seguridad de la información 6.1.8 Revisión independiente de la seguridad de la información 10.10.2 Supervisión del uso del sistema 5.1.1 Documento de política de seguridad de la información 5.1.2 Revisión de la política de seguridad de la información 6.1.8 Revisión independiente de la seguridad de la 51 Supervisar, Evaluar y Valorar la MEA03 Conformidad con los Requerimientos Externos información 6.2.3 Tratamiento de la seguridad en contratos con terceros 10.2.2 Supervisión y revisión de los servicios prestados por terceros 10.10.2 Supervisión del uso del sistema 10.10.4 Registros de administración y operación 15.2.1 Cumplimiento de políticas y normas de seguridad 15.2.2 Comprobación del cumplimiento técnico 15.3.1 Controles de auditoría de los sistemas de información 6.1.6 Contacto con las autoridades 15.1.1 Identificación de la legislación aplicable 15.1.2 Derechos de propiedad intelectual (IPR) 15.1.4 Protección de datos y privacidad de la información de carácter personal Tabla 2-17 Mapeo COBIT 5 con ISO/IEC 27011, para la GSI. [14] 2.3.2. MAPEO DE COBIT 5 E ISO/IEC 27011 A LOS PROCESOS DE ETOM. La información de entrada para este mapeo, es la Tabla 2-16, Procesos Críticos con Alto Nivel de Riesgo de eTOM, y la Tabla 2-17, Mapeo COBIT 5 con ISO/IEC 27011 para la GSI; el objetivo de esta sección es establecer las coincidencias entre las Tablas 2-16 y 2-17 en función de las necesidades de GSI de las TELCO ecuatorianas, este es un punto crítico en el desarrollo de la Metodología, por cuanto se tiene que hacer un análisis complejo para identificar, para cada proceso seleccionado de eTOM, la directriz que proporcionan los procesos de COBIT 5 y los controles de la ISO/IEC 27011, que aplican y son necesarios para la GSI del proceso en análisis, manteniendo el enfoque en la realidad de las TELCO ecuatorianas y en las vulnerabilidades identificadas en el proceso en análisis, ver Anexo F, Evaluación de Nivel de Riesgo de procesos críticos. A manera de ejemplo, se describe el análisis realizado para el proceso BILL INVOICE MANAGEMENT de eTOM, partiendo de la premisa que es un proceso crítico para la TELCO, ver Tabla 2-16 y tomando en cuenta las principales vulnerabilidades detectadas en la evaluación del Nivel Riesgo del proceso realizado en la sección 2.2.2 de este documento. La Tabla 2-18, es una parte de la evaluación del Nivel de Riesgo del proceso BILL INVOICE MANAGEMENT, que contiene las vulnerabilidades que representan mayor riesgo para el proceso , que pueden materializar la Amenaza A3, donde: 52 Amenaza A3: “PERSONAS NO AUTORIZADAS TIENEN ACCESO Y · PERMISOS DE MODIFICACIÓN A SISTEMAS DE INFORMACIÓN”. Vulnerabilidad V5: “AUSENCIA DE CONTROL DE CAMBIOS DE · SISTEMAS DE INFORMACIÓN, PLATAFORMAS TECNOLÓGICAS Y DISPOSITIVOS DE COMUNICACIONES”. Vulnerabilidad V6: “AUSENCIA DE POLÍTICA DE USO DE INFORMACIÓN · Y RECURSOS TECNOLÓGICOS EN LA TELCO”. El mapeo entre eTOM v.12, COBIT 5 e ISO/IEC 27011, son intersecciones entre ellos, que debe cubrir las actividades y controles de GSI, para minimizar el riesgo del proceso respecto a las vulnerabilidades principales del mismo, que en este caso son las vulnerabilidades v5 y v6 asociadas a la amenaza A3, ver en el Anexo C, Integración eTOM - COBIT 5 - ISO/IEC 27011, las intersecciones entre los marcos de referencia y estándares para el proceso BILL INVOICE MANAGEMENT. BILL INVOICE MANAGEMENT A V I C D IMPACTO PROBABILIDAD RIESGO A3 V1 1 1 1 3 1 3 A3 V2 1 1 1 3 1 3 A3 V3 1 1 1 3 1 3 A3 V4 1 1 1 3 1 3 A3 V5 5 1 3 9 3 27 A3 V6 5 1 3 9 3 27 PROMEDIO 11,00 Tabla 2-18 Vulnerabilidades principales del proceso BILL INVOICE MANAGEMENT. [14] En el Anexo C, Integración eTOM - COBIT 5 - ISO/IEC 27011, está el mapeo entre eTOM v12, COBIT 5 e ISO27011 para todos los Procesos Críticos con Alto Nivel de Riesgo (Tabla 2-16), en el cual se ha utilizado el mismo criterio aplicado en el ejemplo anterior, las actividades y controles de la GSI serán detallados en el desarrollo de la Metodología de GSI en el siguiente capítulo. 53 CAPÍTULO 3. PROPUESTA METODOLÓGICA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EMPRESAS DE TELECOMUNICACIONES. 3.1. DEFINICIÓN DE ARQUITECTURA DE LA GSI. Partiendo del concepto genérico de catalizadores o Enabling Processes de COBIT 5, que define a un catalizador como un factor que individual o colectivamente influye a que algo funcione [12] ; la definición de Arquitectura de la GSI en el contexto de la tesis, corresponde a establecer los catalizadores necesarios para la implantación exitosa de la metodología de GSI. Se consideran los siguientes catalizadores: · Estructura organizacional y Principios de la GSI. · Lineamientos para definir las Políticas de Seguridad de la Información. · Procesos de la GSI. · Modelo de Madurez de la GSI · Ciclo de mejora continua de GSI. 3.1.1. ESTRUCTURA ORGANIZACIONAL DE LA GSI. Para garantizar la formalidad y el empoderamiento necesario para la implantación de la GSI en una TELCO ecuatoriana, proponemos la siguiente estructura organizacional [13]: CEO CISO Responsables de los Procesos ISM Figura 3-1 Estructura organizacional propuesta para la GSI. [14] 54 3.1.1.1. Roles en la GSI [13] . CISO (CHIEF INFORMATION SECURITY OFFICER). Mandato: es el responsable al más alto nivel de la organización, del programa de seguridad de la información en la TELCO. Principios Operativos: para el caso específico de las TELCO ecuatorianas, se recomienda, que el CISO reporte al CEO (Chief Executive Officer) de la organización; debe ser el enlace entre la dirección ejecutiva y el programa de seguridad de la información. El CISO debe también comunicar y coordinarse de manera muy cercana con los grupos de interés clave del negocio para cubrir las necesidades de protección de la información, debe reunir las siguientes cualidades: · Ser un comunicador efectivo. · Ser hábil en construir relaciones efectivas con los líderes del negocio. · Ser capaz de traducir los objetivos del negocio en requerimientos de seguridad de la información. · Tener un entendimiento exacto de la visión estratégica del negocio. Ámbito de Control: el CISO es responsable de: · Establecer y mantener un sistema de gestión de seguridad de la información (SGSI). · Definir y gestionar un plan de tratamiento del riesgo de la información. · Supervisar y revisar el SGSI. Nivel de autoridad/derechos de decisión: · Es responsable de implementar y mantener la estrategia de GSI en la organización. · La responsabilidad de que se haga (y la aprobación de las decisiones importantes) reside en la función a la que el CISO reporta, en este caso el CEO. 55 Derechos de delegación: el CISO debe delegar las tareas a los gerentes de seguridad de la información y a personal de negocio. Escalamiento: el CISO debe escalar problemas clave relacionados con el riesgo de información a su supervisor directo en este caso el CEO. ISM (INFORMATION SECURITY MANAGER). Mandato: tiene la responsabilidad completa de la gestión de los esfuerzos en Seguridad de la Información en la organización, es el brazo ejecutor del CISO. Principios operativos: Informa al CISO y hace un trabajo permanente con los propietarios de los procesos de negocio. Ámbito de control: contempla la seguridad de la información en las plataformas tecnológicas, sistemas de Información, gestión de accesos, gestión de amenazas e Incidentes, gestión del riesgo, programa de concienciación, métricas, evaluación de proveedores. Nivel de autoridad/derechos de decisión: autoridad completa en la toma de decisiones sobre las prácticas de seguridad de la información. Derechos de delegación: no debe delegar las decisiones relacionadas con las prácticas del dominio de la seguridad de la información. Escalamiento: puede escalar problemas al CISO. PROPIETARIOS DE PROCESOS NEGOCIO (CUSTODIOS DE LA INFORMACIÓN). Los custodios de la información o los propietarios de los procesos del negocio, actúan como enlaces entre las funciones de negocio y de Seguridad de la Información. Pueden ser asociados con tipos de información, aplicaciones específicas o unidades de negocio dentro de una empresa. Las personas que desempeñen este rol deben poseer conocimiento tanto del negocio como de los tipos de información que son procesados y que requieren protección. Actúan como 56 asesores de confianza y agentes de supervisión en cuestiones relativas a la información dentro del negocio. Este rol debe equilibrar el riesgo de negocio y el de la información, de modo que las decisiones del negocio no prevalezcan siempre sobre las decisiones de la Seguridad de la Información. Importante: la GNT y GNTI son los propietarios de procesos de negocio más relevantes en una TELCO, ya que son los responsables de todo el ámbito Tecnológico en la organización; lo que implica que la GSI debe empoderarse adecuadamente para establecer y controlar las responsabilidades individuales y compartidas de las dos unidades funcionales. 3.1.1.2. Comités [13]. ISSC (INFORMATION SECURITY STEERING COMMITTEE). En la Tabla 3-1, se lista los Integrantes y la función respectiva dentro del comité ISSC: ROL CISO ISM · · · · · · Custodios de la información / propietarios del negocio GNT y GNTI · · · Representantes de las funciones especializadas. · FUNCIÓN Presidir el ISSC y ser el enlace con el Comité de ERM. Responsable de toda la seguridad de la información de la TELCO. Comunicación de las prácticas de diseño, implementación y monitorización. Cuando sea aplicable, el ISM discute las soluciones de diseño por adelantado con los arquitectos de seguridad de la información, para mitigar los riesgos de la información identificados. A cargo de ciertos procesos o aplicaciones de negocio. Responsables de comunicar tanto iniciativas de negocio que puedan impactar en la seguridad de la información, como el impacto que las prácticas de seguridad de la información puedan causar a los usuarios. Pueden tener una comprensión del riesgo de negocio/operativo, costes y beneficios, así como de determinados requerimientos de seguridad de la información para su área de negocio. Informar del estado de las iniciativas de seguridad de la información relacionadas con las TI y con las plataformas tecnológicas que dan servicios a los clientes. Aportar la opinión de los especialistas al comité cuando sea relevante, por ejemplo, de representantes de auditoría interna, RRHH, legal, riesgo, oficial de gestión de proyectos (PMO). A estas funciones se les puede pedir que se unan al ISSC en ocasiones o como miembros permanentes. Puede merecer la pena tener representantes de auditoría interna como miembros permanentes para dar consejo al comité sobre el riesgo de cumplimiento. Tabla 3-1 Integrantes ISSC, Referencia tomada de COBIT5 y acoplada para la GSI. [13] En la Tabla 3-2 se establecen, los principios operativos, el ámbito de control y nivel de autoridad del ISSC: 57 Mandato · Asegurar que las buenas prácticas de la seguridad de la información se aplican de forma eficaz y consistentemente en toda la empresa. · El ISSC se reúne de manera regular, cuando sea necesario para la empresa. Se pueden planificar reuniones más frecuentes durante iniciativas específicas o cuando haya problemas que necesiten ser gestionados urgentemente. · Principios operativos Se debe limitar la pertenencia al comité a un número pequeño de líderes estratégicos y tácticos para asegurar la comunicación bidireccional y la toma de decisiones adecuadas. Otros líderes de negocio pueden ser invitados según la necesidad. · Todas las actas de las reuniones deben ser aprobadas y retenidas por un determinado periodo de tiempo. · Ámbito de control Nivel de · El CISO preside las reuniones del ISSC. El ISSC es responsable en la toma de decisiones de seguridad de la información para toda la empresa. · autoridad/derechos de El ISSC es responsable de las decisiones de seguridad de la información de la empresa en apoyo a las decisiones estratégicas del comité de ERM. decisión · Derechos de El ISSC es el responsable de la estrategia de diseño e implementación del programa de seguridad de la información y esta responsabilidad no se puede delegar a otros roles delegación miembros. · Todos los problemas deben ser escalados al miembro responsable de seguridad de la información pertinente de la dirección ejecutiva. Escalamiento · Las estrategias del riesgo de la información de la empresa deben ser escaladas para su aprobación al comité de ERM Tabla 3-2 Funciones del ISSC, Referencia tomada de COBIT5 y acoplada para la GSI. [13] ERM (ENTERPRISE RISK MANAGEMENT). Este comité, tiene la responsabilidad de la toma de decisiones de la empresa relativas a la evaluación, control, optimización, financiación y monitorización de todas las fuentes de riesgo; con el propósito de incrementar el valor de la empresa a corto y largo plazo para todas sus partes interesadas, en la Tabla 3-3, se lista los integrantes y el rol de los miembros del comité ERM. Integrantes Rol/Funciones · CISO En un escenario óptimo, el CISO es miembro del comité de ERM, para proporcionar al comité asesoramiento sobre riesgos específicos de la información. CEO, COO, CFO · Representante de la alta dirección ejecutiva. · A cargo de ciertos procesos o aplicaciones de negocio. Propietarios de los procesos clave para el negocio. 58 Responsables de comunicar tanto iniciativas de negocio que puedan · impactar en la seguridad de la información, como el impacto que las prácticas de seguridad de la información puedan causar a los usuarios. Pueden tener una comprensión del riesgo de negocio/operativo, costes y · beneficios, así como de determinados requerimientos de seguridad de la información para su área de negocio. Proporciona información especializada cuando sea relevante. Se le puede · pedir su incorporación al comité de ERM de manera ocasional o como Auditoría/ cumplimiento miembro permanente. Por ejemplo, puede merecer la pena tener representantes de la auditoría interna como miembros permanentes con objeto de asesorar al comité en materia de riesgo de cumplimiento. Proporciona asesoramiento legal. Se le puede pedir su incorporación al · Representante legal comité de ERM de manera ocasional o como miembro permanente. Tabla 3-3 Integrantes del ERM, Referencia tomada de COBIT5 y acoplada para la GSI. [13] 3.1.2. PRINCIPIOS EN LA GSI [13]. Tomando como base, los principios generados por ISACA (Information Systems Audit and Control Association), ISF (The Information Security Forum) e ISC (International Information Systems Security Certification Consortium) se adoptan principios de la GSI orientados a: · Defender el Negocio. · Apoyar al Negocio. · Dar Soporte al Negocio. Defender el Negocio: sobre este ámbito, en la Tabla 3-4, se lista los principios que rigen la Metodología de GSI propuesta. Principio Objetivo Descripción · Entender el impacto en el negocio de la Priorizar los escasos recursos de la pérdida de integridad, confidencialidad 1.- Centrar los esfuerzos de seguridad de disponibilidad de información la GSI, en los procesos enfocando los negocio críticos y con un procesos de negocio en las cuales un mayor nivel de Riesgo. incidente en la seguridad la información, esfuerzos a los de la dentro de un proceso o importante negocio crítico, ayudará a establecer el nivel de criticidad. · Los requisitos de recursos para la GSI información, tendría el mayor impacto pueden en el negocio. asignados con prioridad en proteger los ser entonces determinados y procesos que son más críticos para el éxito de la empresa. 59 · La seguridad de la información depende en gran medida de la capacidad de los profesionales del sector, para realizar sus funciones con responsabilidad y con plena 2.- Actuar de una manera Asegurar profesional y ética. relacionadas con la seguridad de la impacto directo sobre la información que se información, se llevan a cabo de una encargan de proteger. que las actividades manera fiable, responsable y eficaz. consciencia de cómo su integridad tiene un · Los profesionales de la seguridad de la información necesitan estar comprometidos con un alto nivel de calidad en su trabajo, al tiempo que demuestran un comportamiento coherente y ético, y respeto hacia las necesidades del individuos y negocio, hacia hacia la otros información confidencial. Proporcionar una influencia positiva · Se debe poner especial énfasis en hacer de en el comportamiento de los usuarios la Seguridad de Información una parte clave finales respecto a la seguridad de la del día a día del negocio, aumentando la información, reducir la probabilidad de conciencia entre los usuarios y garantizando que éstos 3.- Fomentar una cultura que se produzcan positiva de la seguridad de seguridad de la información y limitar incidentes de necesarias para proteger la información y la información. su impacto potencial en el negocio. los sistemas críticos o clasificados. · cuenten con las habilidades Debe hacerse que los individuos tomen conciencia de los riesgos de la información a su cuidado y debe potenciárseles para que tomen las medidas necesarias para protegerla. Tabla 3-4 Principios de la GSI, Defender el Negocio. [13] Apoyar al Negocio: en este contexto, en la Tabla 3-5, se lista los principios que rigen la Metodología de GSI propuesta. Principio Objetivo Descripción · Las obligaciones de cumplimento deben ser identificadas, traducidas a requerimientos específicos para la seguridad de la información y comunicadas a todas las 1.- Cumplir con los Asegurar que se cumplen establecidas, las se personas relevantes. requerimientos legales y obligaciones regulatorios relevantes. gestionan las expectativas de las cumplimiento partes interesadas, y se evitan las entendidas. sanciones legales o multas. supervisados, analizados y mantenidos al · Las sanciones asociadas deben Los al ser controles no- claramente deben ser día para cumplir con nuevos o actualizados requisitos legales o regulatorios. Tabla 3-5 Principios de la GSI, Apoyar el Negocio. [13] 60 Dar Soporte al Negocio: al respecto, en la Tabla 3-6, se lista los principios que rigen la Metodología de GSI propuesta. Principio Objetivo Descripción Las 1.- Entregar calidad y valor a las partes interesadas. Asegurar que la GSI genera valor y cumple los requerimientos de la TELCO. partes interesadas internas y externas deben estar comprometidas a través de comunicaciones regulares de forma que cambiantes sus puedan requerimientos seguir siendo alcanzables. Tabla 3-6 Principios de la GSI, Dar Soporte al Negocio. [13] 3.1.3. LINEAMIENTOS PARA LA DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN. Las políticas de seguridad son una guía de cómo poner en práctica los principios directrices de la GSI a nivel gerencial y operativo, en concordancia con los requerimientos comerciales, leyes y regulaciones relevantes que rigen a las TELCO ecuatorianas. Las Políticas de Seguridad no pueden ser genéricas para toda la Industria de las Telecomunicaciones en Ecuador, ya que cada organización tiene realidades distintas; por es motivo, se proponen los siguientes lineamientos para su establecimiento: · Proveer una definición de Seguridad de la Información en el ámbito específico de la TELCO. · Definir roles y responsabilidades asociadas a la GSI. · Explicar cómo las políticas de Seguridad de la Información se alinean con otras políticas de alto nivel de la TELCO. · Contemplar aspectos específicos y técnicos de seguridad de información, tales como: o Plataformas de Comunicaciones y sus respectivos Sistemas de Gestión. o Sistemas de Mediación y Aprovisionamiento de Telecomunicaciones. o Controles de aseguramiento de Ingresos. o Control del Fraude en la TELCO. 61 o La evaluación de riesgos de la información y el cumplimiento de las obligaciones legales, reglamentarias y contractuales. o La gestión del presupuesto y costo de la GSI. · La visión relativa a la seguridad de la información, acompañada de las metas y métricas apropiadas y una explicación de cómo dicha visión es apoyada por la cultura y la concientización sobre seguridad de la información. Las políticas de seguridad de la información se deben comunicar a todos los integrantes de la organización, en una forma que sea relevante, accesible y entendible para el lector objetivo. 3.1.3.1. Lineamientos para la Implementación. Se recomienda la creación del siguiente listado de Políticas de Seguridad: · Política de seguridad de la información. · Política de control de acceso. · Política de seguridad de la información del personal. · Política de seguridad física y ambiental. · Política de gestión de incidentes. · Política de continuidad de negocio y recuperación ante desastres. · Política de gestión de activos y Reglas de comportamiento (uso aceptable). · Política de adquisición de plataformas tecnológicas, desarrollo de software y mantenimiento de sistemas de información. · Política de gestión de proveedores. · Política de gestión de comunicaciones y operaciones. · Política de cumplimiento. · Política de gestión de riesgos. Cada política del listado anterior debe ser definida, clasificada y gestionada de acuerdo a los siguientes tipos: 62 · Política de seguridad de la información escrita por el ISSC, pero dirigida por la Dirección Ejecutiva, que debe ser tratada en el ERM. · Políticas específicas de Seguridad de la Información redactadas y dirigidas por el ISSC. · Políticas relacionadas con la Seguridad de la Información, pero que están dirigidas por los dueños de los procesos. La definición de cada política debe estar en función de los objetivos que persigue la misma, por tanto se debe determinar el alcance, validez, aplicabilidad, frecuencia de actualización y revalidación, formas de distribución y las metas asociadas a cada Política de la Información. Es importante tomar en cuenta la evolución y la tecnología emergente en las Políticas de Seguridad de la Información; por ejemplo, la evolución del uso de los dispositivos móviles, las redes sociales, computación en la nube, deberían desencadenar la necesidad de revisar y actualizar una política. Además, los cambios en los requerimientos de cumplimiento de regulaciones locales, necesitan una revisión y actualización de las políticas existentes, o quizás la necesidad de nuevas políticas. 3.1.4. PROCESOS. Tomando como directriz el principio número 1 de la GSI de la Tabla 3-4, referente a Defender el Negocio, cuyo enunciado dice: “Centrar los esfuerzos de la GSI, en los procesos negocio críticos y con un mayor nivel de Riesgo” y en congruencia con el principio de Pareto; la propuesta Metodológica de GSI para TELCO’s ecuatorianas, se basa en la GSI aplicada a los procesos de eTOM v12 de la Tabla 3-7, que son los Procesos Críticos y con Alto Nivel de Riesgo en la organización, obtenidos por la aplicación de la Metodología de Selección de Procesos planteada en la sección 2.2 de la presente tesis. 63 CODIGO DE PROCESO PROCESO eTOM (NIVEL 2) PONDERACIÓN 2Bb SERVICE CONFIGURATION & ACTIVATION 8 2Ad(1) BILL INVOICE MANAGEMENT 9 2Ba SM&O SUPPORT READINESS 9 3B3 FRAUD MANAGEMENT 8 3B4 AUDIT MANAGEMENT 9 3F4 REGULATORY MANAGEMENT 9 Tabla 3-7 Procesos Críticos con Alto Nivel de Riesgo de eTOM. [14] Para cada proceso seleccionado de eTOM y su respectivo mapeo con COBIT 5 y la ISO/IEC 27011 que está en la sección 2.2.3, se realiza un análisis de la GSI dentro del contexto del proceso, para determinar las actividades y los controles de GSI de la Metodología propuesta. Como resultado de este análisis se obtiene las Guías de Implementación de la GSI para los procesos de la Tabla 3-7, Ver Anexo D, Guías de Implementación de procesos de la GSI, lo que constituye la parte neurálgica de la Metodología de GSI en cuestión. 3.1.5. MODELO DE MADUREZ DE LA GSI. Considerando la importancia del Modelo de Madurez de la GSI para la Metodología en cuestión, se dedica el Capítulo 4 de la presente tesis, específicamente a la concepción del mismo; donde se explica su fundamento teórico y se desarrollará su procedimiento. 3.1.6. CICLO DE MEJORA CONTINUA DE LA GSI. Es importante que la GSI adopte un ciclo de mejora continua; para lo cual, se hace referencia al Ciclo de Deaming PDCA (Figura 3-2), que es un modelo de mejoramiento continuo de la calidad, que consiste en una secuencia lógica de cuatro pasos repetitivos para el mejoramiento y aprendizaje continuo [15], cuyos pasos son los siguientes: 64 · PLAN (PLANIFICAR): planifique antes del cambio. Analice y prediga los resultados. · DO (HACER): ejecute el plan, tomando las medidas requeridas. · CHECK/STUDY (VERIFICAR/ESTUDIO): estudie los resultados. · ACT (ACTUAR): tome la acción para estandarizar o para mejorar el proceso. Figura 3-2 Ciclo PDCA de Mejora Continua. [15] 3.1.6.1. Enfoque de mejoramiento continuo para la GSI. La Metodología de GSI propuesta, haciendo referencia al ciclo PDCA citado (Figura 3-2), plantea mejorar la GSI de forma continua bajo el mismo enfoque; sin embargo, para el caso específico de la Gestión de la Seguridad de la Información, se define como punto de partida de la Metodología, la evaluación de la GSI por medio del Modelo de Madurez desarrollado, lo que equivale al paso CHECK/STUDY del modelo PDCA (Figura 3-3); con esta consideración, los pasos repetitivos para la mejora continua para la Metodología propuesta son los siguientes: 1. CHECK/STUDY (VERIFICAR/ESTUDIO): aplicación del Modelo de Madurez de la GSI en la TELCO, como fase inicial de evaluación de la GSI, que genera los siguientes resultados: · Métricas de calidad y progreso de implementación de los controles de GSI. · Zonas de madurez para cada proceso de la GSI. 65 · Plan de Acción propuesto en base a las zonas de madurez de cada proceso y su respectiva prioridad. 2. ACT (MEJORAR): con la información obtenida en el paso 1 (CHECK/STUDY) se puede cotejar los resultados previstos con los resultados reales; en caso de no haberse logrado los objetivos de la planificación, se analizan las causas de las desviaciones y se generan las acciones que permitan eliminar las causas raíz de los desfases; las acciones pueden contemplar mejoras en todos los aspectos de la Metodología de GSI, tales como estructura organizacional, procesos, controles, roles, funciones, comités, principios, métricas y políticas de la GSI. Cabe acotar que en la primera iteración de la Metodología de GSI, no se dispone de resultados previstos de las métricas de GSI y zonas de madurez de los procesos, por ser una fase de evaluación inicial. 3. PLAN (PLANIFICAR): dadas las acciones y/o mejoras resultantes en el paso 2 (ACT), se tiene que organizar y planificar la ejecución de las mismas y definir los resultados previstos, considerando todos los recursos necesarios para su realización. 4. DO (HACER): realizar las actividades de acuerdo a lo planificado. Figura 3-3 Enfoque de mejora continua, acoplado a la Metodología de GSI. [14] 66 Profundizando en la alteración del punto de partida del modelo PDCA, que se realizó al acoplar el enfoque de mejora continua a la Metodología de GSI, que inicia desde el paso CHECK/STUDY (Figura 3-3); cabe hacer énfasis que en la primera iteración de la Metodología, las fases de ACT (Mejoras) y PLAN (Planificación) no tienen información de una ejecución anterior para ser desarrolladas (Tabla 3-8); sin embargo, el paso CHECK/STUDY de la primera iteración, que implica aplicar como evaluación inicial el Modelo de Madurez de la GSI, arroja información relevante; es así que en la primera iteración el paso ACT (mejoras) está dado íntegramente por el Plan de Acción que se desprende del Modelo de Madurez; y, el paso PLAN (planificación) se resume a planificar el paso DO (hacer) tal cual como lo plantea la Metodología de GSI. ITERACION DE EJECUCION DE METODOLOGIA DE GSI. CHECK/STUDY ACT PLAN DO 1 2 3 n OK OK OK OK OK OK OK OK OK OK OK OK OK OK Tabla 3-8 Iteraciones de la Metodología de GSI, Enfoque de Mejora Continua. [14] Figura 3-4 Metodología de GSI, enfoque de mejora continua PDCA, varias iteraciones. [14] 67 Finalmente, la Metodología de GSI con enfoque en la mejora continua, basada en el modelo PDCA en varias iteraciones, con el objetivo de mejorar continuamente la GSI en la TELCO, se representa en la Figura 3-4. 3.2. DESARROLLO DE PROPUESTA METODOLÓGICA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. La presente propuesta Metodológica es una guía de GSI para las TELCO ecuatorianas, así como para los entes de regulación. Adoptar esta metodología debe ser una decisión estratégica que cuente con el compromiso de la alta gerencia durante todo el proceso de implantación. La Metodología de GSI propuesta, parte de las necesidades negocio críticas de las TELCO ecuatorianas en la actualidad y el estado del arte en cuanto a estándares y mejores prácticas de Gobierno de TI y GSI. Importante: la metodología de GSI, en su receta, no contempla hacer una Gestión de Riesgos, pues la misma ya fue realizada en la sección 2.2.2 al aplicar la Metodología de Selección de Procesos de la sección 2.2.1, con un enfoque específico en la Industria de las Telecomunicaciones en el Ecuador, que se basa en encuestas a profesionales relacionados directamente con la GSI en las TELCO ecuatorianas y la experiencia de los autores en el tema; posteriormente, los procesos resultantes son la información de entrada para el mapeo con COBIT 5 y la ISO/IEC 27011, ver sección 2.3.2. Finalmente las Guías de Implementación de procesos de GSI, son consecuencia directa de las propuestas de COBIT 5 y la ISO/IEC 27011 en el contexto de cada proceso, para Gestionar la Seguridad de la Información de las vulnerabilidades comunes y de mayor riesgo en las TELCO del Ecuador. 68 3.2.1. METODOLOGÍA DE GSI. La receta metodológica para la GSI se define en los siguientes pasos: 3.2.1.1. CHECK/STUDY (VERIFICAR/ESTUDIO). Aplicación del Modelo de Madurez, Anexo Digital, Modelo de Madurez Automatizado. 3.2.1.2. ACT (ACCIONES Y/O MEJORAS). En función del Plan de Acción Propuesto por el Modelo de Madurez en el paso anterior CHECK/STUDY, definir las acciones y/o mejoras a realizar, tomando en cuenta el enfoque de la sección 3.1.6.1. 3.2.1.3. PLAN (PLANIFICAR). Planificar la realización de las acciones y/o mejoras definidas en el paso anterior ACT y definir los resultados previstos, en función de las métricas y zonas del Modelo de Madurez de la GSI. 3.2.1.4. DO (HACER). De acuerdo a lo planificado implementar, mantener o modificar la asignación de los roles de la sección 3.1.1 al personal encargado de la implantación de la GSI, cumpliendo los mandatos, principios operativos, ámbitos de control, niveles de autoridad, derechos de delegación y escalamiento definidos para cada uno. De acuerdo a lo planificado implementar, mantener o modificar la membresía de los comités de la sección 3.1.1 con el personal involucrado en la GSI. De acuerdo a lo panificado mantener o modificar las Políticas de Seguridad de Información de la Organización, tomando en cuenta los principios de la GSI de la sección 3.1.2 y los lineamentos para la definición e implementación de las Políticas de Seguridad de la Información, como los describe en la sección 3.1.3. 69 De acuerdo a lo panificado establecer o modificar la relación de correspondencia entre los procesos de la Organización y los procesos de la Tabla 2-16 (Críticos con mayor Nivel de Riesgo). De acuerdo a lo planificado, Aplicar las Guías de Implementación de Procesos de la GSI, ver Anexo D, Guías de Implementación de procesos de la GSI. Ir al paso 3.2.1.1 CHECK/STUDY (Ciclo de Mejora Continua). 3.2.2. ALTERNATIVA COMO METODOLOGÍA GENÉRICA DE GSI PARA TELCO’S. A pesar que el objetivo de la tesis no es realizar una Metodología de GSI para la Industria de las Telecomunicaciones en General; dada la modularidad de la documentación de la tesis, a continuación se da una guía para su aplicación en cualquier TELCO Internacional, se contempla los siguientes puntos: a) Hacer un mapeo en relación uno a uno entre los procesos de la TELCO, con los procesos de eTOM v12 de nivel 2 (Anexo B). b) Aplicar la Metodología de Selección de Procesos de la sección 2.2.1 a los procesos de eTOM v12 mapeados en el literal a; con esto se obtiene un listado de los Procesos Críticos con un Mayor Nivel de Riesgo para la TELCO. c) Con los procesos resultantes obtenidos en el literal c, realizar el mapeo con COBIT 5 y la ISO/IEC 27011, realizando un análisis análogo a la sección 2.3.2; y desarrollar las Guías de Implementación de los procesos de la GSI, tomando en cuenta los niveles de riesgo. d) Aplicar la receta de la Metodología de GSI de la sección 3.2.1. 70 CAPÍTULO 4. DESARROLLO DEL MODELO DE MADUREZ DE LA METODOLOGÍA DE GSI. El Modelo de Madurez a desarrollar, es específico para la Metodología de GSI propuesta en la sección 3.2; para ello, se adopta el enfoque de “Modelo de Madurez del programa de Seguridad de la Información”, propuesto por David Chapin en su artículo publicado en ISACA [16], el cual considera que para el caso específico de la Gestión de la Seguridad de Información, un modelo de madurez debe basarse en dos principios que son: Progreso de implantación de la Metodología de GSI. Que determina el avance de la implantación de la metodología de GSI en la TELCO, en función del número de controles implementados en cada proceso. Como resultado se tiene un porcentaje, que refleja el progreso de la implantación de controles en cada proceso. Estado de la GSI. Se basa en la calidad de la implementación de los controles de la Metodología de GSI propuesta, definiendo métricas cuantitativas para cada proceso y los respectivos rangos de valoración que determinarán su calidad dentro de la escala Baja, Media y Alta. Los rangos de valoración para cada métrica, serán definidos por el ISM en conjunto con los propietarios del negocio y aprobados por el CISO. La definición de las métricas cuantitativas que permitirán evaluar la Madurez de la de la Seguridad de la Información, respecto al estado de la GSI, parte de los objetivos de Seguridad de la Información que persigue la Metodología de GSI, para cada proceso de eTOM de la Tabla 3-7. 71 4.1. DEFINICIÓN DE MÉTRICAS Y PROCESOS DEPENDIENTES. El Modelo de Madurez a desarrollar, abarcará todos los procesos de la Metodología de GSI, ver Tabla 4-1; esto se justifica por cuanto la Metodología de GSI se ha desarrollado enfocada en un conjunto reducido de procesos de eTOM. El criterio específico para enfocarnos en un conjunto reducido de procesos es el principio 1 de la Metodología de GSI, ver Tabla 3-4, referente a Defender el Negocio, que se refiere a “Centrar los esfuerzos de la GSI, en los procesos negocio críticos que tengan un mayor nivel de Riesgo”. En tanto que el criterio general es el principio de Pareto; por el cual, la metodología de GSI se enfoca en un conjunto reducido de procesos clave para la TELCO, los mismos que van a mitigar un alto porcentaje de los riesgos. CÓDIGO DE PROCESO PROCESO eTOM (NIVEL 2) PONDERACIÓN 2Bb SERVICE CONFIGURATION & ACTIVATION 8 2Ad(1) BILL INVOICE MANAGEMENT 9 2Ba SM&O SUPPORT READINESS 9 3B3 FRAUD MANAGEMENT 8 3B4 AUDIT MANAGEMENT 9 3F4 REGULATORY MANAGEMENT 9 Tabla 4-1 Procesos Críticos con Alto Nivel de Riesgo de eTOM. [14] 4.1.1. Métricas del Modelo de Madurez de GSI. Para definir las métricas del Modelo de Madurez, se tiene como información de entrada las Guías de Implementación de procesos de la Metodología de GSI, que se hacen referencia en el paso DO (Hacer) en la sección 3.2.1.4. Las Guías de Implementación son actividades y controles de seguridad de la información, asociados a cada proceso Negocio Crítico y de Alto Nivel de Riesgo, ver Tabla 4-1. A manera de ejemplo, se describe el análisis aplicado para obtener las métricas del Modelo de Madurez para un proceso específico: 72 Partiendo de la Guía de Implementación de la GSI del proceso Bill Invoice Management, ver Tabla 4-3, se procede a identificar en COBIT 5 For Security Information, los objetivos que persiguen las actividades en la Guía de Implementación, ver Tabla 4-2, para posteriormente identificar las métricas relacionadas, en el contexto del proceso en análisis y de los controles de seguridad de las guías de implementación. ACTIVIDADES EN GUÍA DE IMPLEMENTACIÓN. 1. Asegurar que TI supervisa activamente aspectos de seguridad de la información de la infraestructura de TI, tales como configuración, operaciones, acceso y uso. 2. Mantener un procedimiento de recogida de evidencias en línea con las normas de evidencias forenses locales y asegurar que todo el personal está al corriente del procedimiento. 3. Determinar los requerimientos externos de cumplimiento que deben satisfacerse (incluyendo legales, regulatorios, de privacidad y contractuales). OBJETIVOS Establecer controles de seguridad de la información de acuerdo al plan operativo de seguridad de la Información del proceso de Facturación. Establecer y mantener procedimientos de respuesta a incidentes de seguridad de la información en el proceso de Facturación. Satisfacer los requerimientos de cumplimiento requeridos por entes reguladores externos referentes al proceso de Facturación. Supervisar los requisitos externos nuevos o revisados, que impactan en la seguridad de la información en el proceso de Facturación. Tabla 4-2 Objetivos de la GSI a partir de las Actividades de las Guías de Implementación, proceso Bill Invoice Management. [14] SERVICE Nombre del Proceso: CONFIGURATION & ACTIVATION Actividades 1.- Asegurar definen, que implementan durante Identificador del Proceso 2Bb a) Se deben definir los controles de seguridad a cumplir para cada entrega de servicio estándar de la TELCO y en caso de entregas de servicio personalizado, se debe determinar si hay controles de seguridad adicionales que se deben cumplir. b) Se debe monitorear por medio de reportes que los controles de seguridad establecidos para cada servicio se cumplan de acuerdo a lo establecido, para el efecto se requiere: · se y · · Reportes de incidencias y problemas de seguridad de la información referentes a cada servicio. Monitorear el cumplimiento de los acuerdos de nivel de servicio. Revisión en plataforma técnica de eventos de error y alertas que pudieren estar generando fallos, micro cortes o problemas operacionales. y después de la configuración y activación del servicio. Operaciones Guías de Implementación enfocado a la Seguridad de la Información mantienen los controles de seguridad Área de eTOM: c) Todo cambio o modificación que se deba realizar con el propósito de realizar activaciones de nuevos servicios, debe ser debidamente gestionado de acuerdo a la criticidad de los servicios y la plataforma tecnológica que estará sujeta a cambios, estos cambios pueden incluir: · · · · Cambios hechos por la organización para implementar mejoras en el actual servicio. Desarrollo de nueva aplicación a nivel de sistemas de información. Nuevos controles para resolver incidentes o problemas de GSI. Incrementos de capacidad técnica de redes de servicio. 73 · · · · a) Uso de nuevas tecnologías. Aplicación de nuevos firmwares en plataformas tecnológicas. Cambios físicos de equipos. Cambios de proveedor de plataformas tecnológicas. El uso de los recursos de plataformas tecnológicas que intervienen en la configuración y activación de servicios, se debe monitorear y optimizar, así como se debe también proyectar el uso de los mismos en función de las tendencias de uso y tomar acciones proactivas con otras áreas para asegurar que en todo momento estén disponibles y asignados los recursos técnicos necesarios. Supervisar y revisar la disponibilidad y la capacidad. Gestionar 2.- disponibilidad · la de · · los recursos necesarios para la configuración y activación de los servicios de la Supervisar, medir, analizar, informar y revisar la disponibilidad, el rendimiento y la capacidad. Identificar desviaciones respecto a la línea base establecida. Revisar informes de análisis de tendencias identificando cualquier cuestión y variación significativa, iniciando acciones donde sea necesario y asegurando que se realiza el seguimiento de todas las cuestiones pendientes. Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad. TELCO. · Abordar las desviaciones investigando y resolviendo las cuestiones identificadas relativas a disponibilidad, rendimiento y capacidad. Planificar para requisitos de servicios nuevos o modificados. · a) Planificar y priorizar las implicaciones en la disponibilidad, el rendimiento y la capacidad de cambios en las necesidades de la TELCO y en los requerimientos de servicio. Los cambios a nivel de plataformas tecnológicas y/o sistemas de información requeridos para la configuración y activación de servicios tiene que ser debidamente controlada, tomando e cuanta los siguientes aspectos: Evaluar, priorizar y autorizar peticiones de cambio. 3.- Garantizar que los · cambios que se realizan para hacer configuraciones · y activaciones de servicios, sean rápidos y fiables, a la Evaluar todas las peticiones de cambio para determinar su impacto en los procesos de negocio y los servicios TI, y analizar si el cambio afectará negativamente al entorno operativo e introducirá un riesgo inaceptable. Asegurar que los cambios son registrados, priorizados, categorizados, analizados, autorizados, planificados y programados. Gestionar cambios de emergencia. vez que se mitiga cualquier riesgo que impacte negativamente la · estabilidad e integridad del entorno en que se aplica el · cambio. Gestionar cuidadosamente los cambios de emergencia para minimizar futuras incidencias y asegurar que el cambio está controlado y se realiza de forma segura. Verificar que los cambios de emergencia son evaluados debidamente y autorizados de una vez hecho el cambio. Hacer seguimiento e informar de cambios de estado. · Mantener un sistema de seguimiento e informe que documente los cambios rechazados, comunique el estado de cambios aprobados y en proceso y de cambios completados. · Asegurar que los cambios aprobados son implementados como esté previsto 74 Cerrar y documentar los cambios. · a) Siempre que el cambio haya sido implementado, actualizar, de manera consecuente, la documentación de la solución y del servicio, así como los procedimientos a los que afecta el cambio. Toda la información y los elementos de las plataformas tecnológicas de servicio y los sistemas de información deben tener asociado un responsable que pertenezca a la TELCO, para los recursos tecnológicos de responsabilidad compartida especialmente entre Sistemas de Información y Plataformas tecnológicas de servicio se especificarán las responsabilidades de cada área. · Asegurar que toda la información de los activos tecnológicos que se usan para la configuración y activación del servicio esté apropiadamente clasificada. · Definir revisiones periódicas a cargo de los respectivos responsables de los controles de acceso y la aplicación de las políticas de control de seguridad establecidas. La propiedad o responsabilidad puede ser asignada a: 4.- o o o o o Gestionar adecuadamente la Proceso de negocio. Un definido conjunto de actividades. Una aplicación. Información. Plataformas tecnológicas de servicio o dispositivos que cumplen una función. definición de los recursos tecnológicos intervienen · que en En el caso específico de las TELCO es recomendable asignar soluciones completas que cumplen una función por ejemplo: la configuración y activación Plataforma de prepago de telefonía Móvil, que puede incluir, el proceso, la de información, los dispositivos, plataformas tecnológicas de servicio, servidores, los servicios que proporciona la TELCO. recurso humano y sistemas de aprovisionamiento. b) Establecer y mantener un modelo lógico de la toda la infraestructura de la TELCO, segregado por soluciones, registrar los elementos de configuración y las relaciones entre ellos. Incluyendo los elementos de configuración considerados necesarios para gestionar eficazmente los servicios y proporcionar una sola descripción fiable de los activos en un servicio. c) La información de configuraciones y activaciones tiene que estar protegida de accesos no autorizados. Específicamente en el ámbito de las TELCO esta información forma parte de los Sistemas de Gestión de plataformas que son varios en función de la solución y del proveedor, por ende la protección de información se implementa con una política adecuada de gestión de contraseñas y controles de accesos no autorizados. Revisar periódicamente el repositorio de configuración y verificar la integridad y exactitud con respecto al objetivo deseado. d) Al ser las plataformas tecnológicas de servicio y los sistemas de aprovisionamiento, accedidas desde diferentes áreas funcionales, se deben establecer los roles y permisos adecuados en función de las necesidades de cada uno, los cambios en estos roles y permisos tienen que ser estrictamente controlados. Definir y elaborar informes de configuración sobre cambios en el estado de los elementos de configuración. Tabla 4-3 Extracto, Guía de Implementación de Metodología de GSI, proceso BILL INVOCE MANAGEMENT. [14] 75 Luego, tomando como base los objetivos de GSI de la Tabla 4-2, se toman las métricas de COBIT 5 For Security Information y se las acopla en el contexto del proceso en cuestión. Finalmente, las métricas para el proceso Bill Invoice Management están dadas en la Tabla 4-4. PROCESO COBIT DE REFERENCIA. DSS01 OBJETIVO DE LA GSI. Establecer controles de seguridad de la información de acuerdo al plan operativo de seguridad de la Información del proceso de Facturación. METRICAS. · Número de incidentes de seguridad de la información causados por problemas operativos en el proceso de Facturación. · Tiempo promedio de resolución de incidencias de seguridad en el proceso de Facturación. Porcentaje de incidentes relacionados con seguridad de la información que causan interrupción en el proceso de facturación. Promedio del número de incidentes de seguridad de la información que permanecen abiertos en el proceso de Facturación. · DSS02 Establecer y mantener procedimientos de respuesta a incidentes de seguridad de la información en el proceso de Facturación. · · · MEA03 Satisfacer los requerimientos de cumplimiento requeridos por entes reguladores externos referentes al proceso de Facturación. Supervisar los requisitos externos nuevos o revisados, que impactan en la seguridad de la información en el proceso de Facturación. Porcentaje de incidentes de seguridad de la información "cerrados y solventados" en el proceso de Facturación, durante el ciclo. Número de incidentes de seguridad de la Información que ocurren periódicamente sin que se tenga una solución definitiva. · Porcentaje de cumplimiento de requerimientos externos obligatorios. · Número de validaciones de cumplimiento de controles de seguridad que se realizaron en el ciclo. Tabla 4-4 Métricas de GSI, Proceso BILL INVOICE MANAGEMENT. [14] Aplicando un análisis análogo al descrito anteriormente, se obtienen las métricas para cada proceso contemplado en la Metodología de GSI desarrollada. Ver Tablas 4-5, 4-6, 4-7, 4-8, 4-9. A partir de estas métricas se podrá evaluar el estado de la Seguridad de la Información en la TELCO, en función de la calidad de la implementación de la Metodología de GSI. 76 PROCESO COBIT DE REFERENCIA. BAI06 OBJETIVO DE LA GSI. METRICAS. Incorporar los requerimientos de seguridad de la información · durante la evaluación del impacto del cambio en Plataformas Tecnológicas. · BAI09 BAI10 Número de cambios relevantes, requeridos explícitamente por la GSI. Número de requerimientos de seguridad de la información que no se han cumplido después de un cambio en la Infraestructura Tecnológica. Validar que los requerimientos de · seguridad de la información se incorporan durante la evaluación del impacto de los cambios de Emergencia de la Infraestructura Tecnológica. Número de incidentes de seguridad de la información de Emergencia, relativos a los cambios en el entorno. · Número de incidentes de seguridad de la información de Emergencia, relativos a cambios en Infraestructura Tecnológica. Asegurar que todos los activos adquiridos cumplen con los requisitos · de seguridad de la información. Número de revisiones de los requerimientos de seguridad de la información. Asignar roles y responsabilidades a · todos los activos de Telecomunicaciones. Lograr que los mecanismos de · seguridad de la información estén en funcionamiento para evitar el uso no autorizado de los activos. Porcentaje de activos con propietarios asignados Aprobar, implementar y mantener en · toda la empresa líneas de referencia de configuración de seguridad de la información para los dispositivos de Telecomunicaciones. Número de veces que se ha revisado y validado las líneas de referencia de configuración de seguridad para dispositivos de Telecomunicaciones, en el último ciclo. · Número de activos no autorizados identificados Número de discrepancias entre las líneas de referencia de configuración de seguridad establecidas y las configuraciones reales. Tabla 4-5 Métricas de GSI, Proceso SM&O SUPPORT & READINESS. [14] 77 PROCESO COBIT DE REFERENCIA BAI04 OBJETIVO DE LA GSI METRICAS Monitorear las tendencias de Uso de capacidad de Plataformas Tecnológicas e · Identificar posibles Casos de Fraude. Número de alertas generadas de posibles casos de Fraude. Formar parte de un CSIRT Internacional de · Telecomunicaciones. Porcentajes de casos de Fraude confirmados. · Porcentajes de casos de Fraude mitigados localmente. · Porcentajes de casos de Fraude escalados a CSIRT. · Porcentajes de casos de Fraude solventados por CSIRT. · Número de casos de Fraude detectados por falta de segregación de funciones o estructuras organizativas ambiguas. Mantener un nivel adecuado de segregación de funciones en la organización, para evitar incidentes de seguridad de la información. BAI10 Tabla 4-6 Métricas de GSI, Proceso FRAUD MANAGEMENT. [14] PROCESO COBIT DE REFERENCIA OBJETIVO DE LA GSI METRICAS · APO09 Definir controles de seguridad de la Información para todos los servicios que provee la TELCO a sus usuarios y asegurar su cumplimiento. · Número de servicios estándar que no tienen definidos los controles de seguridad para el proceso de configuración y activación del servicio. Porcentaje de controles de seguridad que están establecidos pero que no se cumplen en el proceso de configuración y activación del servicio. · BAI04 Asegurar que los requerimientos de seguridad de la información se incluyen en planes de disponibilidad, los rendimiento y gestión de la capacidad. Número de activaciones de nuevos servicio que no se pudieron realizar de acuerdo a lo planificado, por no disponer de los recursos requeridos. BAI06 Asegurar que los requerimientos de · seguridad de la información se incorporan durante la evaluación del impacto del cambio e en los procesos, aplicaciones infraestructuras. Número de incidentes de seguridad de la información relativos a los cambios previos necesarios para realizar una activación de un servicio. 78 · Porcentaje de cambios realizados que una vez realizados han dejado de cumplirse controles de seguridad predefinidos. · Número cambios de configuración detectados en recursos de plataformas tecnológicas de servicio que no tienen registro de motivo ni responsable del cambio. Se aprueban, implementan y mantienen en toda la empresa líneas de referencia de configuración de seguridad de la información. BAI10 Tabla 4-7 Métricas de la GSI, Proceso SERVICE CONFIGURATION & ACTIVATION. [14] PROCESO COBIT DE REFERENCIA MEA01 MEA03 OBJETIVO DE LA GSI METRICAS Asegurar y supervisar el cumplimiento de las · reglas y regulaciones establecidas internamente y por el ente regulador. Número de aspectos sujetos a regulación, que no están siendo gestionados. · Número de sanciones o multas leves que ha tenido la TELCO. Evaluar el impacto del no cumplimiento de · reglamento, compromisos y/o regulaciones establecidas. · Número de sanciones o multas considerables que ha tenido la TELCO. Número de sanciones o multas graves que ha tenido la TELCO. Tabla 4-8 Métricas de la GSI, Proceso REGULATORY MANAGEMENT. [14] PROCESO COBIT DE REFERENCIA OBJETIVO DE LA GSI METRICAS · · Monitorear continuamente la gestión de auditoria en función de problemas detectados y acciones tomadas. · EDM05 · MEA02 Controlar que la GSI está implementada de acuerdo a lo establecido en la metodología de GSI. Número de incidentes de seguridad relacionados a fuga de información confidencial detectados en el presente período. Número de cambios significativos realizados en la organización de la GSI. Número de incidentes de Seguridad dela Información relacionados a divulgación de Información, no contemplados en los acuerdos de Confidencialidad formalizados. Número de revisiones independientes de la GSI que fueron realizadas de forma programada en el presente período. Tabla 4-9 Métricas de la GSI, Proceso AUDIT MANAGEMENT. [14] 79 4.2. DEFINICIÓN DE ESCALAS, CUANTIFICACIÓN Y RECOMENDACIONES. Como se mencionó anteriormente, el Modelo de Madurez en desarrollo, se basa en dos aspectos, primero por el Progreso de implantación de la Metodología de GSI y segundo el Estado de la GSI. Por ende, los rangos y escalas están asociados a los mismos. Previo a la definición de los rangos y escalas, se debe establecer el período de evaluación en que se aplicará el Modelo de Madurez, por cuanto la contabilización de las métricas será respecto a un período definido, este período debe obedecer a la naturaleza de la TELCO y será fijado por el ISSC, el modelo propone un periodo por defecto de 1 año. 4.2.1. RANGOS Y ESCALAS ASOCIADOS AL PROGRESO DE IMPLANTACIÓN DE LA METODOLOGÍA DE GSI. El progreso de implantación está relacionado con la completitud y específicamente al porcentaje de controles de GSI que han sido ya implementados, respecto al total de controles a implementar en un proceso. En la Tabla 4-10, se establece un rango de porcentajes de progreso de implantación, donde cada rango está asociado a un valor de la escala cualitativa que adoptamos. PORCENTAJE DE CONTROLES IMPLANTADOS % 95 – 100 30 – 94 0 – 29 ESCALA Completo Avanzado Inicial Tabla 4-10 Rangos de porcentaje y Escala del Progreso de Implantación de controles de GSI. [14] 4.2.2. RANGOS Y ESCALAS ASOCIADOS AL ESTADO DE LA GSI. El estado de la GSI está relacionado directamente con la calidad de la implantación de la Metodología de GSI, por tanto, partiendo de las métricas definidas, ver Tablas 4-4, 4-5, 4-6, 4-7, 4-8, 4-9, se requiere asociar cada métrica a la escala cualitativa de calidad Alta, Media o Baja, en el período de evaluación establecido; para hacerlo, se asigna un rango de valoración cuantitativo asociado a la escala cualitativa. En 80 este punto, se hace evidente la necesidad de establecer formalmente el procedimiento continuo de contabilización de las métricas de GSI, en función de los eventos de seguridad de la información que ocurren en la TELCO. A manera de ejemplo, asumiendo que el periodo de evaluación es de 1 año, tomando del proceso Support & Readiness, la métrica: · Número de incidentes de seguridad de la información de emergencia, relativos a los cambios en el entorno tecnológico. Se establecen los siguientes rangos de valoración (ver Tabla 4-11): RANGOS DE VALORACION 0-1 2-4 >= 5 ESCALA DE CALIDAD Alta Media Baja Tabla 4-11 Rangos de valoración y escala cualitativa para métrica de GSI. [14] Donde, si el número de incidentes de seguridad de la información de emergencia, relativos a los cambios en el entorno tecnológico es cero o uno en 1 año, esta métrica tiene una calidad Alta. Análogo al ejemplo anterior, en el Modelo de Madurez de GSI en desarrollo, se aplicará este procedimiento de valoración a todas las métricas de la Metodología de GSI, de acuerdo a la condición actual de la TELCO, respecto a cada métrica. 4.3. ZONAS DE MADUREZ Y PLAN DE ACCIÓN PROPUESTO. Hasta este punto, los aspectos de Progreso de implantación y el Estado de la GSI, se han tratado de forma excluyente; sin embrago, las Zonas de Madurez en concepto, son el resultado de la convergencia de estos dos; lo que va a permitir asociar a cada proceso de la Metodología de GSI con una Zona de Madurez. Finalmente como un plus del Modelo de Madurez, partiendo de las Zonas de Madurez y la relación existente entre las métricas del modelo y los controles de 81 Seguridad de las Guías de Implementación de la metodología de GSI, se propone un plan de acción de la GSI, basado en las prioridades de las Zonas de Madurez. 4.3.1. ZONAS DE MADUREZ. Tomando como información de entrada la escala cualitativa definida para el Progreso de la Implantación de la GSI, ver Tabla 4-10 y la escala cualitativa del Estado de la GSI, ver Tabla 4-11, al ubicarlas en el plano cartesiano (Tabla 4-12), tenemos las Zonas de Madurez; las cuales tienen asociado un color que representa la prioridad con que se deben tomar acciones, donde: · La zona roja implica caos y Primera prioridad para implementar los controles de GSI pendientes o mejorar los que ya están implementados. · La zona amarilla es un estado de alerta y Segunda prioridad para implementar los controles de GSI pendientes o mejorar los que ya están implementados. · La zona verde es el estado deseado de la GSI. A su vez, para la zona roja, amarilla y verde se tiene un secuencial entre paréntesis que indica también prioridad; pero, dentro de un mismo color de zona, para el caso específico de la zona de seguridad verde(3), se lo considera como el estado Progreso de Implantación deseado de la GSI para dicho proceso. Completo Roja (1) Amarillo (1) Verde (3) Avanzado Roja (2) Amarillo (2) Verde (1) Inicial Roja (3) Bajo Amarillo (3) Medio Verde (2) Alto Estado de la GSI (Calidad de Implantación) Tabla 4-12 Zonas del Modelo de Madurez de GSI. [14] 82 La prioridad en las zonas se establece de acuerdo a la siguiente tabla: ZONAS (Prioridad) ANALISIS ACCION Roja (1) Se han implementado todos los controles de GSI, pero los resultados están en el peor escenario. Mejorar la implementación de los controles ya aplicados, analizar causas y tomar medidas necesarias. 2 Roja (2) Se está avanzando con la implementación de los controles de GSI, pero los resultados están en el peor escenario. Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. 3 Roja (3) No se han implementado los Proceder con la implementación de los controles de GSI y los resultados controles de GSI. están en el peor escenario. 4 Amarillo (1) Se ha completado la implementación de los controles de GSI, pero los resultados no son los esperados. Mejorar la implementación de los controles ya aplicados, analizar causas y tomar medidas necesarias. Amarillo (2) Se está avanzando con la implementación de los controles de GSI, pero los resultados no son los esperados. Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. PRIORIDAD 1 5 6 Amarillo (3) 7 Verde (1) 8 9 Verde (2) Verde (3) Se tiene un bajo porcentaje de implementación de controles de GSI y con una calidad media de resultados, se requiere avanzar con la implementación de controles de GSI, para tener mejores resultados. A pesar de que la calidad es alta y se está avanzando en la implementación de controles, se debe llegar al estado deseado de la GSI. A pesar que la calidad es alta; Esto no se atribuye al trabajo realizado por la GSI, por ello, es un riesgo no implementar estos controles. Se ha completado la implementación de los controles de GSI y la calidad de la implementación es alta, este es el estado deseado de la GSI. Implementar los controles de GSI pendientes. Completar la implementación de controles de GSI. Iniciar con la implementación de controles de GSI. Se recomienda un monitoreo continuo para mantener el proceso en el estado deseado de la GSI. Tabla 4-13 Prioridad de las Zonas del Modelo de Madurez de la GSI. [14] Una zona de madurez, se asocia a cada uno de los procesos y no de forma general a toda la Metodología de GSI; a continuación un ejemplo simplificado (Tabla 4-14), de la Zona de Madurez asociada al proceso Bill Invoice Management, la Zona de Madurez es “Roja (1)”, porque el resultado de los valores es BAJA, COMPLETO, 83 en cuanto al Estado de la GSI y Progreso de Implantación respectivamente; el Progreso de la Implantación es COMPLETO, ya que se tienen implementados siete controles de los siete que propone la metodología de GSI y el Estado de la GSI es BAJA ya que la calidad de la implementación de los controles, mayormente es BAJA. METRICAS ESTADO DE LA METRICA Número de incidentes de seguridad de la información causados por problemas operativos en el proceso de Facturación. BAJA Tiempo promedio de resolución de incidencias de seguridad en el proceso de Facturación. MEDIO Porcentaje de incidentes relacionados con seguridad de la información que causan interrupción en el proceso de facturación. MEDIO Número de incidentes de seguridad de la información abiertos en el proceso de Facturación. BAJA Número de incidentes de seguridad de la información cerrados y solventados en el proceso de Facturación. BAJA Número de incidentes de seguridad de la Información que ocurren periódicamente sin que tengan una solución definitiva. MEDIO Porcentaje de prácticas de seguridad de la información en el proceso de Facturación que satisfacen los requerimientos externos obligatorios. BAJA Número de proyectos iniciados para implementar nuevos requerimientos externos. BAJA ESTADO DE LA GSI (CALIDAD) PROGRESO DE LA IMPLANTACION BAJA COMPLETO (7/7 controles Implementados) Zona de Madurez Roja (1) Tabla 4-14 Ejemplo simplificado, Zona de Madurez, Proceso Bill Invoice Management. [14] Cabe hacer una acotación del procedimiento que se aplica para asignar al Estado de GSI, “BAJA”, al proceso Bill Invoice Management en el ejemplo anterior (Tabla 4-14). Como se puede ver cada métrica, individualmente tiene asociada un valor de Estado de GSI, que refleja la calidad de implementación de los controles asociados a la métrica; para asignar una cualificación a nivel de proceso se aplica el concepto de valor dominante, es decir que el valor que más veces se repita a 84 nivel de las métricas será el valor que toma el proceso, que para el caso de ejemplo es “BAJA”. Una segunda acotación es para considerar el caso en que haya dos valores que se repiten en igual número en la escala, se conviene en este escenario, asignar al proceso el valor de mejor calidad de los que se repiten. 4.3.2. PLAN DE ACCIÓN. El Plan de Acción a partir del Modelo de Madurez propuesto, es una consecuencia lógica, que parte de la siguiente información: · Los procesos de la Metodología de GSI, asociados cada uno de ellos a las zonas de madurez, ver Tabla 4-15. · La Prioridad y las acciones requeridas, respecto a las Zonas de Madurez, ver Tabla 4-16. · Las Guías de Implementación de procesos de la Metodología de GSI, ver Anexo D, Guías de Implementación de procesos de la GSI. · La relación directa, existente entre las métricas de un proceso y los controles de GSI del mismo, ver Tabla 4-2, 4-3, 4-4. PROCESOS EN QUE SE APLICA LA GSI ZONA DE MADUREZ SERVICE CONFIGURATION & ACTIVATION (Roja 2) BILL INVOICE MANAGEMENT Amarilla (1) SM&O SUPPORT READINESS Verde (3) FRAUD MANAGEMENT Roja (3) AUDIT MANAGEMENT Amarilla (1) REGULATORY MANAGEMENT Amarilla (2) Tabla 4-15 Ejemplo de Procesos con su respectiva Zona de Madurez. [14] El Plan de Acción; en concreto, es un listado de controles de GSI que se deben implementar o mejorar según sea el caso, siguiendo un orden establecido por su prioridad, ver Tabla 4-16; en pro de mejorar el nivel de madurez de la GSI en la TELCO. 85 PRIORIDAD ZONAS ACCION (Prioridad) 1 Roja (1) Mejorar la implementación de los controles ya aplicados, analizar causas y tomar medidas necesarias. 2 Roja (2) Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. 3 Roja (3) Proceder con la implementación de los controles de GSI. 4 Amarillo (1) Mejorar la implementación de los controles ya aplicados, analizar causas y tomar medidas necesarias. 5 Amarillo (2) Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. 6 Amarillo (3) Implementar los controles de GSI pendientes. 7 Verde (1) Completar la implementación de controles de GSI. 8 Verde (2) Iniciar con la implementación de controles de GSI. 9 Verde (3) Estado deseado de la GSI. Tabla 4-16 Simplificado de tabla 4-10, Prioridad, Zonas de Madurez y Acciones. [14] 4.4. MODELO DE MADUREZ DE LA GSI. A continuación se listan las fases del Modelo, cada una de las cuales está contemplada en la matriz RACI, ver Anexo E, Matriz RACI del Modelo de Madurez de la GSI, donde se vincula cada fase, con los roles y funciones para su implementación. En el Anexo Digital, Modelo de Madurez Automatizado, se anexa una hoja electrónica que automatiza toda la funcionalidad del Modelo de Madurez desarrollado. La receta del Modelo de Madurez contempla las siguientes fases: 4.4.1. PERIODO DE EVALUACIÓN. Definir el periodo de evaluación de la Madurez de la GSI y los rangos de valores de las métricas, de acuerdo al aparatado 4.2.2 del presente documento. El ISM en conjunto con los dueños de los procesos son los responsables de hacerlo, bajo la supervisión y aprobación formal del CISO. Usar modelo de madurez automatizado, en Anexo Digital, Modelo de Madurez Automatizado, hoja de Métricas de GSI. 86 4.4.2. CONTABILIZACIÓN DE MÉTRICAS. Implementar formalmente el procedimiento de contabilización de métricas y supervisar el correcto registro, tanto del avance de implantación de la Metodología, como de los eventos de Seguridad de la Información y su incidencia en las métricas de GSI definidas. El ISM es responsable de la implementación y supervisión de este procedimiento. 4.4.3. EVALUACIÓN. Al finalizar el período establecido, se convoca a los integrantes del ISSC, se exponen los resultados obtenidos, ver Anexo Digital, Modelo de Madurez Automatizado, hoja de Plan de acción; que determina el plan de acción sugerido en función de las prioridades de las zonas de madurez de cada proceso. 87 CAPÍTULO 5. CASO DE ESTUDIO. La Metodología de GSI desarrollada, ha sido formalmente presentada a los directivos de una TELCO del país, con el objetivo de analizar en conjunto la factibilidad y los posibles escenarios de implantación de la Metodología en la organización; finalmente, se ha entregado a la TELCO, un informe ejecutivo con las observaciones y recomendaciones generales para la implantación de la Metodología de GSI propuesta. 5.1. SELECCIÓN DEL CASO DE ESTUDIO APLICADO A UN SERVICIO DE TELECOMUNICACIONES. El caso de estudio consiste en la aplicación de la Metodología de GSI en el Grupo TVCable, se ha seleccionado esta TELCO, por la apertura e interés mostrado por la misma en el desarrollo de la Metodología en cuestión. El caso de estudio es aplicable para todos los servicios de Telecomunicaciones que provee el grupo TVCable; por cuanto, a nivel de gestión todos los servicios mantienen el mismo esquema basado en el modelo BOSS y la Metodología se ubica en el ámbito de gestión y no a nivel operativo, sin tratar aspectos técnicos específicos para cada servicio de Telecomunicaciones; lo dicho, justifica el no realizar el caso de estudio enfocado a un solo servicios de la TELCO sino hacia todos los servicios que el Grupo TVCable provee a sus clientes. 5.2. EVALUACIÓN DEL CASO DE ESTUDIO. De acuerdo al enfoque de mejora continua, que se adoptó para la GSI en la sección 3.1.6.1, el caso de estudio contempla la implantación de la Metodología de la GSI de la sección 3.2.1 en el Grupo TVCable. Es oportuno mencionar que el presente caso de estudio, se enfoca en la primera Iteración de la Metodología de GSI, en la cual es necesario hacer racionalizaciones propias de la Metodología (Tabla 3-8) y limitaciones relacionadas al Grupo TVCable, respecto a la Implantación de la 88 Metodología de GSI en su organización, las mismas que serán expuestas a lo largo del presente caso de estudio. 5.2.1. CHECK/STUDY (Verificar/Estudio). Se procede a la aplicación del Modelo de Madurez de la GSI (Anexo Digital, Modelo de Madurez Automatizado) en el Grupo TVCable, como herramienta de diagnóstico inicial de la GSI, que contempla lo siguiente: · Establecer rangos de progreso de la implementación de controles: siendo la primera Iteración de la Metodología de GSI, se adopta los valores por defecto que han sido propuestos por el Modelo de Madurez (Tabla 5-1). Mayor Igual Menor Igual Completo 95% 100% Avanzado 30% 94% Inicial 0% 29% Tabla 5-1 Rangos de Progreso de Implementación. [14] · Establecer ciclo de evaluación: se establece el ciclo de evaluación en un año, desde Marzo 2015 a Febrero del 2016, este período rige para toda la Metodología de GSI. · Establecer rangos de métricas: la definición de los rangos de valores asociados a las métricas del Modelo de Madurez, se realizaron en conjunto con personal del Grupo TVCable, en función de la experiencia de lo ocurrido en ciclos anteriores. Los rangos establecidos son una aproximación empírica, ya que el Grupo TVCable actualmente, no dispone de un registro histórico formal de los incidentes de Seguridad de la Información ocurridos (Tabla 5-2). Número de incidentes de seguridad de la información causados por problemas operativos en el proceso de Facturación. Tiempo promedio de resolución de incidencias de seguridad en el proceso de Facturación. Porcentaje de incidentes relacionados con la seguridad de la información que causan interrupción en el proceso de facturación. Promedio del número de incidentes de seguridad de la información que permanecen abiertos en el proceso de Facturación. Porcentaje de incidentes de seguridad de la información "cerrados y solventados" en el proceso de Facturación, durante el ciclo. Número de incidentes de seguridad de la Información que ocurren periódicamente sin que se tenga una solución definitiva. Porcentaje de cumplimiento de requerimientos externos obligatorios. Métricas 1% 07 Número de activos no autorizados identificados. Número de veces que se ha revisado y validado las líneas de referencia de configuración de seguridad para 08 dispositivos de Telecomunicaciones, en el último ciclo. Número de discrepancias entre las líneas de referencia de configuración de seguridad establecidas y las 09 configuraciones reales. 06 Porcentaje de activos con propietarios asignados. 100,00 5,00 100,00 11,00 0,00 51,00 20% 20,00 11,00 1,00 30,00 11,00 20,00 20,00 1,00 0,00 Menor Igual Bajo Mayor Igual 1,00 49% 30,00 49% 50,00 100% 16,00 6,00 2,00 21% 2,00 4,00 6,00 Menor Igual 3,00 9700% 15,00 89% 12,00 40% 50,00 9,00 10,00 77% 11,00 10,00 10,00 10,00 50,00 Medio 21,00 4,00 5,00 24:00:00 Mayor Igual 2,00 50% 6,00 50% 6,00 11% 5:01:00 3,00 Menor Igual Medio Mayor Igual 11,00 0,00 0% 16,00 0% 13,00 41% 15,00 Menor Igual 72:00:00 Bajo 24:01:00 6,00 Mayor Igual N Métricas o. 01 Número de cambios relevantes, requeridos explícitamente por la GSI. Número de requerimientos de seguridad de la información que no se han cumplido después de realizar cambios en la 02 Infraestructura Tecnológica. 03 Número de incidentes de seguridad de la información de Emergencia, relativos a los cambios en el entorno. Número de incidentes de seguridad de la información de Emergencia, relativos a cambios en Infraestructura 04 Tecnológica. 05 Número de revisiones de los requerimientos de seguridad de la información. SM&O SUPPORT READINESS 08 Número de validaciones de cumplimiento de controles de seguridad que se realizaron en el ciclo. 07 06 05 04 03 02 01 No . BILL INVOICE MANAGEMENT 0,00 10,00 0,00 78% 12,00 0,00 0,00 0,00 51,00 89 15,00 12,00 1,00 100% 24,00 3,00 5,00 3,00 100,00 Menor Igual 6,00 100% 5,00 100% 5,00 10% 5:00:00 2,00 Menor Igual Alto Alto Mayor Igual 4,00 98% 0,00 90% 0,00 0% 0:01:00 0,00 Mayor Igual Métricas Porcentajes de casos de Fraude escalados a CSIRT. Porcentajes de casos de Fraude solventados por CSIRT. Número de casos de Fraude detectados por falta de segregación de funciones o estructuras organizativas ambiguas. 04 05 06 Porcentajes de casos de Fraude mitigados localmente. 03 8,00 21% 31% 0% 31% Porcentajes de casos de Fraude confirmados. 02 Mayor Igual 30,00 FRAUD MANAGEMENT Número de servicios estándar que no tienen definidos los controles de seguridad para el proceso de configuración y activación del servicio. Porcentaje de controles de seguridad que están establecidos pero que no se cumplen en el proceso de configuración y activación del servicio. Número de activaciones de nuevos servicio que no se pudieron realizar de acuerdo a lo planificado, por no disponer de los recursos requeridos. Número de incidentes de seguridad de la información relativos a los cambios previos necesarios para realizar una activación de un servicio. Porcentaje de cambios realizados, que una vez realizados han dejado de cumplirse controles de seguridad predefinidos. Número cambios de configuración detectados en recursos de plataformas tecnológicas de servicio que no tienen registro de motivo ni responsable del cambio. No Métricas . 01 Número de alertas generadas de posibles casos de Fraude. 06 05 04 03 02 01 N o. SERVICE CONFIGURATION & ACTIVATION Bajo 15,00 100% 100% 10% 100% 200,00 Menor Igual 21,00 16% 9,00 31,00 90% 11,00 4,00 11% 11% 11% 11% 16,00 Mayor Igual 35,00 100% 20,00 500,00 100% 21,00 Menor Igual Bajo Mayor Igual 20,00 15% 8,00 30,00 89% 10,00 7,00 20% 30% 30% 30% 30,00 Menor Igual Medio 11,00 4% 4,00 11,00 16% 4,00 Menor Igual Medio Mayor Igual 0,00 0% 0% 31% 0% 0,00 Mayor Igual 10,00 3% 3,00 10,00 15% 3,00 Menor Igual 3,00 10% 10% 100% 10% 15,00 90 Menor Igual Alto Alto 0,00 0% 0,00 0,00 0% 0,00 Mayor Igual Número de sanciones o multas leves que ha tenido la TELCO. Número de sanciones o multas considerables que ha tenido la TELCO. Número de sanciones o multas graves que ha tenido la TELCO. 02 03 04 200,00 1,00 51,00 0,00 2,00 11,00 4,00 3,00 3,00 50,00 6,00 6,00 Menor Igual Medio Mayor Igual 4,00 0,00 0,00 0,00 Mayor Igual Alto 6,00 10,00 3,00 2,00 Menor Igual 3,00 5,00 8,00 3,00 Bajo 5,00 15,00 15,00 10,00 1,00 1,00 1,00 1,00 Medio 2,00 4,00 7,00 2,00 0,00 0,00 0,00 0,00 Alto 0,00 0,00 0,00 0,00 91 Mayor Igual Menor Igual Mayor Igual Menor Igual Mayor Igual Menor Igual 50,00 15,00 7,00 7,00 Menor Igual Bajo Mayor Igual Tabla 5-2 Modelo de Madurez de la GSI, Rangos de Métricas, Grupo TVCable. [14] Número de aspectos sujetos a regulación, que no están siendo gestionados. Métricas REGULATORY MANAGEMENT 01 No. 02 Número de cambios significativos realizados en la organización de la GSI. Número de incidentes de Seguridad de la Información relacionados a divulgación de Información, no contemplados en 03 los acuerdos de Confidencialidad formalizados. 04 Número de revisiones independientes de la GSI que fueron realizadas de forma programada en el presente período. N Métricas o. 01 Número de incidentes de seguridad relacionados a fuga de información confidencial detectados en el presente período. AUDIT MANAGEMENT 92 · Evaluación del progreso y calidad de implementación de controles: al ser la primera iteración de la Metodología de GSI, no existe ningún avance formal en el Progreso de la implantación de la Metodología; sin embargo, en el Modelo de Madurez de la GSI, se considerarán como implementados a los controles de seguridad que si realiza el grupo TVCable, que coincidan con los controles de Seguridad de la Información de las Guías de implementación de la Metodología de GSI propuesta; por lo tanto, el Progreso de Implementación de los procesos de la Metodología, no necesariamente estará en el estado Inicial (Tabla 4-12). Para evaluar la Calidad de la Implementación de los controles de GSI, se lo hace por medio de las métricas del Modelo de Madurez, según lo ocurrido en el último ciclo Marzo 2014 a Febrero 2015; en este punto cabe racionalizar que en la primera iteración, la evaluación se basa en información empírica en base a los hechos más relevantes ocurridos. Como resultado de las dos evaluaciones, progreso y calidad respectivamente, se podrá relacionar cada proceso de la Metodología de GSI, a un nivel de madurez que le corresponda. La evaluación del Progreso y la Calidad de la Implantación de la Metodología de GSI se presenta en las Tablas 5-3, 5-4, 5-5, 5-6, 5-7,5-8. El resumen global de los procesos y su respectiva Zona de Madurez en la Tabla 5-9, Figura 5-1. Finalmente el Plan de acción propuesto en la Tabla 5-10. DSS02 DSS01 Dominio del Proceso COBIT 5.0 A) Los eventos de seguridad en el proceso deben ser reportados a través de un procedimiento definido ágil, de tal forma que se puede incluir en el caso reportado información detallada del posible evento de seguridad en el proceso. - Id de Usuario. - Fechas, número de accesos y categorización de eventos. - Identificación de terminal desde cual se accedió. - Registros de accesos fallidos y exitosos a los sistemas. - Cambios en configuración de los sistemas. - Uso de privilegios. - Uso de utilidades y aplicaciones. - Archivos accesados y tipos de archivos. - Protocolos de red y direcciones de acceso. - Alarmas activadas en sistemas de control de acceso. - Eventos de activación y desactivación de herramientas de protección de sistemas, como antivirus y sistemas de protección de Intrusos. Los logs de auditoria deben incluir la siguiente información: A) El registro de actividades de usuario, los errores y los eventos de seguridad en los sistemas que involucra el proceso de facturación deben ser generados y almacenados durante el tiempo que el órgano regulador de las telecomunicaciones lo establezca. Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Tiempo promedio de resolución de incidencias de seguridad en el proceso de Facturación. Número de incidentes de seguridad de la información causados por problemas operativos en el proceso de Facturación. Métricas 72:00:00 6 Valor de Métrica 93 BAJO BAJO Estado de Seguridad Dominio del Proceso COBIT 5.0 - Modificaciones no autorizadas sobre registros de facturas ya generadas en un ciclo de facturación. - Omisiones intencionales de aplicación de cargos en productos y/o servicios brindados por la TELCO. - No cumplimiento de todos los procedimientos y protocoles de operación. D) El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, siempre debe reportarse como un evento en la seguridad de la información. Como ejemplos de incidentes de seguridad en el contexto del proceso de facturación se tiene: C) Referenciar un procedimiento de sanciones disciplinarias aplicables en caso de cometimiento de violaciones de seguridad de la Información. - El correcto comportamiento del reporte de un evento de seguridad en el proceso incluye: - Anotar todos los detalles importantes por ejemplo, no cumplimientos, brechas, funcionamiento sospechoso de funcionalidades de sistemas, plataformas de gestión y aprovisionamientos, captura de mensajes en pantalla, logs generados. - No tomar acción alguna para corregir el evento de seguridad, pero si reportarlo de forma inmediata. - Retroalimentación para asegurar que los eventos son notificados, gestionados y cerrados. - Los formularios de reportes de eventos de seguridad en el proceso de preferencia deben ser automatizados y deben permitir ingresar toda la información relacionada el evento de seguridad. B) Se debe establecer un punto de contacto para reportar los eventos de seguridad de la información en el proceso y un procedimiento formal de reporte de eventos de seguridad, así como procedimientos para responder el mismo o escalarlo, el punto de contacto debe ser conocido por toda la organización y debe estar siempre disponible y dotado de recursos para actuar de forma inmediata. El procedimiento de reporte de eventos debe incluir: Guías de Implementación enfocado a la Seguridad de la Información Estado del Control 5 30% Porcentaje de incidentes de seguridad de la información "cerrados y solventados" en el proceso de Facturación, durante el ciclo. Número de incidentes de seguridad de la Información que ocurren periódicamente sin que se tenga una solución definitiva. 8 60% Valor de Métrica Promedio del número de incidentes de seguridad de la información que permanecen abiertos en el proceso de Facturación. Porcentaje de incidentes relacionados con la seguridad de la información que causan interrupción en el proceso de facturación. Métricas 94 ALTO BAJO MEDIO BAJO Estado de Seguridad BAI06 Dominio del Proceso COBIT 5.0 MEA03 Dominio del Proceso COBIT 5.0 Estado del Control Número de validaciones de cumplimiento de controles de seguridad que se realizaron en el ciclo. Porcentaje de cumplimiento de requerimientos externos obligatorios. Métricas - Si se debiera obtener el consentimiento del vendedor. - La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del software estándar. - El impacto de si como resultado de los cambios, la organización se hace responsable del mantenimiento futuro del software base. - Si son necesarios cambios, se debiera mantener el software original y se debieran aplicar los cambios en una copia claramente identificada. a) En lo posible, se deben usar las versiones de software base de los dispositivos de telecomunicaciones originales suministrados por los vendedores sin modificaciones, así como los sistemas de gestión de las plataformas. En caso de ser necesaria y posible la modificación de un software base de un dispositivo, se debe considerar: Guías de Implementación enfocado a la Seguridad de la Información Estado del Control 5 12 15 Número de requerimientos de seguridad de la información que no se han cumplido después de realizar cambios en la Infraestructura Tecnológica. Número de incidentes de seguridad de la información de Emergencia, relativos a los cambios en el entorno. Valor de Métrica 0 30% Valor de Métrica Número de cambios relevantes, requeridos explícitamente por la GSI. Métricas Tabla 5-3 Evaluación de Progreso y Calidad, Proceso Bill Invoice Manager, Grupo TVCable. [14] B) Se debe definir e implementar una política de protección y privacidad de los datos de los clientes, esta política debe ser comunicada a todas las personas involucradas en el procesamiento de la información. El cumplimiento de esta política requiere una apropiada estructura y control gerencial, se recomienda asignar formalmente esta responsabilidad al dueño del proceso de Facturación el cual debe generar lineamientos para su cumplimiento. - Por ente regulador de la Industria respecto a la facturación de servicios de Telecomunicaciones. - Impuesto y/o cargos a servicios de Telecomunicaciones. - Cláusulas contractuales con los clientes. A) Se debe definir de forma explícita, documentar y actualizar todos los requerimientos establecidos: Guías de Implementación enfocado a la Seguridad de la Información 95 BAJO BAJO BAJO Estado de Seguridad BAJO BAJO Estado de Seguridad BAI09 Dominio del Proceso COBIT 5.0 - La información específica necesaria para apoyar la gestión de la vulnerabilidad técnica incluye al proveedor del dispositivo y su plataforma de gestión, versiones del software base del dispositivo y la plataforma de gestión, estado actual de uso, y las personas responsables de los dispositivos dentro de la organización. - El inventario completo de los dispositivos es un prerrequisito para la gestión efectiva de la vulnerabilidad técnica. - Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la-fecha y las actualizaciones de la aplicación se instalen para todo software autorizado. - Todos los cambios deben ser completamente probados y documentados, de manera que puedan ser reaplicados, si fuese necesario, a las futuras actualizaciones del software. - Si fuese requerido, las modificaciones deben ser probadas y validadas por un organismo de evaluación independiente. - El riesgo de comprometer los controles incorporados y los procesos de integridad. a) Se debe obtener oportunamente la información sobre las vulnerabilidades técnicas de todos los dispositivos que forman parte de la infraestructura que provee los servicios de Telecomunicaciones. Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Número de revisiones de los requerimientos de seguridad de la información. Número de incidentes de seguridad de la información de Emergencia, relativos a cambios en Infraestructura Tecnológica. Métricas 0 17 Valor de Métrica 96 BAJO BAJO Estado de Seguridad Dominio del Proceso COBIT 5.0 o Desconectar los servicios o capacidades relacionadas con la vulnerabilidad. o Adaptar o agregar controles de acceso. o Mayor monitoreo para detectar o evitar ataques reales. o Elevar la conciencia acerca de la vulnerabilidad. - Los parches se deben probar y evaluar en un ambiente controlado antes de aplicarlos para asegurar que solventen la vulnerabilidad y no desencadenen efectos secundarios no tolerables; si el parche no está disponible, se pueden considerar otros controles: - Si es posible aplicar un parche, se debe evaluar los riesgos asociados con la aplicación del mismo, en este punto es importante comparar los riesgos impuestos por la vulnerabilidad con el riesgo de aplicar el parche a los dispositivos o sistemas de gestión. - Dependiendo de la criticidad con que se necesita tratar la vulnerabilidad técnica, la acción a tomarse debe realizarse de acuerdo a los controles relacionados con la gestión de cambios o siguiendo los procedimientos de respuesta ante - incidentes de seguridad de la información definidos. - Una vez que se identifica la vulnerabilidad técnica potencial, la organización debe identificar los riesgos asociados y las acciones a tomarse; dicha acción puede implicar aplicar parches al software base de dispositivos o sistemas de gestión de plataformas vulnerables y/o la aplicación de otros controles. - Se debe identificar los recursos de información que se utilizarán para identificar las vulnerabilidades técnicas relevantes y mantener la conciencia sobre ellas para los dispositivos y otras tecnologías, se debe definir una línea de tiempo para reaccionar a las notificaciones de vulnerabilidades técnicas potencialmente relevantes. - La organización debe definir y establecer los roles y responsabilidades asociadas con la gestión de la vulnerabilidad técnica; incluyendo el monitoreo de la vulnerabilidad, evaluación del riesgo de la vulnerabilidad, monitoreo de dispositivos y cualquier responsabilidad de coordinación requerida. b) Se debe tomar la acción apropiada y oportuna en respuesta a la identificación de vulnerabilidades técnicas potenciales a cargo del responsable del proceso. Se debe seguir el siguiente lineamiento para establecer un proceso de gestión efectivo para las vulnerabilidades técnicas: Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Número de activos no autorizados identificados. Porcentaje de activos con propietarios asignados. Métricas 23 70% Valor de Métrica 97 BAJO MEDIO Estado de Seguridad BAI10 - El correcto funcionamiento del proceso de gestión de la vulnerabilidad técnica aplicado a la infraestructura que provee los servicios a los clientes es crítica para evitar el fraude por tanto, debe ser monitoreado regularmente. a) Todos los dispositivos que conforman la infraestructura tecnológica necesaria para proveer los servicios de telecomunicaciones a los clientes, tienen que ser inventariados, definir una configuración base de acuerdo al dispositivo y hacer referencia a la funcionalidad en el negocio, ubicación, conexiones con terceros, capacidad utilizada ,esto aplica para equipos de la red Core y de Acceso, al ser los dispositivos de diferentes marcas, su inventario debería ser llevado en un módulo automatizado dentro del OSS. b) Los dispositivos que componen la infraestructura, deben ser clasificados en términos de su funcionalidad, valor para el negocio, requerimientos legales, y nivel de criticidad para la organización, con el objetivo de identificar los dispositivos que necesitan ser protegidos de forma especial. c) Todos los movimientos, traslados, cambios de funcionalidad o cualquier tipo de actualización de los dispositivos tienen que generar un registro histórico accesible. o Mantener un registro de auditoría de todos los procedimientos realizados; el proceso de gestión de vulnerabilidad técnica debiera ser monitoreado y o Evaluado regularmente para asegurar su efectividad y eficacia; se debieran tratar primero los sistemas en alto riesgo. Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Número de discrepancias entre las líneas de referencia de configuración de seguridad establecidas y las configuraciones reales. Número de veces que se ha revisado y validado las líneas de referencia de configuración de seguridad para dispositivos de Telecomunicaciones, en el último ciclo. Métricas 25 0 Valor de Métrica Tabla 5-4 Evaluación de Progreso y Calidad, Proceso Service Manager Operation Support Readiness, Grupo TVCable. [14] Dominio del Proceso COBIT 5.0 98 MEDIO BAJO Estado de Seguridad APO09 Dominio del Proceso COBIT 5.0 - Siempre que el cambio haya sido implementado, actualizar, de manera consecuente, la documentación de la solución y del servicio, así como los procedimientos a los que afecta el cambio. Cerrar y documentar los cambios. - Mantener un sistema de seguimiento e informe que documente los cambios rechazados, comunique el estado de cambios aprobados y en proceso y de cambios completados. - Asegurar que los cambios aprobados son implementados como esté previsto Hacer seguimiento e informar de cambios de estado. - Gestionar cuidadosamente los cambios de emergencia para minimizar futuras incidencias y asegurar que el cambio está controlado y se realiza de forma segura. - Verificar que los cambios de emergencia son evaluados debidamente y autorizados de una vez hecho el cambio. Gestionar cambios de emergencia. - Evaluar todas las peticiones de cambio para determinar su impacto en los procesos de negocio y los servicios TI, y analizar si el cambio afectará negativamente al entorno operativo e introducirá un riesgo inaceptable. - Asegurar que los cambios son registrados, priorizados, categorizados, analizados, autorizados, planificados y programados. Evaluar, priorizar y autorizar peticiones de cambio. a) Los cambios a nivel de plataformas tecnológicas y/o sistemas de información requeridos para la configuración y activación de servicios tiene que ser debidamente controlada, tomando e cuanta los siguientes aspectos: Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Porcentaje de controles de seguridad que están establecidos pero que no se cumplen en el proceso de configuración y activación del servicio. Número de servicios estándar que no tienen definidos los controles de seguridad para el proceso de configuración y activación del servicio. Métricas 40% 12 Valor de Métrica 99 MEDIO BAJO Estado de Seguridad BAI04 Dominio del Proceso COBIT 5.0 - Planificar y priorizar las implicaciones en la disponibilidad, el rendimiento y la capacidad de cambios en las necesidades de la TELCO y en los requerimientos de servicio. Planificar para requisitos de servicios nuevos o modificados. - Abordar las desviaciones investigando y resolviendo las cuestiones identificadas relativas a disponibilidad, rendimiento y capacidad. Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad. - Supervisar, medir, analizar, informar y revisar la disponibilidad, el rendimiento y la capacidad. - Identificar desviaciones respecto a la línea base establecida. - Revisar informes de análisis de tendencias identificando cualquier cuestión y variación significativa, iniciando acciones donde sea necesario y asegurando que se realiza el seguimiento de todas las cuestiones pendientes. Supervisar y revisar la disponibilidad y la capacidad. a) El uso de los recursos de plataformas tecnológicas que intervienen en la configuración y activación de servicios, se debe monitorear y optimizar, así como se debe también proyectar el uso de los mismos en función de las tendencias de uso y tomar acciones proactivas con otras áreas para asegurar que en todo momento estén disponibles y asignados los recursos técnicos necesarios. Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Número de activaciones de nuevos servicio que no se pudieron realizar de acuerdo a lo planificado, por no disponer de los recursos requeridos. Métricas 35 Valor de Métrica 100 BAJO Estado de Seguridad BAI06 Dominio del Proceso COBIT 5.0 Revisar periódicamente el repositorio de configuración y verificar la integridad y exactitud con respecto al objetivo deseado. c) La información de configuraciones y activaciones tiene que estar protegida de accesos no autorizados. Específicamente en el ámbito de las TELCO esta información forma parte de los Sistemas de Gestión de plataformas que son varios en función de la solución y del proveedor, por ende la protección de información se implementa con una política adecuada de gestión de contraseñas y controles de accesos no autorizados. b) Establecer y mantener un modelo lógico de la toda la infraestructura de la TELCO, segregado por soluciones, registrar los elementos de configuración y las relaciones entre ellos. Incluyendo los elementos de configuración considerados necesarios para gestionar eficazmente los servicios y proporcionar una sola descripción fiable de los activos en un servicio. Plataforma de prepago de telefonía Móvil, que puede incluir, el proceso, la información, los dispositivos, plataformas tecnológicas de servicio, servidores, recurso humano y sistemas de aprovisionamiento. - En el caso específico de las TELCO es recomendable asignar soluciones completas que cumplen una función por ejemplo: La propiedad o responsabilidad puede ser asignada a: - Proceso de negocio. - Un definido conjunto de actividades. - Una aplicación. - Información. - Plataformas tecnológicas de servicio o dispositivos que cumplen una función. - Asegurar que toda la información de los activos tecnológicos que se usan para la configuración y activación del servicio esté apropiadamente clasificada. - Definir revisiones periódicas a cargo de los respectivos responsables de los controles de acceso y la aplicación de las políticas de control de seguridad establecidas. a) Toda la información y los elementos de las plataformas tecnológicas de servicio y los sistemas de información deben tener asociado un responsable que pertenezca a la TELCO, para los recursos tecnológicos de responsabilidad compartida especialmente entre Sistemas de Información y Plataformas tecnológicas de servicio se especificarán las responsabilidades de cada área. Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Porcentaje de cambios realizados, que una vez realizados han dejado de cumplirse controles de seguridad predefinidos. Número de incidentes de seguridad de la información relativos a los cambios previos necesarios para realizar una activación de un servicio. Métricas 12 25% Valor de Métrica 101 BAJO BAJO Estado de Seguridad BAI10 Dominio del Proceso COBIT 5.0 Estado del Control Número cambios de configuración detectados en recursos de plataformas tecnológicas de servicio que no tienen registro de motivo ni responsable del cambio. Métricas 20 Valor de Métrica Tabla 5-5 Evaluación de Progreso y Calidad, Proceso Service Configuration and Activation, Grupo TVCable. [14] - Cambios hechos por la organización para implementar mejoras en el actual servicio. - Desarrollo de nueva aplicación a nivel de sistemas de información. - Nuevos controles para resolver incidentes o problemas de GSI. - Incrementos de capacidad técnica de redes de servicio. - Uso de nuevas tecnologías. - Aplicación de nuevos firmwares en plataformas tecnológicas. - Cambios físicos de equipos. - Cambios de proveedor de plataformas tecnológicas. - Reportes de incidencias y problemas de seguridad de la información referentes a cada servicio. - Monitorear el cumplimiento de los acuerdos de nivel de servicio. - Revisión en plataforma técnica de eventos de error y alertas que pudieren estar generando fallos, micro cortes o problemas operacionales. c) Todo cambio o modificación que se deba realizar con el propósito de realizar activaciones de nuevos servicios, debe ser debidamente gestionado de acuerdo a la criticidad de los servicios y la plataforma tecnológica que estará sujeta a cambios, estos cambios pueden incluir: a) Se deben definir los controles de seguridad a cumplir para cada entrega de servicio estándar de la TELCO y en caso de entregas de servicio personalizado, se debe determinar si hay controles de seguridad adicionales que se deben cumplir. b) Se debe monitorear por medio de reportes que los controles de seguridad establecidos para cada servicio se cumplan de acuerdo a lo establecido, para el efecto se requiere: d) Al ser las plataformas tecnológicas de servicio y los sistemas de aprovisionamiento, accedidas desde diferentes áreas funcionales, se deben establecer los roles y permisos adecuados en función de las necesidades de cada uno, los cambios en estos roles y permisos tienen que ser estrictamente controlados. Definir y elaborar informes de configuración sobre cambios en el estado de los elementos de configuración. Guías de Implementación enfocado a la Seguridad de la Información 102 MEDIO Estado de Seguridad DSS06 BAI04 Dominio del Proceso COBIT 5.0 Número de casos de Fraude detectados por falta de segregación de funciones o estructuras organizativas ambiguas. Tabla 5-6 Evaluación de Progreso y Calidad, Proceso Fraud Management, Grupo TVCable. [14] b) Si a pesar de la segregación de funciones existe el riesgo de conspiración en determinados procesos, se debe definir el procedimiento de control y la frecuencia de revisión para que Auditoría lo tenga presente. a) Se debe identificar las funciones en la TELCO, en las que por su naturaleza sea factible cometer Fraude y separarlas de tal forma que se implemente un control mutuo entre las funciones o áreas separadas. b) Formar parte de un CSIRT de Telecomunicaciones de primer nivel, para intercambiar Información y mantenerse a la vanguardia de herramientas de identificación y mitigación de Fraude en las TELCO. Porcentajes de casos de Fraude solventados por CSIRT. Porcentajes de casos de Fraude escalados a CSIRT. d) Si se detecta un caso de Fraude, se lo debe exponer en el ISSC, donde se establecerán las prioridades y acciones para solventar el caso. a) Conformar y capacitar un equipo técnico especializado en gestión de Incidentes de Seguridad en Plataformas Tecnológicas de Servicio y Tecnologías de Información, para atender los casos comprobados de Fraude. Porcentajes de casos de Fraude mitigados localmente. c) Los casos de posible fraude debe contrastar el uso de la capacidad de los recursos tecnológicos, con las ventas y la facturación. 5 0% 0% 100% 2% Porcentajes de casos de Fraude confirmados. Valor de Métrica b) En caso de cambios de tendencia de uso de capacidad se deben abrir casos de investigación de posible fraude. Número de alertas generadas de posibles casos de Fraude. Métricas 8 Estado del Control a) Se debe monitorear las tendencias de uso de capacidad de las plataformas de Telecomunicaciones y establecer alarmas en caso disminuciones abruptas de capacidad, se recomienda la automatización de esta función. Guías de Implementación enfocado a la Seguridad de la Información 103 MEDIO ALTO ALTO ALTO ALTO ALTO Estado de Seguridad EDM05 Dominio del Proceso COBIT 5.0 - La definición de la información a ser protegida. - Duración del acuerdo, incluido los casos donde la confidencialidad puede ser necesaria mantenerla de forma indefinida. - Acciones requeridas cuando el acuerdo finaliza. - Responsabilidades y acciones de las partes para evitar divulgación no autorizada de información. - Propiedad de la información, secretos comerciales y propiedad intelectual y como estos protegen la confidencialidad de la información. - Procesos de notificación y reporte divulgación no autorizada de información confidencial. - Términos para la información que tiene que ser retornada o destruida al final del acuerdo. - Acciones y penalización que serán tomadas en caso de no cumplimiento del acuerdo de confidencialidad. La función auditora de la organización debe contar con el apoyo de la Gestión de Recursos Humanos o cualquier otra unidad funcional de la organización para llevar a cabo esta labor. b) Los acuerdos de confidencialidad y no divulgación de la información deben reflejar las necesidades de protección de la organización y deben ser regularmente revisadas, para el efecto se debe considerar: a) Se debe identificar los funcionarios, proveedores o entes externos que por su interacción con la TELCO, manejan información sensible para la organización, evaluar y definir si amerita generar un acuerdo de confidencialidad y los términos específicos de acuerdo al tipo de información sensible que se maneje. Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Número de incidentes de Seguridad de la Información relacionados a divulgación de Información, no contemplados en los acuerdos de Confidencialidad formalizados. Número de cambios significativos realizados en la organización de la GSI. Número de incidentes de seguridad relacionados a fuga de información confidencial detectados en el presente período. Métricas 1 0 3 Valor de Métrica 104 ALTO ALTO MEDIO Estado de Seguridad MEA01 Dominio del Proceso COBIT 5.0 MEA02 Dominio del Proceso COBIT 5.0 Estado del Control Número de revisiones independientes de la GSI que fueron realizadas de forma programada en el presente período. Métricas - Contratos de Concesiones de espectro radioeléctrico. - Regulaciones establecidas por la SENATEL, respecto a las licencias de los servicios de telecomunicaciones que se provee y normas de implementación. - Convenios de Intercambio de tráfico con otras TELCOS, nacionales o Internacionales. - Tarifas, calidad y cobertura de Servicios. - Requerimientos de Interoperabilidad y portabilidad. - Régimen tributario. a) Se deben implementar los procedimientos y responsables apropiados para asegurar el continuo cumplimiento de leyes, regulaciones y requerimientos contractuales en la TELCO. a) Todos los estatutos, regulaciones y requerimientos contractuales que debe cumplir obligatoriamente la TELCO, deben ser explícitamente definidos, documentados y actualizados, esto incluye pero no se limita a los siguientes: Guías de Implementación enfocado a la Seguridad de la Información Estado del Control Número de aspectos sujetos a regulación, que no están siendo gestionados. Métricas Tabla 5-7 Evaluación de Progreso y Calidad, Proceso Audit Management, Grupo TVCable. [14] - Esta revisión tiene que ser realizada periódicamente, bajo demanda, en caso de un requerimiento de la alta gerencia o cuando han ocurridos cambios significativos en la GSI. - Estas revisiones buscan asegurar la continua idoneidad y efectividad en la implementación de la GSI, la revisión puede contemplar el aprovechar oportunidades y/o la necesidad de cambios en el enfoque de la GSI, incluso las políticas y los controles. - Informar a los líderes y obtener su apoyo, su aceptación y su compromiso. - Guiar las estructuras, procesos y prácticas para la GSI en línea con los principios, modelos para la toma de decisiones y niveles de autoridad y control (incluye auditorias) diseñados. a) En base a la Política de la GSI, la implementación de la misma debe ser revisada de forma independiente para garantizar que las prácticas en la TELCO reflejen adecuadamente la aplicación de las Políticas de GSI establecidas. Esta revisión puede ser llevada a cabo por la función de auditoría de la TELCO, pero externa a la GSI, por un gerente independiente especializado en revisiones de esta índole. Esta función auditora puede ser también un ente externo especializado. Guías de Implementación enfocado a la Seguridad de la Información 2 Valor de Métrica 0 Valor de Métrica 105 MEDIO Estado de Seguridad BAJO Estado de Seguridad MEA03 Dominio del Proceso COBIT 5.0 Estado del Control Número de sanciones o multas graves que ha tenido la TELCO. Número de sanciones o multas considerables que ha tenido la TELCO. Número de sanciones o multas leves que ha tenido la TELCO. Métricas Tabla 5-8 Evaluación de Progreso y Calidad, Proceso Regulatory Management, Grupo TVCable. [14] - Modificaciones en la política de seguridad de la Información respecto a cumplimiento. - Mejoras en la asignación de recursos y responsabilidades. - Feedback de partes o unidades funcionales interesadas. - Alertas y sugerencias generadas por auditorías internas y externas. - Modificaciones contractuales, de regulación o condiciones legales recientes. - Reportes de sanciones de la SUPERTEL hacia otras TELCO ecuatorianas. - Recomendaciones recibidas de autoridades relevantes de la TELCO. Información de Salida: Información de Entrada: El dueño del proceso de Gestión de las Regulaciones, es el responsable de los enunciados de la política de seguridad respecto a temas de cumplimiento, el mismo que debe coordinar con el ISM para la actualización y difusión de la política de seguridad de la información, en caso de modificaciones relacionadas con cumplimiento del marco regulatorio. a) La política de seguridad de la información, respecto a temas de cumplimiento de un marco regulatorio tiene que ser revisada y actualizada de forma constante para evaluar si es idónea y efectiva respecto a las modificaciones realizadas en el marco regulatorio vigente. c) Cuando se recibe un requerimiento de información de un ente externo para evaluaciones de cumplimiento, se debe definir y aplicar un procedimiento de validación para determinar que la petición está hecha a través del legítimo proceso o procedimiento, de acuerdo a las leyes gubernamentales establecidas. b) La organización debe asegurar disponer de la capacidad suficiente de recursos tecnológicos, para asegurar la continuidad del servicio y cumplir los acuerdos mínimos de servicio y cobertura en caso de fallos graves o desastres naturales Guías de Implementación enfocado a la Seguridad de la Información 0 7 5 Valor de Métrica 106 ALTO BAJO MEDIO Estado de Seguridad GSI-AM GSI-RM AUDIT MANAGEMENT REGULATORY MANAGEMENT GSI-AM GSI-RM GSI-FM 3 2 5 8 5 4 Controles No Implementado 40,00% 33,33% 37,50% 11,11% 16,67% 42,86% Avance de Implementación Avanzado Avanzado Avanzado Inicial Inicial Avanzado Progreso de la Implantación 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% MEDIO ALTO ALTO BAJO BAJO BAJO Estado de la GSI (CALIDAD) Amarillo 2 Verde 1 Verde 1 Rojo 3 Rojo 3 Rojo 2 107 Zonas del Modelo de madurez de la GSI Zonas del Modelo de Madurez de la GSI Figura 5-1 Progreso de la Implementación, Grupo TVCable. [14] GSI-SC&A GSI-SM&O-SR Controles Implementados GSI-BIM 3 2,5 2 1,5 1 0,5 0 2 1 3 1 1 3 Controles Implementados Tabla 5-9 Zonas de Madurez de los procesos, Grupo TVCable [14] GSI-FM FRAUD MANAGEMENT GSI-SC&A GSI-SM&O-SR SM&O SUPPORT READINESS SERVICE CONFIGURATION & ACTIVATION GSI-BIM Código de los Procesos de la GSI BILL INVOICE MANAGEMENT Procesos de la GSI RESULTADO GLOBAL DEL MODELO DE MADUREZ Nombre del Control Control DSS02-A Control DSS02-B Control MEA03-B Procesos de la GSI BILL INVOICE MANAGEMENT BILL INVOICE MANAGEMENT BILL INVOICE MANAGEMENT Zonas del Modelo de madurez de la GSI Rojo 2 Rojo 2 Rojo 2 PLAN DE ACCION PROPUESTO Estado Actual de la Métrica BAJO BAJO BAJO Métricas Tiempo promedio de resolución de incidencias de seguridad en el proceso de Facturación. Porcentaje de incidentes relacionados con la seguridad de la información que causan interrupción en el proceso de facturación. Número de validaciones de cumplimiento de controles de IMPLEMENTA DO NO IMPLEMENTA DO NO IMPLEMENTA DO Estado del Control - El correcto comportamiento del reporte de un evento de seguridad en el proceso incluye: - Anotar todos los detalles importantes por ejemplo, no cumplimientos, brechas, funcionamiento sospechoso de funcionalidades de sistemas, plataformas de gestión y aprovisionamientos, captura de mensajes en pantalla, logs generados. - No tomar acción alguna para corregir el evento de seguridad, pero si reportarlo de forma inmediata. B) Se debe definir e implementar una política de protección y privacidad de los datos de los clientes, esta política debe ser comunicada a todas las personas involucradas en el - Retroalimentación para asegurar que los eventos son notificados, gestionados y cerrados. - Los formularios de reportes de eventos de seguridad en el proceso de preferencia deben ser automatizados y deben permitir ingresar toda la información relacionada el evento de seguridad. B) Se debe establecer un punto de contacto para reportar los eventos de seguridad de la información en el proceso y un procedimiento formal de reporte de eventos de seguridad, así como procedimientos para responder el mismo o escalarlo, el punto de contacto debe ser conocido por toda la organización y debe estar siempre disponible y dotado de recursos para actuar de forma inmediata. El procedimiento de reporte de eventos debe incluir: A) Los eventos de seguridad en el proceso deben ser reportados a través de un procedimiento definido ágil, de tal forma que se puede incluir en el caso reportado información detallada del posible evento de seguridad en el proceso. Guías de Implementación enfocado a la Seguridad de la Información 108 Completar la implementación de los controles de GSI y hacer una validación de la Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Acción a Seguir Nombre del Control Control MEA03-A Control DSS01-A Procesos de la GSI BILL INVOICE MANAGEMENT BILL INVOICE MANAGEMENT Zonas del Modelo de madurez de la GSI Rojo 2 Rojo 2 BAJO BAJO Número de incidentes de seguridad de la información causados por problemas operativos en el proceso de Facturación. NO IMPLEMENTA DO Estado Actual de la Métrica IMPLEMENTA DO seguridad que se realizaron en el ciclo. Métricas Porcentaje de cumplimiento de requerimientos externos obligatorios. Estado del Control - Id de Usuario. - Fechas, número de accesos y categorización de eventos. - Identificación de terminal desde cual se accedió. - Registros de accesos fallidos y exitosos a los sistemas. - Cambios en configuración de los sistemas. - Uso de privilegios. - Uso de utilidades y aplicaciones. - Archivos accesados y tipos de archivos. - Protocolos de red y direcciones de acceso. - Alarmas activadas en sistemas de control de acceso. - Eventos de activación y desactivación de herramientas de protección de sistemas, como antivirus y sistemas de protección de Intrusos. Los logs de auditoria deben incluir la siguiente información: - Por ente regulador de la Industria respecto a la facturación de servicios de Telecomunicaciones. - Impuesto y/o cargos a servicios de Telecomunicaciones. - Cláusulas contractuales con los clientes. A) El registro de actividades de usuario, los errores y los eventos de seguridad en los sistemas que involucra el proceso de facturación deben ser generados y almacenados durante el tiempo que el órgano regulador de las telecomunicaciones lo establezca. procesamiento de la información. El cumplimiento de esta política requiere una apropiada estructura y control gerencial, se recomienda asignar formalmente esta responsabilidad al dueño del proceso de Facturación el cual debe generar lineamientos para su cumplimiento. A) Se debe definir de forma explícita, documentar y actualizar todos los requerimientos establecidos: Guías de Implementación enfocado a la Seguridad de la Información 109 Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. correcta implementación de los controles ya aplicados. Acción a Seguir Nombre del Control Control DSS02-D Control DSS02-C Control DSS02-D Procesos de la GSI BILL INVOICE MANAGEMENT BILL INVOICE MANAGEMENT BILL INVOICE MANAGEMENT Zonas del Modelo de madurez de la GSI Rojo 2 Rojo 2 Rojo 2 Estado Actual de la Métrica MEDIO MEDIO ALTO Métricas Porcentaje de incidentes de seguridad de la información "cerrados y solventados" en el proceso de Facturación, durante el ciclo. Promedio del número de incidentes de seguridad de la información que permanecen abiertos en el proceso de Facturación. Número de incidentes de seguridad de la Información que ocurren periódicamente sin que se tenga una solución definitiva. Estado del Control NO IMPLEMENTA DO IMPLEMENTA DO NO IMPLEMENTA DO Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Acción a Seguir - Modificaciones no autorizadas sobre registros de facturas ya generadas en un ciclo de facturación. - Omisiones intencionales de aplicación de cargos en productos y/o servicios brindados por la TELCO. - No cumplimiento de todos los procedimientos y protocoles de operación. D) El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, siempre debe reportarse como un evento en la seguridad de la información. Como ejemplos de incidentes de seguridad en el contexto del proceso de facturación se tiene: 110 Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Completar la implementación de los C) Referenciar un procedimiento de sanciones controles de GSI y hacer disciplinarias aplicables en caso de cometimiento una validación de la de violaciones de seguridad de la Información. correcta implementación de los controles ya aplicados. - Modificaciones no autorizadas sobre registros de facturas ya generadas en un ciclo de facturación. - Omisiones intencionales de aplicación de cargos en productos y/o servicios brindados por la TELCO. - No cumplimiento de todos los procedimientos y protocoles de operación. D) El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, siempre debe reportarse como un evento en la seguridad de la información. Como ejemplos de incidentes de seguridad en el contexto del proceso de facturación se tiene: Guías de Implementación enfocado a la Seguridad de la Información Nombre del Control Control APO09-A Procesos de la GSI SERVICE CONFIGURATIO N& ACTIVATION Zonas del Modelo de madurez de la GSI Rojo 3 NO IMPLEMENTA DO Estado del Control Estado Actual de la Métrica BAJO Métricas Número de servicios estándar que no tienen definidos los controles de seguridad para el proceso de configuración y activación del servicio. - Siempre que el cambio haya sido implementado, actualizar, de manera consecuente, la documentación de la solución y Cerrar y documentar los cambios. - Mantener un sistema de seguimiento e informe que documente los cambios rechazados, comunique el estado de cambios aprobados y en proceso y de cambios completados. - Asegurar que los cambios aprobados son implementados como esté previsto Hacer seguimiento e informar de cambios de estado. - Gestionar cuidadosamente los cambios de emergencia para minimizar futuras incidencias y asegurar que el cambio está controlado y se realiza de forma segura. - Verificar que los cambios de emergencia son evaluados debidamente y autorizados de una vez hecho el cambio. Gestionar cambios de emergencia. - Evaluar todas las peticiones de cambio para determinar su impacto en los procesos de negocio y los servicios TI, y analizar si el cambio afectará negativamente al entorno operativo e introducirá un riesgo inaceptable. - Asegurar que los cambios son registrados, priorizados, categorizados, analizados, autorizados, planificados y programados. Evaluar, priorizar y autorizar peticiones de cambio. a) Los cambios a nivel de plataformas tecnológicas y/o sistemas de información requeridos para la configuración y activación de servicios tiene que ser debidamente controlada, tomando e cuanta los siguientes aspectos: Guías de Implementación enfocado a la Seguridad de la Información 111 Proceder con la implementación de los controles de GSI. Acción a Seguir Nombre del Control Control BAI06-A Control BAI06-B Procesos de la GSI SERVICE CONFIGURATIO N& ACTIVATION SERVICE CONFIGURATIO Zonas del Modelo de madurez de la GSI Rojo 3 Rojo 3 Número de incidentes de seguridad de la NO IMPLEMENTA DO NO IMPLEMENTA DO Métricas Número de incidentes de seguridad de la información relativos a los cambios previos necesarios para realizar una activación de un servicio. Estado del Control BAJO BAJO Estado Actual de la Métrica b) Establecer y mantener un modelo lógico de la toda la infraestructura de la TELCO, segregado por soluciones, registrar los elementos de Plataforma de prepago de telefonía Movil, que puede incluir, el proceso, la información, los dispositivos, plataformas tecnológicas de servicio, servidores, recurso humano y sistemas de aprovisionamiento. La propiedad o responsabilidad puede ser asignada a: - Proceso de negocio. - Un definido conjunto de actividades. - Una aplicación. - Información. - Plataformas tecnológicas de servicio o dispositivos que cumplen una función. - En el caso específico de las TELCO es recomendable asignar soluciones completas que cumplen una función por ejemplo: - Asegurar que toda la información de los activos tecnológicos que se usan para la configuración y activación del servicio esté apropiadamente clasificada. - Definir revisiones periódicas a cargo de los respectivos responsables de los controles de acceso y la aplicación de las políticas de control de seguridad establecidas. a) Toda la información y los elementos de las plataformas tecnológicas de servicio y los sistemas de información deben tener asociado un responsable que pertenezca a la TELCO, para los recursos tecnológicos de responsabilidad compartida especialmente entre Sistemas de Información y Plataformas tecnológicas de servicio se especificarán las responsabilidades de cada área. del servicio, así como los procedimientos a los que afecta el cambio. Guías de Implementación enfocado a la Seguridad de la Información 112 Proceder con la implementación de los controles de GSI. Proceder con la implementación de los controles de GSI. Acción a Seguir Control BAI06-C Control BAI06-D Control BAI04-A SERVICE CONFIGURATIO N& ACTIVATION SERVICE CONFIGURATIO N& ACTIVATION Rojo 3 Rojo 3 Nombre del Control Rojo 3 N& ACTIVATION Procesos de la GSI SERVICE CONFIGURATIO N& ACTIVATION Zonas del Modelo de madurez de la GSI NO IMPLEMENTA DO IMPLEMENTA DO NO IMPLEMENTA DO Estado del Control BAJO BAJO BAJO Porcentaje de cambios realizados, que una vez realizados han dejado de cumplirse controles de seguridad predefinidos. Número de activaciones de nuevos servicio que no se pudieron realizar de acuerdo a lo planificado, por no disponer de los recursos requeridos. Estado Actual de la Métrica Porcentaje de cambios realizados, que una vez realizados han dejado de cumplirse controles de seguridad predefinidos. información relativos a los cambios previos necesarios para realizar una activación de un servicio. Métricas Acción a Seguir Supervisar y revisar la disponibilidad y la capacidad. Revisar periódicamente el repositorio de configuración y verificar la integridad y exactitud con respecto al objetivo deseado. d) Al ser las plataformas tecnológicas de servicio y los sistemas de aprovisionamiento, accedidas desde diferentes áreas funcionales, se deben establecer los roles y permisos adecuados en función de las necesidades de cada uno, los cambios en estos roles y permisos tienen que ser estrictamente controlados. Definir y elaborar informes de configuración sobre cambios en el estado de los elementos de configuración. a) El uso de los recursos de plataformas tecnológicas que intervienen en la configuración y activación de servicios, se debe monitorear y optimizar, así como se debe también proyectar el uso de los mismos en función de las tendencias de uso y tomar acciones proactivas con otras áreas para asegurar que en todo momento estén disponibles y asignados los recursos técnicos necesarios. 113 Proceder con la implementación de los controles de GSI. Proceder con la implementación de los controles de GSI. c) La información de configuraciones y activaciones tiene que estar protegida de accesos no autorizados. Específicamente en el ámbito de las TELCO esta información forma parte de los Sistemas de Gestión de plataformas que son varios en función de la solución y del Proceder con la proveedor, por ende la protección de información implementación de los se implementa con una política adecuada de controles de GSI. gestión de contraseñas y controles de accesos no autorizados. configuración y las relaciones entre ellos. Incluyendo los elementos de configuración considerados necesarios para gestionar eficazmente los servicios y proporcionar una sola descripción fiable de los activos en un servicio. Guías de Implementación enfocado a la Seguridad de la Información Nombre del Control Control BAI10-A Control BAI09-A Procesos de la GSI SM&O SUPPORT READINESS SM&O SUPPORT READINESS Zonas del Modelo de madurez de la GSI Rojo 3 Rojo 3 NO IMPLEMENTA DO NO IMPLEMENTA DO Estado del Control Estado Actual de la Métrica BAJO BAJO Métricas Número de veces que se ha revisado y validado las líneas de referencia de configuración de seguridad para dispositivos de Telecomunicacione s, en el último ciclo. Número de revisiones de los requerimientos de seguridad de la información. - Planificar y priorizar las implicaciones en la disponibilidad, el rendimiento y la capacidad de cambios en las necesidades de la TELCO y en los requerimientos de servicio. a) Todos los dispositivos que conforman la infraestructura tecnológica necesaria para proveer los servicios de telecomunicaciones a los clientes, tienen que ser inventariados, definir una configuración base de acuerdo al dispositivo y hacer referencia a la funcionalidad en el negocio, ubicación, conexiones con terceros, capacidad utilizada ,esto aplica para equipos de la red Core y de Acceso, al ser los dispositivos de diferentes marcas, su inventario debería ser llevado en un módulo automatizado dentro del OSS. a) Se debe obtener oportunamente la información sobre las vulnerabilidades técnicas de todos los dispositivos que forman parte de la infraestructura que provee los servicios de Telecomunicaciones. Planificar para requisitos de servicios nuevos o modificados. - Abordar las desviaciones investigando y resolviendo las cuestiones identificadas relativas a disponibilidad, rendimiento y capacidad. Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad. - Supervisar, medir, analizar, informar y revisar la disponibilidad, el rendimiento y la capacidad. - Identificar desviaciones respecto a la línea base establecida. - Revisar informes de análisis de tendencias identificando cualquier cuestión y variación significativa, iniciando acciones donde sea necesario y asegurando que se realiza el seguimiento de todas las cuestiones pendientes. Guías de Implementación enfocado a la Seguridad de la Información 114 Proceder con la implementación de los controles de GSI. Proceder con la implementación de los controles de GSI. Acción a Seguir Nombre del Control Control BAI06-A Procesos de la GSI SM&O SUPPORT READINESS Zonas del Modelo de madurez de la GSI Rojo 3 NO IMPLEMENTA DO Estado del Control Estado Actual de la Métrica BAJO Métricas Número de cambios relevantes, requeridos explícitamente por la GSI. - Si se debiera obtener el consentimiento del vendedor. - La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del software estándar. - El impacto de si como resultado de los cambios, la organización se hace responsable del mantenimiento futuro del software base. - Si son necesarios cambios, se debiera mantener el software original y se debieran aplicar los cambios en una copia claramente identificada. - Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la-fecha y las actualizaciones de la aplicación se instalen para todo software autorizado. - Todos los cambios deben ser completamente probados y documentados, de manera que puedan ser reaplicados, si fuese necesario, a las futuras actualizaciones del software. - Si fuese requerido, las modificaciones deben - La información específica necesaria para apoyar la gestión de la vulnerabilidad técnica incluye al proveedor del dispositivo y su plataforma de gestión, versiones del software base del dispositivo y la plataforma de gestión, estado actual de uso, y las personas responsables de los dispositivos dentro de la organización. a) En lo posible, se deben usar las versiones de software base de los dispositivos de telecomunicaciones originales suministrados por los vendedores sin modificaciones, así como los sistemas de gestión de las plataformas. En caso de ser necesaria y posible la modificación de un software base de un dispositivo, se debe considerar: - El inventario completo de los dispositivos es un prerrequisito para la gestión efectiva de la vulnerabilidad técnica. Guías de Implementación enfocado a la Seguridad de la Información 115 Proceder con la implementación de los controles de GSI. Acción a Seguir Nombre del Control Control BAI06-A Control BAI06-A Procesos de la GSI SM&O SUPPORT READINESS SM&O SUPPORT READINESS Zonas del Modelo de madurez de la GSI Rojo 3 Rojo 3 BAJO NO IMPLEMENTA DO Número de incidentes de seguridad de la BAJO Número de requerimientos de seguridad de la información que no se han cumplido después de realizar cambios en la Infraestructura Tecnológica. NO IMPLEMENTA DO Estado Actual de la Métrica Métricas Estado del Control - Si se debiera obtener el consentimiento del vendedor. - La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del software estándar. - El impacto de si como resultado de los cambios, la organización se hace responsable del mantenimiento futuro del software base. - Si son necesarios cambios, se debiera mantener el software original y se debieran aplicar los cambios en una copia claramente identificada. - Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la-fecha y las actualizaciones de la aplicación se instalen para todo software autorizado. - Todos los cambios deben ser completamente probados y documentados, de manera que puedan ser reaplicados, si fuese necesario, a las futuras actualizaciones del software. - Si fuese requerido, las modificaciones deben ser probadas y validadas por un organismo de evaluación independiente. - El riesgo de comprometer los controles incorporados y los procesos de integridad. a) En lo posible, se deben usar las versiones de software base de los dispositivos de telecomunicaciones originales suministrados por a) En lo posible, se deben usar las versiones de software base de los dispositivos de telecomunicaciones originales suministrados por los vendedores sin modificaciones, así como los sistemas de gestión de las plataformas. En caso de ser necesaria y posible la modificación de un software base de un dispositivo, se debe considerar: ser probadas y validadas por un organismo de evaluación independiente. - El riesgo de comprometer los controles incorporados y los procesos de integridad. Guías de Implementación enfocado a la Seguridad de la Información 116 Proceder con la implementación de los controles de GSI. Proceder con la implementación de los controles de GSI. Acción a Seguir Nombre del Control Control BAI06-A Procesos de la GSI SM&O SUPPORT READINESS Zonas del Modelo de madurez de la GSI Rojo 3 NO IMPLEMENTA DO Estado del Control Número de incidentes de seguridad de la información de Emergencia, relativos a cambios en Infraestructura Tecnológica. información de Emergencia, relativos a los cambios en el entorno. Métricas BAJO Estado Actual de la Métrica - Si se debiera obtener el consentimiento del vendedor. - Si se debiera obtener el consentimiento del vendedor. - La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del software estándar. - El impacto de si como resultado de los cambios, la organización se hace responsable del mantenimiento futuro del software base. - Si son necesarios cambios, se debiera mantener el software original y se debieran aplicar los cambios en una copia claramente identificada. - Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la-fecha y las actualizaciones de la aplicación se instalen para todo software autorizado. - Todos los cambios deben ser completamente probados y documentados, de manera que puedan ser reaplicados, si fuese necesario, a las futuras actualizaciones del software. - Si fuese requerido, las modificaciones deben ser probadas y validadas por un organismo de evaluación independiente. - El riesgo de comprometer los controles incorporados y los procesos de integridad. a) En lo posible, se deben usar las versiones de software base de los dispositivos de telecomunicaciones originales suministrados por los vendedores sin modificaciones, así como los sistemas de gestión de las plataformas. En caso de ser necesaria y posible la modificación de un software base de un dispositivo, se debe considerar: los vendedores sin modificaciones, así como los sistemas de gestión de las plataformas. En caso de ser necesaria y posible la modificación de un software base de un dispositivo, se debe considerar: Guías de Implementación enfocado a la Seguridad de la Información 117 Proceder con la implementación de los controles de GSI. Acción a Seguir Nombre del Control Control BAI09-B Procesos de la GSI SM&O SUPPORT READINESS Zonas del Modelo de madurez de la GSI Rojo 3 Métricas Número de activos no autorizados identificados. Estado del Control NO IMPLEMENTA DO BAJO Estado Actual de la Métrica - Se debe identificar los recursos de información que se utilizarán para identificar las vulnerabilidades técnicas relevantes y mantener - La organización debe definir y establecer los roles y responsabilidades asociadas con la gestión de la vulnerabilidad técnica; incluyendo el monitoreo de la vulnerabilidad, evaluación del riesgo de la vulnerabilidad, monitoreo de dispositivos y cualquier responsabilidad de coordinación requerida. - La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del software estándar. - El impacto de si como resultado de los cambios, la organización se hace responsable del mantenimiento futuro del software base. - Si son necesarios cambios, se debiera mantener el software original y se debieran aplicar los cambios en una copia claramente identificada. - Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la-fecha y las actualizaciones de la aplicación se instalen para todo software autorizado. - Todos los cambios deben ser completamente probados y documentados, de manera que puedan ser reaplicados, si fuese necesario, a las futuras actualizaciones del software. - Si fuese requerido, las modificaciones deben ser probadas y validadas por un organismo de evaluación independiente. - El riesgo de comprometer los controles incorporados y los procesos de integridad. b) Se debe tomar la acción apropiada y oportuna en respuesta a la identificación de vulnerabilidades técnicas potenciales a cargo del responsable del proceso. Se debe seguir el siguiente lineamiento para establecer un proceso de gestión efectivo para las vulnerabilidades técnicas: Guías de Implementación enfocado a la Seguridad de la Información 118 Proceder con la implementación de los controles de GSI. Acción a Seguir Zonas del Modelo de madurez de la GSI Procesos de la GSI Nombre del Control Estado del Control Métricas Estado Actual de la Métrica o Desconectar los servicios o capacidades relacionadas con la vulnerabilidad. o Adaptar o agregar controles de acceso. o Mayor monitoreo para detectar o evitar ataques reales. o Elevar la conciencia acerca de la - Los parches se deben probar y evaluar en un ambiente controlado antes de aplicarlos para asegurar que solventen la vulnerabilidad y no desencadenen efectos secundarios no tolerables; si el parche no está disponible, se pueden considerar otros controles: - Si es posible aplicar un parche, se debe evaluar los riesgos asociados con la aplicación del mismo, en este punto es importante comparar los riesgos impuestos por la vulnerabilidad con el riesgo de aplicar el parche a los dispositivos o sistemas de gestión. - Dependiendo de la criticidad con que se necesita tratar la vulnerabilidad técnica, la acción a tomarse debe realizarse de acuerdo a los controles relacionados con la gestión de cambios o siguiendo los procedimientos de respuesta ante - incidentes de seguridad de la información definidos. - Una vez que se identifica la vulnerabilidad técnica potencial, la organización debe identificar los riesgos asociados y las acciones a tomarse; dicha acción puede implicar aplicar parches al software base de dispositivos o sistemas de gestión de plataformas vulnerables y/o la aplicación de otros controles. la conciencia sobre ellas para los dispositivos y otras tecnologías, se debe definir una línea de tiempo para reaccionar a las notificaciones de vulnerabilidades técnicas potencialmente relevantes. Guías de Implementación enfocado a la Seguridad de la Información 119 Acción a Seguir Nombre del Control Control APO09-A Procesos de la GSI SERVICE CONFIGURATIO N& ACTIVATION Zonas del Modelo de madurez de la GSI Rojo 3 NO IMPLEMENTA DO Estado del Control Estado Actual de la Métrica MEDIO Métricas Porcentaje de controles de seguridad que están establecidos pero que no se cumplen en el proceso de configuración y activación del servicio. Hacer seguimiento e informar de cambios de - Gestionar cuidadosamente los cambios de emergencia para minimizar futuras incidencias y asegurar que el cambio está controlado y se realiza de forma segura. - Verificar que los cambios de emergencia son evaluados debidamente y autorizados de una vez hecho el cambio. Gestionar cambios de emergencia. - Evaluar todas las peticiones de cambio para determinar su impacto en los procesos de negocio y los servicios TI, y analizar si el cambio afectará negativamente al entorno operativo e introducirá un riesgo inaceptable. - Asegurar que los cambios son registrados, priorizados, categorizados, analizados, autorizados, planificados y programados. Evaluar, priorizar y autorizar peticiones de cambio. - El correcto funcionamiento del proceso de gestión de la vulnerabilidad técnica aplicado a la infraestructura que provee los servicios a los clientes es crítica para evitar el fraude por tanto, debe ser monitoreado regularmente. a) Los cambios a nivel de plataformas tecnológicas y/o sistemas de información requeridos para la configuración y activación de servicios tiene que ser debidamente controlada, tomando e cuanta los siguientes aspectos: vulnerabilidad. o Mantener un registro de auditoría de todos los procedimientos realizados; el proceso de gestión de vulnerabilidad técnica debiera ser monitoreado y o Evaluado regularmente para asegurar su efectividad y eficacia; se debieran tratar primero los sistemas en alto riesgo. Guías de Implementación enfocado a la Seguridad de la Información 120 Proceder con la implementación de los controles de GSI. Acción a Seguir Nombre del Control Control BAI10-A Control BAI10-B Control BAI10-C Procesos de la GSI SERVICE CONFIGURATIO N& ACTIVATION SERVICE CONFIGURATIO N& ACTIVATION SERVICE CONFIGURATIO Zonas del Modelo de madurez de la GSI Rojo 3 Rojo 3 Rojo 3 Número cambios de configuración detectados en NO IMPLEMENTA DO MEDIO MEDIO NO IMPLEMENTA DO NO IMPLEMENTA DO Número cambios de configuración detectados en recursos de plataformas tecnológicas de servicio que no tienen registro de motivo ni responsable del cambio. Estado Actual de la Métrica MEDIO Métricas Número cambios de configuración detectados en recursos de plataformas tecnológicas de servicio que no tienen registro de motivo ni responsable del cambio. Estado del Control - Reportes de incidencias y problemas de seguridad de la información referentes a cada servicio. - Monitorear el cumplimiento de los acuerdos de nivel de servicio. - Revisión en plataforma técnica de eventos de error y alertas que pudieren estar generando fallos, micro cortes o problemas operacionales. c) Todo cambio o modificación que se deba realizar con el propósito de realizar activaciones de nuevos servicios, debe ser debidamente b) Se debe monitorear por medio de reportes que los controles de seguridad establecidos para cada servicio se cumplan de acuerdo a lo establecido, para el efecto se requiere: a) Se deben definir los controles de seguridad a cumplir para cada entrega de servicio estándar de la TELCO y en caso de entregas de servicio personalizado, se debe determinar si hay controles de seguridad adicionales que se deben cumplir. - Siempre que el cambio haya sido implementado, actualizar, de manera consecuente, la documentación de la solución y del servicio, así como los procedimientos a los que afecta el cambio. Cerrar y documentar los cambios. - Mantener un sistema de seguimiento e informe que documente los cambios rechazados, comunique el estado de cambios aprobados y en proceso y de cambios completados. - Asegurar que los cambios aprobados son implementados como esté previsto estado. Guías de Implementación enfocado a la Seguridad de la Información 121 Proceder con la implementación de los controles de GSI. Proceder con la implementación de los controles de GSI. Proceder con la implementación de los controles de GSI. Acción a Seguir Rojo 3 Zonas del Modelo de madurez de la GSI SM&O SUPPORT READINESS N& ACTIVATION Procesos de la GSI Control BAI09-B Nombre del Control NO IMPLEMENTA DO Estado del Control Porcentaje de activos con propietarios asignados. recursos de plataformas tecnológicas de servicio que no tienen registro de motivo ni responsable del cambio. Métricas MEDIO Estado Actual de la Métrica - Se debe identificar los recursos de información que se utilizarán para identificar las vulnerabilidades técnicas relevantes y mantener la conciencia sobre ellas para los dispositivos y otras tecnologías, se debe definir una línea de tiempo para reaccionar a las notificaciones de vulnerabilidades técnicas potencialmente relevantes. - La organización debe definir y establecer los roles y responsabilidades asociadas con la gestión de la vulnerabilidad técnica; incluyendo el monitoreo de la vulnerabilidad, evaluación del riesgo de la vulnerabilidad, monitoreo de dispositivos y cualquier responsabilidad de coordinación requerida. - Cambios hechos por la organización para implementar mejoras en el actual servicio. - Desarrollo de nueva aplicación a nivel de sistemas de información. - Nuevos controles para resolver incidentes o problemas de GSI. - Incrementos de capacidad técnica de redes de servicio. - Uso de nuevas tecnologías. - Aplicación de nuevos firmwares en plataformas tecnológicas. - Cambios físicos de equipos. - Cambios de proveedor de plataformas tecnológicas. b) Se debe tomar la acción apropiada y oportuna en respuesta a la identificación de vulnerabilidades técnicas potenciales a cargo del responsable del proceso. Se debe seguir el siguiente lineamiento para establecer un proceso de gestión efectivo para las vulnerabilidades técnicas: gestionado de acuerdo a la criticidad de los servicios y la plataforma tecnológica que estará sujeta a cambios, estos cambios pueden incluir: Guías de Implementación enfocado a la Seguridad de la Información 122 Proceder con la implementación de los controles de GSI. Acción a Seguir Zonas del Modelo de madurez de la GSI Procesos de la GSI Nombre del Control Estado del Control Métricas Estado Actual de la Métrica o Desconectar los servicios o capacidades relacionadas con la vulnerabilidad. o Adaptar o agregar controles de acceso. o Mayor monitoreo para detectar o evitar ataques reales. o Elevar la conciencia acerca de la vulnerabilidad. o Mantener un registro de auditoría de todos los procedimientos realizados; el proceso de gestión de vulnerabilidad técnica debiera ser monitoreado y - Los parches se deben probar y evaluar en un ambiente controlado antes de aplicarlos para asegurar que solventen la vulnerabilidad y no desencadenen efectos secundarios no tolerables; si el parche no está disponible, se pueden considerar otros controles: - Si es posible aplicar un parche, se debe evaluar los riesgos asociados con la aplicación del mismo, en este punto es importante comparar los riesgos impuestos por la vulnerabilidad con el riesgo de aplicar el parche a los dispositivos o sistemas de gestión. - Dependiendo de la criticidad con que se necesita tratar la vulnerabilidad técnica, la acción a tomarse debe realizarse de acuerdo a los controles relacionados con la gestión de cambios o siguiendo los procedimientos de respuesta ante - incidentes de seguridad de la información definidos. - Una vez que se identifica la vulnerabilidad técnica potencial, la organización debe identificar los riesgos asociados y las acciones a tomarse; dicha acción puede implicar aplicar parches al software base de dispositivos o sistemas de gestión de plataformas vulnerables y/o la aplicación de otros controles. Guías de Implementación enfocado a la Seguridad de la Información 123 Acción a Seguir Nombre del Control Control BAI10-B Control BAI10-C Control MEA03-1 Procesos de la GSI SM&O SUPPORT READINESS SM&O SUPPORT READINESS REGULATORY MANAGEMENT Zonas del Modelo de madurez de la GSI Rojo 3 Rojo 3 Amarillo 2 NO IMPLEMENTA DO IMPLEMENTA DO NO IMPLEMENTA DO Estado del Control Número de sanciones o multas considerables que ha tenido la TELCO. Número de discrepancias entre las líneas de referencia de configuración de seguridad establecidas y las configuraciones reales. Número de discrepancias entre las líneas de referencia de configuración de seguridad establecidas y las configuraciones reales. Métricas BAJO MEDIO MEDIO Estado Actual de la Métrica El dueño del proceso de Gestión de las Regulaciones, es el responsable de los enunciados de la política de seguridad respecto a temas de cumplimiento, el mismo que debe coordinar con el ISM para la actualización y difusión de la política de seguridad de la 124 Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Proceder con la implementación de los controles de GSI. c) Todos los movimientos, traslados, cambios de funcionalidad o cualquier tipo de actualización de los dispositivos tienen que generar un registro histórico accesible. a) La política de seguridad de la información, respecto a temas de cumplimiento de un marco regulatorio tiene que ser revisada y actualizada de forma constante para evaluar si es idónea y efectiva respecto a las modificaciones realizadas en el marco regulatorio vigente. Proceder con la implementación de los controles de GSI. Acción a Seguir b) Los dispositivos que componen la infraestructura, deben ser clasificados en términos de su funcionalidad, valor para el negocio, requerimientos legales, y nivel de criticidad para la organización, con el objetivo de identificar los dispositivos que necesitan ser protegidos de forma especial. - El correcto funcionamiento del proceso de gestión de la vulnerabilidad técnica aplicado a la infraestructura que provee los servicios a los clientes es crítica para evitar el fraude por tanto, debe ser monitoreado regularmente. o Evaluado regularmente para asegurar su efectividad y eficacia; se debieran tratar primero los sistemas en alto riesgo. Guías de Implementación enfocado a la Seguridad de la Información Nombre del Control Control MEA01-A Procesos de la GSI REGULATORY MANAGEMENT Zonas del Modelo de madurez de la GSI Amarillo 2 Estado Actual de la Métrica MEDIO Métricas Número de aspectos sujetos a regulación, que no están siendo gestionados. Estado del Control NO IMPLEMENTA DO - Contratos de Concesiones de espectro radioeléctrico. - Regulaciones establecidas por la SENATEL, respecto a las licencias de los servicios de telecomunicaciones que se provee y normas de implementación. - Convenios de Intercambio de tráfico con otras TELCOS, nacionales o Internacionales. - Tarifas, calidad y cobertura de Servicios. - Requerimientos de Interoperabilidad y portabilidad. - Régimen tributario. - Modificaciones en la política de seguridad de la Información respecto a cumplimiento. - Mejoras en la asignación de recursos y responsabilidades. a) Todos los estatutos, regulaciones y requerimientos contractuales que debe cumplir obligatoriamente la TELCO, deben ser explícitamente definidos, documentados y actualizados, esto incluye pero no se limita a los siguientes: Información de Salida: - Feedback de partes o unidades funcionales interesadas. - Alertas y sugerencias generadas por auditorías internas y externas. - Modificaciones contractuales, de regulación o condiciones legales recientes. - Reportes de sanciones de la SUPERTEL hacia otras TELCO ecuatorianas. - Recomendaciones recibidas de autoridades relevantes de la TELCO. Información de Entrada: información, en caso de modificaciones relacionadas con cumplimiento del marco regulatorio. Guías de Implementación enfocado a la Seguridad de la Información 125 Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Acción a Seguir Nombre del Control Control MEA01-A Control MEA01-B Control MEA01-C Control MEA03-1 Procesos de la GSI REGULATORY MANAGEMENT REGULATORY MANAGEMENT REGULATORY MANAGEMENT REGULATORY MANAGEMENT Zonas del Modelo de madurez de la GSI Amarillo 2 Amarillo 2 Amarillo 2 Amarillo 2 Estado Actual de la Métrica MEDIO MEDIO MEDIO MEDIO Métricas Número de aspectos sujetos a regulación, que no están siendo gestionados. Número de aspectos sujetos a regulación, que no están siendo gestionados. Número de aspectos sujetos a regulación, que no están siendo gestionados. Número de sanciones o multas leves que ha tenido la TELCO. IMPLEMENTA DO NO IMPLEMENTA DO IMPLEMENTA DO NO IMPLEMENTA DO Estado del Control Acción a Seguir - Feedback de partes o unidades funcionales interesadas. - Alertas y sugerencias generadas por auditorías Información de Entrada: El dueño del proceso de Gestión de las Regulaciones, es el responsable de los enunciados de la política de seguridad respecto a temas de cumplimiento, el mismo que debe coordinar con el ISM para la actualización y difusión de la política de seguridad de la información, en caso de modificaciones relacionadas con cumplimiento del marco regulatorio. a) Se deben implementar los procedimientos y responsables apropiados para asegurar el continuo cumplimiento de leyes, regulaciones y requerimientos contractuales en la TELCO. 126 Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Completar la b) La organización debe asegurar disponer de la implementación de los capacidad suficiente de recursos tecnológicos, controles de GSI y hacer para asegurar la continuidad del servicio y una validación de la cumplir los acuerdos mínimos de servicio y correcta implementación cobertura en caso de fallos graves o desastres de los controles ya naturales aplicados. c) Cuando se recibe un requerimiento de Completar la información de un ente externo para implementación de los evaluaciones de cumplimiento, se debe definir y controles de GSI y hacer aplicar un procedimiento de validación para una validación de la determinar que la petición está hecha a través correcta implementación del legítimo proceso o procedimiento, de acuerdo de los controles ya a las leyes gubernamentales establecidas. aplicados. a) La política de seguridad de la información, respecto a temas de cumplimiento de un marco regulatorio tiene que ser revisada y actualizada de forma constante para evaluar si es idónea y efectiva respecto a las modificaciones realizadas en el marco regulatorio vigente. Guías de Implementación enfocado a la Seguridad de la Información Nombre del Control Control MEA03-1 Procesos de la GSI REGULATORY MANAGEMENT Zonas del Modelo de madurez de la GSI Amarillo 2 Estado Actual de la Métrica ALTO Métricas Número de sanciones o multas graves que ha tenido la TELCO. Estado del Control NO IMPLEMENTA DO Información de Salida: Información de Entrada: - Feedback de partes o unidades funcionales interesadas. - Alertas y sugerencias generadas por auditorías internas y externas. - Modificaciones contractuales, de regulación o condiciones legales recientes. - Reportes de sanciones de la SUPERTEL hacia otras TELCO ecuatorianas. - Recomendaciones recibidas de autoridades relevantes de la TELCO. El dueño del proceso de Gestión de las Regulaciones, es el responsable de los enunciados de la política de seguridad respecto a temas de cumplimiento, el mismo que debe coordinar con el ISM para la actualización y difusión de la política de seguridad de la información, en caso de modificaciones relacionadas con cumplimiento del marco regulatorio. Información de Salida: - Modificaciones en la política de seguridad de la Información respecto a cumplimiento. - Mejoras en la asignación de recursos y responsabilidades. a) La política de seguridad de la información, respecto a temas de cumplimiento de un marco regulatorio tiene que ser revisada y actualizada de forma constante para evaluar si es idónea y efectiva respecto a las modificaciones realizadas en el marco regulatorio vigente. internas y externas. - Modificaciones contractuales, de regulación o condiciones legales recientes. - Reportes de sanciones de la SUPERTEL hacia otras TELCO ecuatorianas. - Recomendaciones recibidas de autoridades relevantes de la TELCO. Guías de Implementación enfocado a la Seguridad de la Información 127 Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados. Acción a Seguir Nombre del Control Control MEA02-A Control DSS06-A Procesos de la GSI AUDIT MANAGEMENT FRAUD MANAGEMENT Zonas del Modelo de madurez de la GSI Verde 1 Verde 1 Estado Actual de la Métrica BAJO MEDIO Métricas Número de revisiones independientes de la GSI que fueron realizadas de forma programada en el presente período. Número de casos de Fraude detectados por falta de segregación de funciones o estructuras organizativas ambiguas. Estado del Control NO IMPLEMENTA DO NO IMPLEMENTA DO Completar la implementación de controles de GSI. 128 Acción a Seguir a) Se debe identificar las funciones en la TELCO, en las que por su naturaleza sea Completar la factible cometer Fraude y separarlas de tal forma implementación de que se implemente un control mutuo entre las controles de GSI. funciones o áreas separadas. - Esta revisión tiene que ser realizada periódicamente, bajo demanda, en caso de un requerimiento de la alta gerencia o cuando han ocurridos cambios significativos en la GSI. - Estas revisiones buscan asegurar la continua idoneidad y efectividad en la implementación de la GSI, la revisión puede contemplar el aprovechar oportunidades y/o la necesidad de cambios en el enfoque de la GSI, incluso las políticas y los controles. - Informar a los líderes y obtener su apoyo, su aceptación y su compromiso. - Guiar las estructuras, procesos y prácticas para la GSI en línea con los principios, modelos para la toma de decisiones y niveles de autoridad y control (incluye auditorias) diseñados. - Modificaciones en la política de seguridad de la Información respecto a cumplimiento. - Mejoras en la asignación de recursos y responsabilidades. a) En base a la Política de la GSI, la implementación de la misma debe ser revisada de forma independiente para garantizar que las prácticas en la TELCO reflejen adecuadamente la aplicación de las Políticas de GSI establecidas. Esta revisión puede ser llevada a cabo por la función de auditoría de la TELCO, pero externa a la GSI, por un gerente independiente especializado en revisiones de esta índole. Esta función auditora puede ser también un ente externo especializado. Guías de Implementación enfocado a la Seguridad de la Información ALTO Porcentajes de casos de Fraude confirmados. Control BAI04-B FRAUD MANAGEMENT Verde 1 ALTO IMPLEMENTA DO IMPLEMENTA DO Número de alertas generadas de posibles casos de Fraude. Control BAI04-A FRAUD MANAGEMENT Verde 1 ALTO Porcentajes de casos de Fraude solventados por CSIRT. NO IMPLEMENTA DO Control BAI04-B FRAUD MANAGEMENT Verde 1 ALTO Verde 1 Porcentajes de casos de Fraude solventados por CSIRT. NO IMPLEMENTA DO Control BAI04-A FRAUD MANAGEMENT ALTO Porcentajes de casos de Fraude mitigados localmente. NO IMPLEMENTA DO Control BAI04-C FRAUD MANAGEMENT Verde 1 MEDIO IMPLEMENTA DO Control EDM05-A AUDIT MANAGEMENT Verde 1 Número de incidentes de seguridad relacionados a fuga de información confidencial detectados en el presente período. Verde 1 MEDIO IMPLEMENTA DO Control DSS06-B Número de casos de Fraude detectados por falta de segregación de funciones o estructuras organizativas ambiguas. FRAUD MANAGEMENT Estado Actual de la Métrica Métricas Estado del Control Nombre del Control Procesos de la GSI Zonas del Modelo de madurez de la GSI Completar la implementación de controles de GSI. a) Conformar y capacitar un equipo técnico especializado en gestión de Incidentes de Seguridad en Plataformas Tecnológicas de Servicio y Tecnologías de Información, para atender los casos comprobados de Fraude. b) Formar parte de un CSIRT de Telecomunicaciones de primer nivel, para intercambiar Información y mantenerse a la vanguardia de herramientas de identificación y mitigación de Fraude en las TELCO. a) Se debe monitorear las tendencias de uso de capacidad de las plataformas de Telecomunicaciones y establecer alarmas en caso disminuciones abruptas de capacidad, se recomienda la automatización de esta función. b) En caso de cambios de tendencia de uso de capacidad se deben abrir casos de investigación de posible fraude. Completar la implementación de controles de GSI. Completar la implementación de controles de GSI. Completar la implementación de controles de GSI. Completar la implementación de controles de GSI. c) Los casos de posible fraude debe contrastar el Completar la uso de la capacidad de los recursos implementación de tecnológicos, con las ventas y la facturación. controles de GSI. La función auditora de la organización debe contar con el apoyo de la Gestión de Recursos Humanos o cualquier otra unidad funcional de la organización para llevar a cabo esta labor. 129 Acción a Seguir a) Se debe identificar los funcionarios, proveedores o entes externos que por su interacción con la TELCO, manejan información sensible para la organización, evaluar y definir si amerita generar un acuerdo de confidencialidad Completar la y los términos específicos de acuerdo al tipo de implementación de información sensible que se maneje. controles de GSI. b) Si a pesar de la segregación de funciones existe el riesgo de conspiración en determinados procesos, se debe definir el procedimiento de control y la frecuencia de revisión para que Auditoría lo tenga presente. Guías de Implementación enfocado a la Seguridad de la Información Completar la implementación de controles de GSI. - La definición de la información a ser protegida. - Duración del acuerdo, incluido los casos donde la confidencialidad puede ser necesaria mantenerla de forma indefinida. - Acciones requeridas cuando el acuerdo finaliza. Completar la - Responsabilidades y acciones de las partes implementación de para evitar divulgación no autorizada de controles de GSI. información. - Propiedad de la información, secretos comerciales y propiedad intelectual y como estos protegen la confidencialidad de la información. - Procesos de notificación y reporte divulgación no autorizada de información confidencial. - Términos para la información que tiene que ser retornada o destruida al final del acuerdo. - Acciones y penalización que serán tomadas en caso de no cumplimiento del acuerdo de confidencialidad. La función auditora de la organización debe contar con el apoyo de la Gestión de Recursos Humanos o cualquier otra unidad funcional de la organización para llevar a cabo esta labor. b) Los acuerdos de confidencialidad y no divulgación de la información deben reflejar las necesidades de protección de la organización y deben ser regularmente revisadas, para el efecto se debe considerar: 130 Acción a Seguir a) Se debe identificar los funcionarios, proveedores o entes externos que por su interacción con la TELCO, manejan información sensible para la organización, evaluar y definir si amerita generar un acuerdo de confidencialidad Completar la y los términos específicos de acuerdo al tipo de implementación de información sensible que se maneje. controles de GSI. d) Si se detecta un caso de Fraude, se lo debe exponer en el ISSC, donde se establecerán las prioridades y acciones para solventar el caso. Guías de Implementación enfocado a la Seguridad de la Información Tabla 5-10 Plan de acción propuesto, Grupo TVCable. [14] ALTO NO IMPLEMENTA DO Control EDM05-B AUDIT MANAGEMENT Número de incidentes de Seguridad de la Información relacionados a divulgación de Información, no contemplados en los acuerdos de Confidencialidad formalizados. Verde 1 ALTO IMPLEMENTA DO Control EDM05-A AUDIT MANAGEMENT Verde 1 Número de cambios significativos realizados en la organización de la GSI. Estado Actual de la Métrica ALTO Métricas Porcentajes de casos de Fraude escalados a CSIRT. NO IMPLEMENTA DO Control BAI04-D FRAUD MANAGEMENT Verde 1 Estado del Control Nombre del Control Procesos de la GSI Zonas del Modelo de madurez de la GSI 131 5.2.2. ACT (ACCIONES Y/O MEJORAS). Es oportuno racionalizar que siendo la primera iteración de la Metodología de GSI y no disponer de una planificación previa que establezca un estado anterior y un estado previsto al final del ciclo (Tabla 3-8), tanto para las métricas de la GSI como para las zonas de madurez de los procesos, las acciones de mejora se toman tal cual el Plan de Acción lo propone, el mismo que se desprende de la ejecución del Modelo de Madurez en la fase anterior CHECK/ STUDY (Tabla 5-10), el cual prioriza la implementación de controles de GSI de acuerdo a la prioridad de la zona de madurez de cada proceso y como segundo criterio, ordena los controles de GSI de una misma zona de madurez, desde bajo hacia alto según la calidad de su implementación. 5.2.3. PLAN (PLANIFICAR). De acuerdo a lo documentado en la sección 3.1.6.1, esta fase, en la primera iteración de la Metodología de GSI, equivale a la planificación de la implementación de la Metodología y la previsión de resultados en función de métricas y zonas de madurez de los procesos. Los resultados de la evaluación del caso de estudio se ven reflejados en la Tabla 5-11, que detalla la planificación de mejoras recomendadas para el Grupo TVCable y la Tabla 5-12, que detalla el estado deseado que el Grupo TVCable debe alcanzar en la siguiente iteración de la Metodología de GSI. Fecha 01/04/2015 06/04/2015 08/04/2015 11/04/2015 13/04/2015 03/05/2015 08/05/2015 09/05/2015 10/05/2015 30/05/2015 04/06/2015 Nro. 1 2 3 4 5 6 7 8 9 10 11 Organización de la GSI Inicio de Implementación de procesos de GSI. Hito Fecha de Inicio del Proyecto: 3 2 Definición de Política de Seguridad de la Información en el Grupo TVCable Reuniones de comités de la GSI, previa a la implementación de los procesos de la GSI. y hacer una validación de la correcta y hacer una validación de la correcta y hacer una validación de la correcta y hacer una validación de la correcta Control DSS02-D implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT - Completar la implementación de los controles de GSI Control DSS01-A implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT - Completar la implementación de los controles de GSI Control MEA03-A implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT - Completar la implementación de los controles de GSI Control MEA03-B implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT - Completar la implementación de los controles de GSI Control DSS02-B implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT - Completar la implementación de los controles de GSI y hacer una validación de la correcta implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT Control DSS02-A 5 20 1 1 5 20 2 Mapeo formal de procesos de GSI con los procesos equivalentes del Grupo TVCable. y hacer una validación de la correcta 5 Formalizar la Estructura Organizacional. Completar la implementación de los controles de GSI 1 Duración en Días Fecha de Inicio del Proyecto Nombre de Actividad 01/04/2015 PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE. Paralela Secuencial Paralela Paralela Paralela Paralela Secuencial Secuencial Secuencial Secuencial Secuencial Tipo de Actividad 132 Fecha 09/06/2015 14/06/2015 19/06/2015 24/06/2015 29/06/2015 04/07/2015 24/07/2015 29/07/2015 03/08/2015 08/08/2015 13/08/2015 18/08/2015 Nro. 12 13 14 15 16 17 18 19 20 21 22 23 y hacer una validación de la correcta Control DSS02-C implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT - Completar la implementación de los controles de GSI Nombre de Actividad 01/04/2015 READINESS - Control BAI06-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT READINESS - Control BAI06-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT READINESS - Control BAI09-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT READINESS - Control BAI10-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT CONFIGURATION & ACTIVATION - Control BAI04-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE CONFIGURATION & ACTIVATION - Control BAI06-D Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE CONFIGURATION & ACTIVATION - Control BAI06-C Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE CONFIGURATION & ACTIVATION - Control BAI06-B Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE CONFIGURATION & ACTIVATION - Control BAI06-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE CONFIGURATION & ACTIVATION - Control APO09-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE Completar la implementación de los controles de GSI y hacer una validación de la correcta Implementación Mejoras implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT a Zona Rojo 2 Control DSS02-D Hito Fecha de Inicio del Proyecto: PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE. 5 5 5 5 5 20 5 5 5 5 5 5 Duración en Días Paralela Paralela Paralela Paralela Paralela Secuencial Paralela Paralela Paralela Paralela Paralela Paralela Tipo de Actividad 133 Fecha 23/08/2015 28/08/2015 17/09/2015 22/09/2015 27/09/2015 02/10/2015 07/10/2015 12/10/2015 17/10/2015 22/10/2015 27/10/2015 01/11/2015 Nro. 24 25 26 27 28 29 30 31 32 33 34 35 READINESS - Control BAI10-B Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT READINESS - Control BAI09-B Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT CONFIGURATION & ACTIVATION - Control BAI10-C Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE CONFIGURATION & ACTIVATION - Control BAI10-B Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE CONFIGURATION & ACTIVATION - Control BAI10-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE CONFIGURATION & ACTIVATION - Control APO09-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE READINESS - Control BAI09-B Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT READINESS - Control BAI06-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT READINESS - Control BAI06-A Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT Nombre de Actividad 01/04/2015 y hacer una validación de la correcta y hacer una validación de la correcta Control MEA01-A implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT - Completar la implementación de los controles de GSI Control MEA03-1 implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT - Completar la implementación de los controles de GSI Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT Implementación Mejoras a Zona Rojo 3 READINESS - Control BAI10-C Hito Fecha de Inicio del Proyecto: PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE. 5 5 5 5 5 5 5 5 5 20 5 5 Duración en Días Paralela Paralela Paralela Paralela Paralela Paralela Paralela Paralela Paralela Secuencial Paralela Paralela Tipo de Actividad 134 Fecha 21/11/2015 26/11/2015 01/12/2015 06/12/2015 11/12/2015 16/12/2015 21/12/2015 10/01/2016 15/01/2016 20/01/2016 Nro. 36 37 38 39 40 41 42 43 44 45 y hacer una validación de la correcta y hacer una validación de la correcta y hacer una validación de la correcta y hacer una validación de la correcta Control MEA03-1 implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT - Completar la implementación de los controles de GSI Control MEA01-C implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT - Completar la implementación de los controles de GSI Control MEA01-B implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT - Completar la implementación de los controles de GSI Control MEA01-A implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT - Completar la implementación de los controles de GSI Nombre de Actividad 01/04/2015 Control BAI04-C Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT - EDM05-A Completar la implementación de controles de GSI.: Proceso de la GSI - AUDIT MANAGEMENT - Control Control DSS06-B Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT - Control DSS06-A Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT - MEA02-A Completar la implementación de controles de GSI.: Proceso de la GSI - AUDIT MANAGEMENT - Control Completar la implementación de los controles de GSI y hacer una validación de la correcta Implementación Mejoras implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT a Zona Amarillo 2 Control MEA03-1 Hito Fecha de Inicio del Proyecto: PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE. 5 5 20 5 5 5 5 5 5 20 Duración en Días Paralela Paralela Secuencial Paralela Paralela Paralela Paralela Paralela Paralela Secuencial Tipo de Actividad 135 Fecha 25/01/2016 30/01/2016 04/02/2016 09/02/2016 14/02/2016 19/02/2016 24/02/2016 25/02/2016 26/02/2016 28/02/2016 Nro. 46 47 48 49 50 51 52 53 54 55 EDM05-A Completar la implementación de controles de GSI.: Proceso de la GSI - AUDIT MANAGEMENT - Control Control BAI04-D Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT - Control BAI04-B Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT - Control BAI04-A Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT - Control BAI04-B Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT - Control BAI04-A Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT - Nombre de Actividad 01/04/2015 2 1 Fecha de Cierre del Proyecto Tabla 5-12 Planificación de mejoras recomendado, Grupo TVCable. [14] Fin Implementación de procesos de GSI. 1 Análisis de resultados obtenidos. 5 5 5 5 5 5 5 Duración en Días Reuniones de comités de la GSI, posterior a la implementación de los procesos de la GSI. Completar la implementación de controles de GSI.: Proceso de la GSI - AUDIT MANAGEMENT - Control Implementación Mejoras a Zona Verde 1 EDM05-B Hito Fecha de Inicio del Proyecto: PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE. Secuencial Secuencial Secuencial Paralela Paralela Paralela Paralela Paralela Paralela Paralela Tipo de Actividad 136 GSI-RM REGULATORY MANAGEMENT 5 3 8 9 6 7 Controles Implementados 0 0 0 0 0 0 Controles No Implementado 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% Avance de Implementación Completo Completo Completo Completo Completo Completo Progreso de la Implantación Tabla 5-13 Estado deseado al finalizar el periodo, Grupo TVCable. [14] GSI-FM GSI-AM AUDIT MANAGEMENT GSI-SC&A FRAUD MANAGEMENT SERVICE CONFIGURATION & ACTIVATION GSI-BIM GSI-SM&O-SR SM&O SUPPORT READINESS Código de los Procesos de la GSI BILL INVOICE MANAGEMENT Procesos de la GSI MEDIO ALTO ALTO MEDIO MEDIO MEDIO Estado de la GSI (CALIDAD) Amarillo 1 Verde 3 Verde 3 Amarillo 1 Amarillo 1 Amarillo 1 137 Zonas del Modelo de madurez de la GSI 138 5.2.4. DO (HACER). En esta fase, no se contempla una implantación práctica de lo planificado en la fase anterior (Tabla 5-11 y 5-12); por cuanto, el proceder con una implantación formal, es una decisión que implica asignación de recursos de la organización, decisión en la cual los autores de la tesis no tienen injerencia; sin embargo, a continuación se realiza un análisis sobre el estado actual de la GSI de la TELCO en estudio y se hacen consideraciones preliminares necesarias, frente a las limitaciones que actualmente tiene el Grupo TVCable para implantar la Metodología de GSI propuesta. 5.2.4.1. Descripción del estado actual de la GSI en el Grupo TVCABLE [17]. Se resume en los siguientes enunciados: · Respecto a la GSI, el Grupo TVCable no cuenta con una estrategia definida para el efecto, la VP. de Sistemas se limita a implementar el concepto de Seguridad Informática a nivel de Infraestructura Tecnológica, con la adquisición e implementación de dispositivos tecnológicos de Seguridad Informática como: · Firewall Perimetral, Check Point Solutions. · Control de contenido de navegación, WebSense Solution. · Control de accesos de navegación, TMG Gateway Software. · Backups, Symantec Backup Exec 2013 · Antivirus, McAfee Enterprise Manager. · Sistemas de detección de Intrusos, 3Com TippingPoint 2400. Otra consideración, es que tampoco la Seguridad Informática se la maneja de forma correcta, ya que la misma se la concibe como un estado y no como un proceso, se la maneja de forma reactiva y el personal técnico no está debidamente capacitado para ajustar la configuración de las soluciones tecnológicas de acuerdo a los cambios y necesidades que surgen en la organización. 139 · Desde la perspectiva de la VP. Técnica, específicamente como proveedor de servicios de telecomunicaciones, también se limita a la Seguridad Informática, la cual está basada en la correcta arquitectura y configuración de los equipos de comunicación de Core y Acceso, en esta VP. se evidencia con un ejemplo la ausencia de la GSI, ya que el servicio de Internet por Cable Modem del Grupo TVCable fue víctima por 10 años de fraude, porque se vendían en el mercado informal, planes de Internet de un solo pago, usando la infraestructura del grupo TVCable, afectando sus ingresos, reputación y a sus usuarios; ya que, los cables módems piratas eran clones de los cable módems de suscriptores activos y se compartían recursos de red entre suscriptores legítimos y piratas, para más detalles de esta modalidad de fraude ver Tabla 1-2. · En una TELCO, el componente Tecnológico es negocio-crítico, en el grupo TVCable la tecnología es responsabilidad de las Vicepresidencias de Sistemas y Técnica; pero, se evidencia una rivalidad entre estas dos vicepresidencias que no permite la conformación de comisiones para definir en conjunto una estrategia de GSI a nivel de negocio, un ejemplo claro de este problema es que varias jefaturas que reportan a la Gerencia Nacional Técnica, tienen sus equipos de escritorio con dos tarjetas de red, una de ellas conectada a la red Interna de la organización y otra conectada directamente a Internet con dirección IP pública por medio de un Cable Modem, como si de un servidor se tratase; lo cual minimiza a cero todos los esfuerzos que hace la VP. de Sistemas y la inversión que hace la TELCO para mantener la red interna segura. · Si evaluamos la VP. Técnica y de Sistemas del Grupo TVCable en el modelo de madurez de COBIT 4.1, Proceso PO9, Planear y Organizar – Administración de Riesgos de IT, ubicamos a esta organización en un estado “1 Inicial / Ad Hoc”, que considera: o Los riesgos de la Seguridad de la Información se toman en cuenta de manera ad hoc. Se realizan evaluaciones informales de riesgos según lo determine cada proyecto. En algunas ocasiones se 140 identifican evaluaciones de riesgos en un plan de proyecto, pero no se asignan los recursos necesarios para mitigar los mismos. o Los riesgos específicos relacionados con las TI, respecto a confidencialidad, disponibilidad e integridad, se toman en cuenta ocasionalmente. Los riesgos relativos a TI que afectan las operaciones del día a día, son rara vez discutidas en reuniones gerenciales. o Cuando se toman en cuenta los riesgos, la mitigación de los mismos tienen muy baja prioridad. Existe un entendimiento relativo de que los riesgos de la seguridad de la Información son importantes y que necesitan ser gestionados. · La alta dirección del Grupo TVCable, concibe a la capacitación como un gasto y no como una inversión, lo cual es una importante limitación para toda la TELCO y específicamente para la GSI. 5.2.4.2. Estrategia organizacional para implementar la GSI. En reuniones mantenidas con directivos de la VP de Sistemas del Grupo TVCable, se han identificado factores importantes que deben ser considerados para establecer la estructura organizacional de la GSI, estos son las siguientes: a) La VP. de Sistemas va a impulsar la implantación de la Metodología de GSI y no directamente el Presidente Ejecutivo. b) No hay presupuesto aprobado para la contratación de un CISO, que en el contexto de cargos del Grupo TVCable sería el Vicepresidente de Gestión de Seguridad de la Información; sin embargo, es factible tomar del presupuesto de la VP. de Sistemas para contratar un Gerente y dos Ingenieros para la GSI. c) El Grupo TVCable normalmente no realiza auditorías internas ni externas de ningún tipo. 141 d) EL Presidente Ejecutivo de la organización tiene la siguiente percepción de las vicepresidencias: · VP. Técnica.- Función Negocio Critica para la organización. · VP. Sistemas.- Función de Soporte y Apoyo para la TELCO. Tomando en cuenta las limitaciones mencionados, a continuación en la Figura 5-1, se presenta la Propuesta de Estructura Organizacional para implantar la GSI en el Grupo TVCable. Presidente Ejecutivo Gerencia GSI (ISM) Aseguramiento de Ingresos VP. Ejecutiva VP. GSI (CISO) VP. Sistemas VP. Técnica VP. Administrativa VP. Ventas VP. Operaciones VP. Legal Dueños de Procesos Dueños de Procesos Dueños de Procesos Dueños de Procesos Dueños de Procesos Dueños de Procesos 2 ING. GSI Figura 5-2 Estructura Organizacional para la GSI, Grupo TVcable (Propuesta). [17] En la cual cabe acotar lo siguiente: Respecto al organigrama. · La VP. de Gestión de Seguridad de la Información, está a nivel de staff al más alto nivel de la organización, representada por el CISO, quien debe posicionarse en su rol estratégico y empoderarse de su función. · El organigrama funcional está simplificado, ya que las gerencias están cohesionadas bajo el nombre de dueños de los procesos, esto con el objetivo 142 de denotar que la Gerencia de la GSI, representada por el ISM, tendrá interacción horizontal con todas las gerencias de la TELCO, en su función de gestor operativo de la GSI. Respecto al CISO (Vicepresidente de la Seguridad de la Información). La iniciativa de implantación de la Metodología de GSI en el Grupo TVCable, parte de la VP de Sistemas y no directamente del Presidente Ejecutivo; por tanto, para dar factibilidad a la implantación de la Metodología de GSI, tomando en cuenta las limitaciones pre-establecidas, se propone que el VP de Sistemas ejecute paralelamente el Rol de CISO, que traducido a la nomenclatura de cargos del Grupo TVCable, es de VP de Gestión de Seguridad de la Información; quien en función del estado actual de la GSI y la cultura organizacional en el Grupo TVCABLE, tendrá como objetivos: · Conseguir el apoyo del Presidente Ejecutivo, para la implantación de la Metodología de GSI. · Romper el paradigma técnico actual en la organización, que reconoce a la Seguridad Informática como Seguridad de la Información. · Dominar los conocimientos entorno al negocio y ser capaz de identificar las afectaciones al mismo, en caso de materialización de amenazas. · Evangelizar a nivel de toda la cúpula corporativa, Vicepresidencias y Presidente Ejecutivo, de la importancia de la GSI a nivel de toda la organización. · Posicionar al CISO (Vicepresidente de Gestión de Seguridad de la Información) como Gestor Estratégico de la organización y no como de Soporte y Apoyo. · Justificar la creación de una partida presupuestaria para un CISO en la TELCO, en base a los resultados obtenidos para el negocio. 143 5.2.4.3. Mapeo de procesos de Grupo TVCable con los procesos objetivo de la Metodología de GSI. En reunión mantenida con la Gerencia de Infraestructura Tecnológica, en conjunto con un analista de procesos de la Gerencia de Organización y Métodos, se realiza el mapeo de los procesos objetivo de la Metodología de GSI, ver Tabla 4-1, con los procesos del Grupo TVCable, teniendo como resultado la Tabla 5-1 y 5-2, las cuales muestran claramente el mapeo de procesos, su descripción, responsables y la vicepresidencia a la que pertenecen. PROCESOS OBJETIVO DE LA GSI PROCESOS GRUPO TVCABLE VP. A LA QUE REPORTA SERVICE CONFIGURATION & ACTIVATION Gerencia de Mantenimiento. VP. Técnica. BILL INVOICE MANAGEMENT Gerencia de Facturación VP. Financiera Administrativa. SM&O SUPPORT READINESS Gerente de Instalaciones VP. Técnica. FRAUD MANAGEMENT Gerencia de Aseguramiento de Ingresos Presidente Ejecutivo. AUDIT MANAGEMENT ND ND. VP. Legal VP. Legal. REGULATORY MANAGEMENT Tabla 5-14 Mapeo entre Procesos de Metodología de GSI y Procesos del Grupo TV Cable. [14] PROCESOS OBJETIVO DE LA GSI DESCRIPCIÓN DEL PROCESO EN EL GRUPO TVCABLE RESPONSABLE SERVICE CONFIGURATION & ACTIVATION Es responsable de las Plataformas CORE de Telecomunicaciones que dan el servicio a los clientes. También realiza los estudios y diseño tecnológico de nuevos servicios que se ofrecerán a los clientes, tiene fuerte interacción con la Gerencia de Instalaciones a quienes brinda soporte en caso de dificultades técnicas de despliegue o ampliaciones de cobertura. Msc. Carlos Badillo. BILL INVOICE MANAGEMENT Se encarga del proceso completo de facturación de todos los servicios de la TELCO. Ing. Mildred Freire. SM&O SUPPORT READINESS Es responsabilidad de este proceso, llevar el inventario y controlar el uso del mismo en las instalaciones de los servicios a clientes, además de coordinar el despliego de personal propio o empresas subcontratadas para las instalaciones, actualizaciones o desinstalaciones de los servicios. Ing. Fabián Espinosa. FRAUD MANAGEMENT Controles físicos de fraude en redes de servicios. AUDIT MANAGEMENT No existe esta función, la Metodología de GSI, debe proponer la creación de esta es función, sea Interna o Externa para auditar el cumplimiento de la Metodología. REGULATORY MANAGEMENT Dr. Luis Almeida. ND. Dr. Francisco Vivanco. N/A Tabla 5-15 Mapeo entre Procesos de Metodología de GSI y Procesos del Grupo TV Cable (Descripción del proceso y Responsable). [14] 144 5.3. INFORME EJECUTIVO. El certificado de presentación de la Metodología de GSI en el Grupo TVCable, con el respectivo informe ejecutivo entregado a la Vicepresidencia de Sistemas y a la Gerencia de Infraestructura de TI, se adjunta en el Anexo G: Detalle del Anexo: · Certificado de presentación de Metodología de GSI en Grupo TVCable. · Informe Ejecutivo Grupo TVCable. Veracidad de la documentación: · Documentos firmados por el Vicepresidente de Sistemas y Gerente de Infraestructura de TI. 145 CAPÍTULO 6. CONCLUSIONES Y RECOMENDACIONES. 6.1. CONCLUSIONES. · De la investigación realizada sobre el fraude en la Industria de las Telecomunicaciones y el estudio exploratorio de la GSI en empresas de del Ecuador, se determina que las pérdidas por fraude a nivel mundial ascienden al 10 % de su rentabilidad y en el Ecuador no es la excepción, debido a que las TELCO ecuatorianas carecen de una estrategia de GSI a nivel de toda la organización y se confunde la GSI con el concepto de Seguridad Informática, el cual tampoco se lo concibe adecuadamente ya que el mismo es considerado como un estado y no como un proceso. Un caso puntual de una TELCO líder de mercado en el Ecuador como CNT EP, que tiene establecida una estrategia de GSI en su organización; pero, sus procesos normalmente tienen baja prioridad frente a los procesos operativos del negocio, lo cual hace que su función no sea efectiva. · El resultado del proceso de selección de estándares y buenas prácticas realizado, que determinó la utilización de eTOM v12, COBIT 5 e ISO/IEC 27011 para el desarrollo de la Metodología de GSI, fue exitoso, ya que existe una integración formal, específicamente entre COBIT 5 For Security Information y la ISO/IEC 27002, que constituye la parte neurálgica y un sólido soporte conceptual para la Metodología, de donde se desprenden las Guías de Implementación de Procesos de la GSI, contextualizadas a los procesos de las TELCO, para cubrir sus principales necesidades. Es importante destacar, que el éxito de la GSI no depende solamente de los estándares utilizados, sino también del criterio con que se aplican los mismos en la organización. · La Metodología de GSI desarrollada, es específica para las TELCO del Ecuador, ya que el procedimiento para la selección de procesos de eTOM se realizó en base a los problemas comunes identificados de la Seguridad de la Información en empresas ecuatorianas; sin embargo, en el presente 146 documento se propone en la sección 3.2.2, una alternativa de uso de la Metodología de GSI de forma genérica, que puede ser utilizada para la GSI de cualquier TELCO, que parte de la aplicación de la Metodología de Selección de Procesos de la sección 2.2.1, que da como resultado los procesos Críticos con Mayor Nivel de Riesgo en la TELCO y encapsula la Metodología de GSI de la sección 3.2.1. · Evaluar la Madurez en la GSI tiene que ir más allá de un enunciado cualitativo, el Modelo de Madurez desarrollado es un componente importante de la Metodología de GSI en su acoplamiento al modelo PDCA de mejora continua; ya que está basado en el progreso y la calidad de implementación de los controles de Seguridad de la Información y de sus resultados se desprende un plan de acción propuesto detallado. · De la experiencia del caso de estudio realizado en el Grupo TVCable, se concluye que hay dos factores determinantes en la implantación exitosa de la Metodología de GSI; el primer factor, es el apoyo formal de la alta dirección, que es la única forma de garantizar los recursos y la obligatoriedad de realizar los procesos de la GSI; el segundo factor, es la capacidad del CISO e ISM, quienes deben dominar los aspectos relacionados al negocio y ser capaces de proponer sobre la marcha las consideraciones de la Seguridad de la Información que se deben contemplar. Desde la perspectiva del Ecuador, por desconocimiento, la alta dirección de las organizaciones no es aún consiente de la importancia de la GSI y es éste, el hándicap principal para la GSI. 147 6.2. RECOMENDACIONES. · Para reducir el margen de fraude en la Industria de las Telecomunicaciones, las TELCO del Ecuador deben formalizar y empoderar adecuadamente la Gestión de la Seguridad de la Información en su organización. Desde la perspectiva de la EPN se recomienda motivar el desarrollo, evaluación y mejoramiento continuo de Metodologías de Gestión específicas para una industria determinada; consolidarlas formalmente como productos de la EPN y orientar estos, hacia la empresa pública y privada del país, para fortalecer la relación entre la Universidad y el sector empresarial ecuatoriano. · Dada la integración formal entre COBIT 5 For Security Information y la ISO/IEC 27002, se recomienda el uso de esta integración, para la GSI de cualquier tipo de Industria. Desde la perspectiva de la EPN se recomienda la investigación permanente de este tipo de integraciones, identificarlas, evaluarlas y difundirlas a la comunidad empresarial pública y privada del país, por medio de casos de estudio aplicados. · Considerando que la Metodología de GSI propuesta, se basa en necesidades específicas identificadas Telecomunicaciones del país; en la Industria de las se recomienda, que una vez se logre mantener todos los procesos de la Metodología en la Zona de Madurez Verde(estado deseado), se opte por aplicar la Metodología Genérica alternativa planteada en la sección 3.2.2 de este documento; con ello se puede identificar necesidades específicas de Seguridad de la Información que necesitan ser gestionadas y pudieron no ser contempladas en la propuesta Metodológica de la sección 3.2.1; hay que enfatizar que la aplicación de la Metodología Genérica de la sección 3.2.2 implica un mayor esfuerzo, ya que se tiene que desarrollar las Guías de Implementación de acuerdo a los procesos seleccionados y a su vez modificar las Métricas del Modelo de Madurez planteado, ya que las métricas del Modelo de Madurez son consecuencia directa de las Guías de Implementación de los procesos de GSI. 148 · Desde la perspectiva de la EPN, proponer uno o más temas de tesis de postgrado, entorno al Modelo de Madurez planteado, que realice análisis crítico, implementaciones, evaluaciones e implementación de mejoras, en pro de hacer evolucionar al Modelo de Madurez en cuestión, catalogarlo como producto de la EPN y formalmente difundirlo en el sector empresarial público y privado del país. Extrapolando este concepto a toda la EPN, se recomienda además, la creación de una comisión de Productividad Académica a nivel de la EPN y a nivel de cada facultad, que se encarguen de catalogar los productos de Gestión que ofrece la EPN al sector empresarial público o privado; los productos de gestión pueden ser Metodologías de Gestión para una industria específica, Modelos de Simulación de Negocios para una industria determinada, Buenas prácticas para temas puntuales, entre otros; las comisiones de Productividad Académica de cada facultad serán las encargadas de proponer temas de tesis que se orienten a mejorar, replantear, complementar o validar los productos de gestión ya catalogados y a su vez a receptar nuevas propuestas; en tanto que la comisión general de Productividad Académica de la EPN, sea la encargada de posicionar los productos de gestión en el sector empresarial local o internacional. De esta forma aprovechar el patrimonio intelectual de la EPN, forjando productos de gestión con sello propio en el ámbito local, en continua evolución; con el objetivo de crear un eslabón de integración entre el sector empresarial y el académico. · Tomando en cuenta, que el desconocimiento de la alta dirección sobre la importancia de la GSI, es el hándicap principal para su implementación en las organizaciones, se recomienda desde la perspectiva del Ecuador, específicamente en el ámbito gubernamental, realizar talleres de concientización de los riesgos a los que se exponen las organizaciones y la necesidad de una adecuada GSI. 149 BIBLIOGRAFÍA [1] EC3, "Telco Fraud: A Network and Security Threat," vol. 1, USA, EC3, 2010. [2] ISO/IEC, ISO 27011: Information Technology Security Techniques information Security Management Guidelines for Telecomunications Organizations Based on ISO/IEC 27001, Switzerland, 2009. [3] ITU, ITU Telco Security, http://www.itu.int/en/iITU- IT/studygroups/com17/Pages/telesecurity.aspx, 2012. [4] ASETA, Asociación de Operadores de Telecomunicaciones de la Comunidad Andina., Quito, 2010. [5] SUPERTEL - FRAUDE EN LAS TELCO, http://www.supertel.gob.ec/pdf/libro_fraude_telecomunicaciones.pdf, Quito: Gobierno - Ecuador, 2010. [6] CANTV, Fraude de las Telecomunicaciones, Caracas, 2009. [7] SUPERTEL, "MARCO JURIDICO," in MARCO JURIDICO SUPERTEL, Quito, 2012. [8] SUPERTEL, ESTADISTICAS http://controlenlinea.supertel.gob.ec/wps/portal/estadisticas/estadisticas/, Quito: MINTEL, ESTADISTICAS SUPERTEL. [9] CNT-EP, https://www.cnt.gob.ec/index.php/sobre-la-cnt-2/27-sobre-la- cnt/informacion-al-publico/ley-organica-de-transparencia-y-acceso-a-lainformacion-publica, Quito, 2012. [10] G. TVCable, "Aplicación de Caso de Estudio de Metodología de GSI," Quito, 2014. [11] TMFORUM, "Business Process Framework (eTOM) For the Information and comunication Services Industry v12. 3," in Estended Process Decomposition and Description, Morristown NJ, 2012. [12] ISACA, "Cobit 5," in Enabling Process, USA, ISACA Framework, 2012. [13] ISACA, "Cobit 5 Para la Seguridad de la Información," Rolling Meadows, Illinois, 2012. 150 [14] Autores, METODOLOGÍA INFORMACIÓN DE GESTIÓN ENFOCADO A DE SEGURIDAD LAS DE INDUSTRIAS LA DE TELECOMUNICACIONES EN EL ECUADOR., Quito, 2015. [15] W. E. D. Institute, "The PDSA https://www.deming.org/theman/theories/pdsacycle," vol. Cycle Theories & Teachings, 2008. [16] D. Chapin, "CISA, CISM, CISSP, IAM," ¿Cómo Puede Medirse la Seguridad?, vol. Volumen2, 2012. [17] GRUPO TVCable S.A, Estructura Organizacional, Quito, 2010. [18] I. G. P. Mega., Metodología de Implantación de un SGSI., Montevideo, Uruguay.: Instituto de Computación., 2009.. [19] A. G. A. A. HENTEN, Regulation and the Evolution of the Global Telecomunications Industry, United States of America, 2012. [1] EC3, «Telco Fraud: A Network and Security Threat,» vol. 1, USA, EC3, 2010. [2] ISO/IEC, ISO 27011: Information Technology Security Techniques information Security Management Guidelines for Telecomunications Organizations Based on ISO/IEC 27001, Switzerland, 2009. [3] ITU, ITU Telco Security, http://www.itu.int/en/iITU- IT/studygroups/com17/Pages/telesecurity.aspx, 2012. [4] ASETA, Asociación de Operadores de Telecomunicaciones de la Comunidad Andina., Quito, 2010. [5] SUPERTEL - FRAUDE EN LAS http://www.supertel.gob.ec/pdf/libro_fraude_telecomunicaciones.pdf, TELCO, Quito: Gobierno - Ecuador, 2010. [6] CANTV, Fraude de las Telecomunicaciones, Caracas, 2009. [7] SUPERTEL, «MARCO JURIDICO,» de MARCO JURIDICO SUPERTEL, Quito, 2012. 151 [8] SUPERTEL, ESTADISTICAS http://controlenlinea.supertel.gob.ec/wps/portal/estadisticas/estadisticas/, Quito: MINTEL, ESTADISTICAS SUPERTEL. [9] CNT-EP, https://www.cnt.gob.ec/index.php/sobre-la-cnt-2/27-sobre-la- cnt/informacion-al-publico/ley-organica-de-transparencia-y-acceso-a-lainformacion-publica, Quito, 2012. [10] G. TVCable, «Aplicación de Caso de Estudio de Metodología de GSI,» Quito, 2014. [11] TMFORUM, «Business Process Framework (eTOM) For the Information and comunication Services Industry v12. 3,» de Estended Process Decomposition and Description, Morristown NJ, 2012. [12] ISACA, «Cobit 5,» de Enabling Process, USA, ISACA Framework, 2012. [13] ISACA, «Cobit 5 Para la Seguridad de la Información,» Rolling Meadows, Illinois, 2012. [14] Autores, METODOLOGÍA INFORMACIÓN DE GESTIÓN ENFOCADO A DE LAS SEGURIDAD DE INDUSTRIAS LA DE TELECOMUNICACIONES EN EL ECUADOR., Quito, 2015. [15] W. E. D. Institute, «The https://www.deming.org/theman/theories/pdsacycle,» PDSA vol. Cycle Theories & Teachings, 2008. [16] D. Chapin, «CISA, CISM, CISSP, IAM,» ¿Cómo Puede Medirse la Seguridad?, vol. Volumen2, 2012. [17] GRUPO TVCable S.A, Estructura Organizacional, Quito, 2010. [18] I. G. P. Mega., Metodología de Implantación de un SGSI., Montevideo, Uruguay.: Instituto de Computación., 2009.. [19] A. G. A. A. HENTEN, Regulation and the Evolution of the Global Telecomunications Industry, United States of America, 2012. 152 GLOSARIO DE TÉRMINOS. TERMINO DEFINICIÓN AM. Audit Management. BMIS. Business Model for Information Security. Es una aproximación holística y orientada al negocio para la administración de la seguridad informática. BPO. Business Process Owner. Bypass Telefónico. Mecanismo de Fraude en el servicio de Telefonía fija. BOSS. Business and operation support systems. CEO Chief executive Officer CFCA. Communications Fraud Control Association. CARRIER. Empresa de transmisión de datos. CISO. Chief Information Security Officer. CNT E.P. Corporación Nacional de Telecomunicaciones - Empresa Pública. CONATEL. Consejo Nacional de Telecomunicaciones. CTO. Chief Technology Officer. Es un representante Técnico del negocio, que agrupa tanto la GNT y la GNTI. DECODIFICADOR DE TV. Dispositivo que decodifica señales de Televisión. DVB. Digital Video Broadcasting. ERM. Enterprise Risk Management. eTOM . Enhanced Telecom Operations Map. GNT. Gerencia Nacional Técnica. GNTI. Gerencia Nacional de Tecnologías de la Información. HD. High definition. HISPASAT Y AMAZONAS. Operadores Satelitales de Televisión. IEC. International Electrotechnical Commission. IKS Privado. Interactive Knowledge Stack. Mecanismo de autenticación por suscripción, que es usado para realizar fraude en servicios de televisión. ISM. Information Security Manager. ISM3. Information Security Management Maturity Model. ISO. Organization for Standarization. ISSC. Information Security Steering Committee. IT Assurance Framework. Marco para el diseño, la ejecución y reporte de auditorías de TI y de tareas de evaluación de cumplimiento. International Telecomunication Union. ITAF. ITU. NAGRA3. También conocido como Nagra-visión 3, es un proyecto de encripción de señales de Televisión. NGOSS. New Generation Operations Systems and Software. PDCA. Plan-do-check-act (Ciclo de Deaming de Mejora Continua). 153 Soluciones que incluyen hardware y software, que permiten Plataformas de Mediación y interactividad entre el área de Atención el Cliente con equipos Aprovisionamiento. terminales. Risk IT. Marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI. SID. Information Framework. SIP. Session Initiation Protocol, Protocolo de telefonía sobre IP. SIP Trunking. Troncal de telefonía IP con el protocolo SIP. SUPERTEL. Superintendencia de Telecomunicaciones. TAM. Application Framework. TELCO. TI. Telecom Operator. Operador u operadora de Telecomunicaciones. Es una estación terrestre de comunicaciones para la retransmisión de distintos servicios de televisión, voz y datos vía satélite. Tecnologías de la Información. TM Forum. TeleManagement Forum. Val IT Marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI. VP Vicepresidencia o Vicepresidente. TELEPUERTO. Tabla 6-1 Glosario de términos y definiciones. [14] 154 ANEXOS 155 ANEXO A. [14] ENCUESTAS Se realizaron utilizando el servicio de encuestas en línea WuFoo, permite diseñar, enviar, contestar el mismo que y consolidar los datos de las encuestas realizadas. La encuesta fue aplicada a 7 profesionales entre Gerentes y Especialistas, que trabajan en áreas directamente relacionadas con la GSI y la Seguridad Informática en empresas TELCO del país, sea dentro de las TELCO o como consultores externos. DISEÑO DE ENCUESTA La encuesta tiene 9 preguntas, 7 son preguntas cerradas de selección simple o múltiple y 2 preguntas de texto abierto. La encuesta está publicada en el siguiente link: http://gengiscan.com/encuesta.html En el siguiente link http://wufoo.com, con las credenciales: · · Usuario: [email protected] Clave: spiliwicop Se puede acceder a visualizar las encuestas, reportes y las respuestas individuales de los encuestados. RESULTADOS Al ser 7 los profesionales encuestados, se considera más objetivo poner números en los gráficos y no porcentajes. 1. Cuantas personas integran la unidad funcional de GSI en la TELCO en que usted trabaja? 156 2 Ninguna 1-4 personas 5-9 personas 5 2. ¿Con qué frecuencia la Alta Gerencia, Comité de Seguridad, Riesgo o Tecnología se reúnen para discutir las necesidades de la Seguridad de la Información y objetivos del negocio? 0 0 Mensualmente o menos 1 Trimestralmente Semestralmente 6 Anualmente 3. Seleccione los roles que existen en su Organización para la Gestión de la Seguridad de la Información. CISO (Chief Information Security) 1 4 7 CTO (Chief Technology Officer) ISM (Information Security Management) IT Manager 2 4. En qué aspectos se han tenido incidentes de no cumplimiento en la TELCO que usted trabaja? 157 Normativas de la SUPERTEL 2 4 Acuerdos de Nivel de Servicio 3 Contratos de Intercambio de Tráfico 5 3 Licencias de Plataformas de Servicios 3 Licencias de Software 7 2 Acuerdos internos con empleados 5. Seleccione los tipos de fraude que con mayor o menor frecuencia ocurren en la TELCO que usted trabaja. ByPass Telefónico 1 3 Robo de Señal de Servicios 3 Refilling 2 4 1 1 3 Fraude en teléfonos públicos Clonación de Cable Modem Hacking a PBX Corporativo 6. Según su criterio, la TELCO en la que usted trabaja que nivel tiene en cuanto a Gestión de Seguridad de la Información. 158 00 0 La GSI está formalmente establecida y mejora continuamente 1 0 2 La GSI es responsabilidad del IT Manager 4 7. Seleccione las áreas funcionales de la TELCO donde se han identificado la mayoría de incidentes de Seguridad de la Información. 000 11 Facturación 7 6 2 Atención al Cliente 4 5 3 2 1 3 6 2 4 3 2 1 Mantenimiento de Plataformas Tecnológicas de Servicios Aseguramiento de Ingresos 0 0 8. Explique la modalidad de Fraude que ha tenido mayor impacto en la TELCO que usted trabaja? Ing. Byron Mariño. Clonación de dispositivos Terminales, usando la misma red de la TELCO, se clonaba solamente las direcciones MAC y por tener un sistema de autenticación básico que controla solo las direcciones físicas de los dispositivos, el equipo 159 terminal "pirata" ganaba acceso a Internet. Este modo de fraude se perpetro por cerca de 5 años hasta que se implementó un sistema de autenticación por certificado. Empresa Satnet (Parte del Grupo TVCABLE). Ing. René González. Desconozco. Msc. José Velasque. Voy a comentar sobre un fraude interno en la organización que generó problemas por muchos años, la unidad de instalación de servicios tenían un inventario muy básico, de tal forma que en un momento determinado se perdía el seguimiento de todos los dispositivos y los materiales que se requerían para realizar las instalaciones de servicios, luego de varios años al implementar un sistema de OSS (Operation Support System) se pudo controlar e identificar la cuantiosa pérdida de todos los años anteriores por la falta de un inventario formal de dispositivos. Ing. Edison Alomoto Desconozco en detalle. Ing. Fernando Naranjo. Por muchos años en el Ecuador, se permitió la importación de decodificadores de Televisión, los cuales con actualizaciones de firmware fraudulentas podían codificar 300 canales Internacionales, sin que legalmente se pueda frenar esta modalidad de fraude, durante estos años, todos los operadores de TV por cable sufrieron grandes pérdidas. Fue en Noviembre del 2013, que se estableció una prohibición de importación de estos equipos y sanciones legales para los usuarios. 160 Msc. Nancy Cruz. Personal de bodega con ciertos conocimientos técnicos en complicidad de otras personas, sacaban dispositivos dados de baja de la empresa y los vendían en el mercado negro. Ing. Roberto Rodríguez. Hace algunos años cuando se vendían tarjetas de recargas de minutos para móviles, los códigos de recarga se generaban en función de un algoritmo el cual fue filtrado, a tal punto que cuando los usuarios ingresaban el código de la tarjeta, el sistema respondía que la tarjeta ya fue utilizada; esto frustró a muchos clientes, en principio los clientes llamaban a atención al cliente y se les deba otro código de tarjeta, pero muchos usuarios hacían de esta una práctica común para conseguir saldo; finalmente se terminó buscando otros medios para vender recargas. Adicional a esto hay que considerar que los usuarios no tenían amparo legal del gobierno, ya que no la SUPERTEL en ese entonces no receptaba quejas de los usuarios para hacer prevalecer los derechos los usuarios. 9. Explique cuál ha sido el mayor incidente que ha afectado de forma crítica a la disponibilidad del servicio que se presta a los clientes, y cuales han sido las causas relacionadas. Ing. Byron Mariño. Por la falta de gestión de disponibilidad de los routers críticos para la organización, el Router de BGP principal de Quitó tubo un daño físico, dando como resultado de esto, la pérdida del servicio de Internet a todos los clientes de la región Sierra, el incidente duró 3 días sin servicio de Internet y por ende pérdida de cientos de clientes que se cambiaron de proveedor, las respectivas quejas en la SUPERTEL y sanciones correspondientes, al cuarto día se puso en producción un router con una capacidad limitada y se restableció el servicio pero con una calidad mínima, tuvieron que pasar 17 días para que el equipo nuevo de reemplazo se instale y entonces se recupere la calidad del servicio al 100 % Ing. René Gonzalez. 161 Denegación de Servicio por ataques a los servidores de DNS, con afectación a clientes de Internet. Msc. José Velasque. El anillo de fibra óptica central del grupo TvCable de Quito, se compone de nodos Lucent, cada nodo tiene tarjetas de 64 GB de RAM, por donde pasan los circuitos de clientes, se contrató para hacer un upgrade de estas 12 tarjetas del anillo a 128 GB, luego de hacer el upgrade con el procedimiento indicado por el proveedor, aproximadamente el 60 % de la capacidad de la red dejó de funcionar, según el proveedor, las tarjetas instaladas tenían un control de calidad y garantizaron su funcionamiento y atribuyeron el fallo al grupo TVCable, específicamente a temas de configuración; pero no fue sino luego de 36 horas que se volvieron a poner las tarjetas antiguas y todo volvió a la normalidad. El razonamiento de esto es que como TELCO, se debe tener las políticas de gestión de cambios propias, las mismas que deben estar sobre cualquier otra política de los proveedores de plataformas. Ing. Edison Alomoto. El cluster de base de datos de clientes falló de forma inesperada por un problema de redimensionamiento automático de la base de datos, esto afectó la mediación y aprovisionamiento de servicios, Customer Care, facturación y varios servicios internos a nivel nacional; el fallo se mantuvo por aproximadamente tres días; la raíz del problema fue no disponer de espacio de almacenamiento en la SAN para la base de datos, no se pudo solventar rápidamente ya que no se disponía de personal capacitado ni un contrato de soporte, para los equipos de plataforma SUN. Ing. Fernando Naranjo. No poseo Información al respecto. Msc. Nancy Cruz. 162 El área técnica, específicamente el ISP ( Internet Service Provider), contaba con un enlace de 100 mbps con Transnexa, por medio del cual se daba internet a todos los clientes, pero no se disponía de un enlace de bakcup con otro proveedor Internacional de Internet, cuando el circuito en cuestión falló por un corte de fibra óptica, tuvieron que pasar 2 días para restablecer el servicio a los clientes. Ing. Roberto Rodríguez. Luego de una fusión entre empresas TELCO del país, al tener dos equipos de Tecnología de Información, había cargos que no se necesitaban y se realizó reducción de personal, personalmente creo que en estos casos hay que tomar muchas medidas para evitar que personal con resentimiento pretenda causar daños a la organización. Este no fue el caso, lo que dio pie a que una persona que fue separada del equipo tomara represalias de mala fe en contra de la organización, el tema se agudizó cuando no habían personas capacitadas para solventar el problema rápidamente, ya que sistemáticamente comenzaron a ocurrir errores de cálculo, servicios que se reiniciaban, certificados que se borraban, eliminación de librerías de módulos, fallos en el sistema de autenticación, bases de datos eliminadas; fue cerca de un mes críticos, hasta que se pudo cerrar todos los accesos y asegurar los sistemas. Este incidente es el que más problemas ha causado en la historia de la organización. 163 ANEXO B. [14] CÓDIGO NOMBRE PROCESO 1A MARKETING & OFFER MANAGEMENT 1Aa MARKET STRATEGY AND POLICY 1Ab PRODUCT & OFFER CAPABILITY DELIVERY 1Ac PRODUCT & OFFER DEVELOPMENT & RETIREMENT 1B SERVICE DEVELOPMENT & MANAGEMENT 1Ba SERVICE STRATEGY & PLANNING PROCESOS NIVEL 3 DESCRIPCIÓN - - GATHER & ANALYZE MARKET INFORMATION ESTABLISH MARKET SEGMENTS GAIN COMMITMENT TO MARKETING ESTRATEGY ESTABLISH MARKET STRATEGY LINK MARKET SEGMENTS & PRODUCTS DEFINE PRODUCT CAPABILITY REQUERIMENTS APPROVE PRODUCT BUSINESS CASE DELIVERY PRODUCT CAPABILITY MANAGE PRODUCT CAPABILITY DELIVERY OPERATIONS CAPTURE PRODUCTS CAPABILITY SHORTFALLS MANAGE HANDOVER TO PRODUCT OPERATIONS GATHER & ANALYZE NEW PRODUCT IDEAS DEVELOP NEW PRODUCT BUSINESS PROPOSAL DEVELOP DETAILED PRODUCT SPECIFICATIONS LAUNCH NEW PRODUCTS ASSESS PERFORMANCE OF EXISTING PRODUCTS DEVELOP PRODUCT COMMERCIALIZATION STRATEGY MANAGE PRODUCT DEVELOPMENT MANAGE PRODUCT EXIT DESARROLLA UNA ESTRATEGIA EMPRESARIAL PARA LOGRAR ABARCAR EL MERCADO OBJETIVO, SE ANALIZA Y SEGMENTA EL MERCADO PARA DETERMINAR EL MERCADO, SE DESARROLLAN LAS ESTRATÉGIAS DE MARKETING PARA CADA SEGMENTO DE MERCADO Y CLIENTES, SE DEFINE LOS MERCADOS Y LAS ESTRATÉGIAS QUE SERÁN LLEVADAS A CABO PARA CUMPLIR EL OBJETIVO DEL NEGOCIO. GESTIÓN DE LA ENTREGA Y CONSTRUCCIÓN DE UN PRODUCTO NUEVO O REDISEÑADO, INCLUYE EL MANEJO DE LA INFRAESTRUCTURA QUE SE REQUIERE PARA IMPLEMENTAR EL PRODUCTO, ESPECIALMENTE CUANDO LA TECNOLOGÍA QUE SE USARÁ ES SIGNIFICATIVAMENTE DIFERENTE A LA TECNOLOGÍA QUE SE USA ACTUALMENTE, POR EJEMPLO PARA EL CASO DEL ECUADOR, UN PROYECTO DE IMPLEMENTACIÓN TE TECNOLOGÍA LTE(LONG TERM EVOLUTION) PARA NAVEGACIÓN DE DISPOSITIVOS A ALTAS VELOCIDADES, CONOCIDA TAMBIÉN COMO 4G. - - SE DESARROLLA Y ENTREGA NUEVOS PRODUCTOS O SERVICIOS, SE ENCARGA DE GENERAR MEJORAS Y NUEVAS FUNCIONALIDADES LISTAS PARA SU IMPLEMENTACIÓN POR LOS PROCESOS DE OPERACIÓN. ADICIONALMENTE GESTIONA EL PROCESO DE SALIDA DEL MERCADO DE LOS PRODUCTOS, UNA DE LAS MEDIDAS CLAVES DE ESTE PROCESO ES EL TIEMPO QUE SE PUEDE MANTENER EN EL MERCADO A UN PRODUCTO O SERVICIO ANTES QUE DEBA SER RETIRADO. EL TENER UNA ESTRATEGIADEL SERVICIO Y UN PROCESO DE PLANEACIÓN LLEVAN AL GATHER & ANALYZE DESARROLLO DE UNA ESTRATÉGIA DE SERVICE INFORMATION NEGOCIO A VARIOS AÑOS, UNA MANAGE SERVICE INVESTIGACIÓN Y ANÁLISIS ES LLEVADA A RESEARCH CABO PARA DETERMINAR LOS OBJETIVOS EN ESTABLISH SERVICE LOS SERVICIOS Y LAS ESTRATÉGIAS PARA STRATEGY & GOALS ALCANZAR LOS MISMOS, ESTA DEFINE SERVICE SUPPORT INVESTIGACIÓN PUEDE SER OBTENIDA DESDE UN MERCADO EXTERNO, UN DESARROLLO STRATEGIES INTERNO O A TRAVÉZ DE PROGRAMAS DE PRODUCE SERVICE INVESTIGACIÓN, UNA ENTRADA CLAVE PARA BUSINESS PLANS LA ESTRATÉGIA DEL SERVICIO SURGE DEL DEVELOP SERVICE MARKETING EMPRESARIAL REALIZADO Y DE PARTNERSHIP LA ESTRATÉGIA DE PRONÓSTICOS EN EL REQUIREMENTS GAIN ENTERPRISE PORTAFOLIO DE PRODUCTOS. SE DA UN COMMINTMENT TO SERVICE ENFOQUE EN LA EXPANCIÓN DE LAS STRATEGIES CAPACIDADES DE LOS SERVICIOS Y LA IDENTIFICACIÓN DE NUEVAS CAPACIDADES REQUERIDAS POR LOS SERVICIOS. 164 CÓDIGO 1Bb 1Bc 1Ca NOMBRE PROCESO PROCESOS NIVEL 3 DESCRIPCIÓN SERVICE CAPABILITY DELIVERY MAP & ANALYZE SERVICE REQUIREMENTS GAIN SERVICE CAPABILITY INVESTMET APPROVAL ENABLE SERVICE SUPPORT & OPERATION MANAGE HANDOVER TO SERVICE AND OPERATIONS CAPTURE SERVICE CAPABILITY SHORTFALLS DESIGN SERVICE CAPABILITIES MANAGE SERVICE CAPABILITY DELIVERY SERVICE DEVELOPMENT & RETIREMENT GATHER & ANALYZE NEW SERVICE IDEAS ACCESS PERFORMANCE OF EXISTING SERVICES DEVELOP NEW SERVICE BUSINESS PROPOSAL DEVELOP DETAILED SERVICE SPECIFICATIIONS MANGE SERVICE DEVELOPMENT MANAGE SERVICE FAX ESTE PROCESO PLANEA Y ENTREGA TODA LA CAPACIDAD REQUERIDA PARA ENTREGAR LOS CAMBIOS AL SERVICIO QUE LO NECESITE, ESTO IMPLICA INTEGRACIÓN DE CAPACIDAD ENTREGADA DESDE DENTRO DE LA EMPRESA, Y CAPACIDAD ENTREGADA DESDE UN PROVEEDOR O PARTNER. EL SERVICIO DEMANDA PRONÓSTICOS Y CAPTURAR LAS NUEVAS OPORTUNIDADES, SON ESENCIALES PARA ASEGURAR QUE LA EMPRESA PUEDA IMPLEMENTAR LOS SERVICIOS NECESARIOS POR FUTURAS NECESIDADES DE SUS CLIENTES ESPECIALMENTE AQUELLOS DE MAYOR POTENCIAL. SE ORIENTA A DESARROLLAR Y ENTREGAR NUEVOS SERVICIOS O TIPOS DE MEJORAS, ESTOS PROCESOS INLCUYEN PROCESOS Y PROCEDIMIENTOS DE IMPLEMENTACIÓN DE CAMBIOS EN SISTEMAS Y DOCUMENTACIÓNDE DE CLIENTES. TAMBIÉN SE LLEVA A CABO DESPLIEGUE Y PRUEBAS DEL TIPO DE SERVICIO, GESTIÓN DE LA CAPACIDAD Y COSTOS DE CADA TIPO DE SERVICIO, ASEGURANDO LA CAPACIDAD DE LA EMPRESA DE ENTREGAR TIPOS DE SERVICIO DE ACUERDO A LOS REQUERIMIENTOS. DESARROLLO DE ESTRATÉGIAS DE RECURSOS, POLÍTICAS Y PLANES A LARGO PLAZO PARA EL NEGOCIO, TOMAR EN CUENTA EL MERCADO LOS PRODUCTOS Y SERVICIOS EN FUNCIÓN DE LA DIRECCIÓN QUE VAYA A TOMAR LA EMPRESA. ESTOS PROCESOS COMPRENDE LA CAPACIDAD DE LA INFRAESTRUCTURA ACTUAL DE LA EMPRESA, IDENTIFICAN REQUERIMIENTOS DE INFRAESTRUCTURA EN FUNCIÓN DE LAS ESTRATEGIAS DE MERCADO DE LOS PRODUCTOS Y SERVICIOS. SE GESTIONA LA CAPACIDAD DE PROVEEDORES Y PARTNERS PARA DESARROLLAR Y ENTREGAR NUEVOS RECUROS Y SE DEFINE EL CAMINO DE NUEVA O MEJOR INFRAESTRUCTURA QUE PUEDE SER DESARROLLADA. SE REALIZA INVESTIGACIÓN Y ANÁLISIS PARA DETERMINAR LOS RECURSOS PRINCIPALES LOS CUALES ESTARÁN CONTEMPLADOS DENTRO DE LAS ESTRATÉGIAS. ESTA INVESTIGACIÓN PUEDE SER OBTENIDA DESDE EL MERCADO EXTERNO U OBTENIDA DE INFORMACIÓN DE PARTNERS, INCLUSO DESARROLLADA INTERNAMENTE. UNA ENTRADA IMPORTANTE PARA ESTE PROCESO BIENE DEL MERCADO Y ES EL PRONÓSTICO Y LA ESTRATÉGIA DEL PORTAFOLIO DE PRODUCTOS Y SERVICIOS. EL ENFOQUE ESTÁ EN INCREMENTAR LAS CAPACIDADES DE LOS RECURSOS Y LA IDENTIFICACIÓN DE INCREMENTOS NECESARIOS EN LOS MISMOS. RESOURCE STRATEGY & PLANNING GATHER ANALYZE RESOURCE INFORMATION ESTABLISH RESOURCE STRATEGY & ARCHITECTURE PRODUCE RESOURCES BUSUNESS PLANS GAIN ENTERPRISE COMMITMENT TO RESOURCE PLANS MANAGE RESOURCES RESEARCH DEFINE RESOURCE SUPPORT STRATEGIES DEVELOP RESOURCE PARTNERSHIP REQUIREMENTS 165 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 DESCRIPCIÓN SE BASA EN LA DEFINICIÓN DE REQUERIMIENTOS Y CAPACIDADES DE LOS RECURSOS PARA EL DESARROLLO DE NUEVAS Y/O MEJORES TECNOLOGÍAS. 1Cb RESOURCE CAPABILITY DELIVERY 1Cc RESOURCE DEVELOPMENT & RETIREMENT 1Da SUPPLY CHAIN STRATEGY & PLANNING EL OBJETIVO DE ESTE PROCESO ES ASEGURARAR QUE LA RED, APLICACIONES Y MAP & ANALYZE RESOURCE RECURSOS DE TI SEAN DESPLEGADOS, DE ACUERDO A LOS PLANES ESTABLECIDOS, SE REQUIREMENTS ENCARGA DE ENTREGAR LOS RECURSOS GAIN RESOURCE FÍSICOS Y LAS CAPACIDADES NECESARIAS CAPABILITY INVESTMENT PARA LAS OPERACIONES Y ASEGURAN EN APPROVAL CUANTO A CAPACIDAD LAS BASES EN LAS QUE ENABLE RESOURCE LOS RECURSOS Y LOS SERVICIOS SUPPORT & OPERATIONS SERÁN IMPLEMENTADOS. ESTE PROCESO MANAGE HANDOVER TO TIENE LAS SIGUIENTES RESPONSBILIDADES RESOURCE OPERATIONS PERO NO ESTA LIMITADA SOLAMENTE A: CAPTURE RESOURCE CAPABILITY SHORTFALLS PLANEACIÓN DE RECURSOS PARA LOGISTICA DESIGN RESOURCE PLANEACIÓN DE RECURSOS DE CAPABILITIES MANAGE RESOURCES INSTALACIONES CONTRATACIÓN Y DIRECCIÓN DE RECURSOS CAPABILITY DELIVERY DE CONSTRUCCIÓN DONDE SE REQUIERA VERIFICACIÓN DE LA INSTALACIÓN DE RECURSOS ASIGNADOS TRASPASO DE CAPACIDAD DE RECURSOS A TRAVÉS DE LA INTERACCIÓN CON LA GESTIÓN DE CONFIGURACIÓN DE CLASE DE RECURSOS. CONSISTE EN EL DESARROLLO O MEJORA DE LA TECNOLOGÍA EXISTENTE ASOCIADA A CUALQUIER TIPO DE RECURSO, PARA QUE NUEVOS SERVICIOS SEAN DESARROLLADOS. POR TANTO LOS GATHER & ANALYZE NEW PRODUCTOS NUEVOS ESTAN DISPONIBLES RESOURCE IDEAS PARA SER VENDIDOS A CLIENTES. SE DEFINEN ASSESS PERFORMANCE OF LOS REQUERIMIENTOS Y LA CAPACIDADES EXISTING RESOURCES DENTRO DE LA ESTRATÉGIA DE RECURSOS Y DEVELOP NEW RESOURCE LA PLANEACIÓN, TAMBIÉN SE DEFINE EN ESTE BUSINESS PROPOSAL PROCESO SI SE ADQUIERE O NO RECURSOS DEVELOP DETAILED EXTERNOS, TOMANDO EN CUENTA LAS RESOURCE BUSINESS POLÍTICAS ESTABLECIDAS AL RESPECTO EN PROPOSAL LA ORGANIZACIÓN. DEVELOP DETAILED RESOURCE LOS RECURSOS PUEDEN SER CONSTRUIDOS SPECIFICATIONS O ARRENDADOS A PROVEEDORES PARA MANAGE RESOURCES ASEGURAR LA MAYOR EFICIENCIA Y DEVELOPMENT EFECTIVIDAD DE LA SOLUCIÓN QUE SEA MANAGE RESOURCE UTILIZADA, TAMBIÉN SE REALIZAN LAS DEPLOYMENT NEGOCIOACIONES CON LOS ACUERDOS DE MANAGE RESOURCE EXIT NIVEL DE SERVICIO CON OTROS PROVEEDORES O PARTNERS, IMPORTANTE DESTACAR QUE EL CUMPLIMIENDO DE LOS ACUERDOS DE NIVEL DE SERVICIO DETERMINA SI LOS RECURSOS SON CONSTRUIDOS O ARRENADADOS. GATHER & ANALYZE SE DESARROLLAN LAS ESTRATEGIAS Y SUPPLY CHAIN POLÍTICAS DE LA CADENA DE SUMINISTRO DE INFORMATION LA EMPRESA. INCLUYE LAS POLÍTICAS PARA ESTABLISH SUPPLY CHAIN PROVEEDORES Y ASOCIADOS POR EJEMPLO STRATEGY & GOALS LA EMPRESA DECIDE QUE HARÁ DEFINE SUPPLY CHAIN OUTSOURCING PARA CONSTRUIR TODA UNA SUPPORT STRATEGIES RED MÓVIL, TANTO EL PROCESO FUNCIONAL PRODUCE SUPPLY CHAIN COMO LA INFRAESTRUCTURA Y LA GESTIÓN BUSINESS PLANS DEL PROCESO DEL CICLO DE VIDA DEL GAIN ENTERPRISE PRODUCTO SON MANEJADAS POR LA COMMITMENT TO SUPPLY ESTRATÉGIA DE LA CADENA DE SUMINISTRO Y CHAIN PLANS SUS POLÍTICAS. 166 CÓDIGO 1Db 1Dc 2Aa(1) 2Aa(2) NOMBRE PROCESO SUPPLY CHAIN CAPABILITY DELIVERY PROCESOS NIVEL 3 DETERMINE THE SOURCING REQUIREMENTS MANAGE THE TENDER PROCESS GAIN TENDER DECISION APPROVAL NEGOTIATE COMMERCIAL ARRANGEMENTS DETERMINE POTENTIAL SUPPLIERS/PARTNERS GAIN APPROVAL FOR COMMERCIAL ARRANGEMENTS DESCRIPCIÓN GESTIÓN DE EVALUACIÓN DE NUEVOS PROVEEDORES Y ASOCIADOS PARA DETERMINAR LOS MEJORES PRODUCTOS DE ACUERDO A LAS NECESIDADES DE LA EMPRESA. ESTOS PROCESOS TAMBIÉN INICIAN Y TERMINAN ACUERDOS DE NEGOCIOS CON LA CADENA DE ABASTECIMIENTO, DE TAL FORMA QUE PERMITA ENTREGAR LAS CAPACIDADES TÉCNICAS Y DE NEGOCIO REQUERIDAS POR LA EMPRESA. POR EJEMPLO LA EMPRESA PUEDE CONTRATAR UN PROVEEDOR DE REDES MOVILES DE TERCERA GENERACIÓN Y ENLAZAR LOS SISTEMAS DE INFORMACIÓN DEL PROVEEDOR DE LA RED Y LOS SISTEMAS PROPIOS DE LA EMPRESA, CON ESTO QUEDA ABIERTA LA POSIBILIDA DE DESARROLLAR NUEVAS FUNCIONALIDADES REQUERIDAS. SUPPLY CHAIN DEVELOPMENT & CHANGE MANAGEMENT MANAGE SUPPLIER/PARTNER ENGAGEMENT MANAGE SUPPLY CHAIN CONTRACT VARIATION MANAGE SUPPLIER/PARTNER TERMINATION DA SOPORTE AL DESARROLLDO DE LA CADENA DE ABASTECIMIENTO, PARA MANTENER EL "SERVICE CATALOGUE" PARA HACER AGREGACIONES O MODIFICACIONES AL MISMO. NUEVOS PROVEEDORES PUEDEN SER REQUERIDOS PARA AMPLIAR LOS SERVICIOS QUE SE OFRECEN A LOS CLIENTES, ASI POR EJEMPLO SI SE REQUIERE OFRECER A LOS CLIENTES PORTABILIDAD NUMÉRICA EN LAS REDES DE TERCERA GENERACIÓN LOS PROCESOS DE "SUPPLY CHAIN DEVELOPMENT" Y "CHANGE MANAGEMENT" GESTIONARÁN ESTE PROCESO MODIFICANDO O CREANDO UN PROCESO Y/O APLICACIONES DE TI PARA CUMPLIR EL REQUERIMIENTO. CRM - SUPPORT & READINESS SUPPORT CUSTOMER INTERFACE MANGEMENT SUPPORT ORDER HANDLING SUPPORT PROBLEM HANDLING SUPPORT RETENTION & LOYALTY SUPPORT MARKETING FULFILLMENT SUPPORT SELLING SUPPORT CUSTOMER QOS / SLA MANAGE CAMPAIGN MANAGE CUSTOMER INVENTORY MANAGE PRODUCT OFFERING INVENTORY MANAGE SALES INVENTORY SUPPORT BILL INVOICE MANAGEMENT SUPPOR BILL PAYMENTS & RECEIVABLES MANAGEMENT SUPPORT BILL INQUIRY HANDLING INCLUYE TODOS LOS PROCESOS INMERSOS EN LA RELACIÓN CON EL CLIENTE Y GARANTIZA QUE EL PROCESO DE FACTURACIÓN SE EJECUTE DE FORMA EFICAZ. ESTE PROCESO INLCUYE PERO NOS SE LIMITA A: PROCESO DE VENTAS, OFERTA DE PRODUCTOS, POLÍTICAS PARA INTERACCIÓN CON CLIENTES. INFRAESTRUCTURA PARA PRODUCTOS Y CLIENTES POLÍTICAS DE SOPORTE E INTERACCIÓN CON CLIENTES, INCLUYE LA INTERACCIÓN CON CLIENTES EN EL PROCESO DE FACTURACIÓN. ANÁLISIS Y GESTIÓN DE CAMPAÑAS DE VENTAS ANÁLISIS Y GESTIÓN DE OPORTUNIDADES DE VENTAS Y SUS ACTIVIDADES, INCLUYENDO LA SELECCIÓN DE CLIENTES POTENCIALES. MANTENER INVENTARIOS DE SOPORTE Y VENTAS. CUSTOMER INTERFACE MANAGEMENT MANAGE CONTACT MANAGE REQUEST (INCLUDING SELFT SERVICE) ANALYZE & REPORT ON CUSTOMER MEDIATE & ORCHESTRATE CUSTOMER INTERACTIONS GESTIONA TODOS LOS INTERFACES ENTRE LA TELCO Y SUS CLIENTES O POTENCIALES CLIENTES. ESTE PROCESO SE ENCARGA DE DEFINIR LOS PROTOCOLOS, LAS RAZONES, EXEPCIONES Y OBJETIVOS PARA CONTACTAR A LOS CLIENTES O POSIBLES CLIENTES, ASÍ COMO EL ANÁLISIS DE RESULTADOS Y REPORTES DE RESULTADOS. 167 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 DESCRIPCIÓN GESTIONA TODOS LOS INCIDENTES O PROBLEMAS DE FACTURACIÓN CON LOS CLIENTE DE LA TELCO. 2Ab(1) 2Ab(2) 2Ab(3) 2Ac(1) 2Ac(2) MARKETING FULFILLMENT RESPONSE ISSUE & DISTRIBUTE MARKETING COLLATERALS TRACK LEADS REALIZA LA EDICIÓN Y DISTRIBCIÓN DE MATERIAL DE MARKETING A LOS CLIENTES, SU SEGUIMIENTO Y ANÁLSIS DE RESULTADOS OBTENIDOS. SELLING MANAGE PROSPECTS QUALIFY OPPORTUNITY NEGOTIATE SALES / CONTRACTS ACQUIRE CUSTOMER DATA CROSS / UP SELLING DEVELOP SALES PROPOSAL MANAGE SALES ACCOUNTS RESPONSABLE DE GENERAR LOS PRONÓSTICOS DE VENTAS EN EL TIEMPO, CLASIFICA LOS USUARIOS DE ACUERDO A CRITERIOS DEL NEGOCIO, SE INFLUYE EN EL CLIENTE PARA EXACERVAR SU NECESIDAD Y HACERLA COINCIDIR CON LAS CARACTERISTICAS DE LOS PRODUCTOS Y SERVICIOS QUE SE OFRECEN, ESTE PROCESO TAMBIÉN RECIBE Y EVALÚA LAS RECOMENDACIONES DE LOS CLIENTES. ORDER HANDLING DETERMINE CUSTOMER ORDER FEASIBILITY AUTHORIZE CREDIT TRACK & MANAGE CUSTOMER ORDER HANDLING COMPLETE CUSTOMER ORDER ISSUE CUSTOMER ORDERS REPORT CUSTOMER ORDER HANDLING CLOSE CUSTOMER ORDER ISOLATE CUSTOMER PROBLEM REPORT CUSTOMER PROBLEM TRACK & MANAGE PROBLEM HANDLING CUSTOMER PROBLEM CLOSE CUSTOMER PROBLEM REPORT CREATE CUSTOMER PROBLEM REPORT ASSESS CUSTOMER QOS/SLA PERFORMANCE MANAGE QOS/SLA VIOLATION TRACK & MANAGE CUSTOMER QOS PERFORMANCE CUSTOMER RESOLUTION QOS/SLA CLOSE CUSTOMER QOS MANAGEMEN PERFORMANCE DEGRADATION REPORT CREATE CUSTOMER QOS PERFORMANCE DEGRADATION REPORT . REPORT CUSTOMER QOS PERFORMANCE ES REPONSABLE DE ACEPTAR ORDENES Y DIRECCIONARLAS, AUTORIZACIONES DE CRÉDITO, SEGUIMIENTO Y NOTIFICACIONES, LA GESTIÓN DE ORDENES INCLUYE PERO NO SE LIMITA A: GESTIÓN DE NUEVAS ORDENES DE CLIENTES, MODIFICACIONES Y CANCELACIONES DE ORDENES. DEFINIR FACTIBILIDAD A REQUERIMIENTOS NO ESTÁNDARES SOLICITADOS POR CLIENTES. REVISIÓN DE SOLVENCIA DE CLIENTES COMO PARTE DEL PROCESO DE ORDENES. ACTUALIZACIÓN DE BASE DE DATOS DE CLIENTES PARA SERVICIOS ASIGANADOS, MODIFICADOS O CANCELADOS. ASIGNACIÓN Y TRACKING A PROVISIONAMIENTO DE SERVICIOS. SON RESPONSABLES DE LA GESTIÓN DE LOS PROBLEMAS REPORTADOS POR LOS CLIENTES Y ASOCIADOS CON LA OFERTA DE PRODUCTOS COMPRADOS. EL OBJETIVO DE ESTOS PROCESOS ES RECIBIR INFORMES DE CLIENTES, RESOLVERLAS CON LA SATISFACCIÓN DEL CLIENTE Y LA DISPONIBILIDAD DE ESTADO SIGNIFICATIVO EN LA REPARACIÓN Y / O ACTIVIDAD DE RECUPERACIÓN PARA EL CLIENTE ABARCAN EL SEGUIMIENTO, GESTIÓN Y NOTIFICACIÓN DE ENTREGA CONTRACTUAL VS CALIDAD DE SERVICIO (QOS), COMO SE DEFINE EN DESCRIPCIONES DE SERVICIO DE LA EMPRESA, LOS CONTRATOS DE LOS CLIENTES O EN EL CATÁLOGO DE OFERTAS DE PRODUCTOS. TAMBIÉN ESTÁN PREOCUPADOS CON EL RENDIMIENTO DE LA EMPRESA Y SUS PRODUCTOS EN RELACIÓN CON SUS ACUERDOS DE NIVEL DE SERVICIO (SLA) PARA INSTANCIAS ESPECÍFICAS DEL PRODUCTO Y OTROS DOCUMENTOS RELACIONADOS CON EL SERVICIO. 168 CÓDIGO 2Ac(3) 2Ad(1) 2Ad(2) 2Ad(3) 2Ad(4) 2Ba 2Bb NOMBRE PROCESO RETENTION & LOYALTY BILL INVOICE MANAGEMENT CHARGING MANAGE BILLING EVENTS MANAGE BALANCES SM&O SUPPORT READINESS SERVICE CONFIGURATION & ACTIVATION PROCESOS NIVEL 3 "ESTABLISH & TERMINATE CUSTOMER RELATIONSHIP BUILD CUSTOMER INSIGHT ANALYZE & MANAGE CUSTOMER RISK PERSONALIZE CUSTOMER PROFILE FOR RETENTION & LOYALTY VALIDATE CUSTOMER SATISFACTION" APPLY PRICING, DISCOUNTING, ADJUSTMENTS & REBATES CREATE CUSTOMER BILL INVOICE PRODUCE & DISTRIBUTE BILL PERFORM RATING APPLY RATE LEVEL DISCOUNTS AGGREGATE ITEMS FOR CHARGING MANAGE CUSTOMER CHARGING HIERARCHY ENRICH BILLING EVENTS GUIDE BILLING EVENTS MEDIATE BILLING EVENTS REPORT BILLING EVENT RECORDS MANAGE BALANCE POLICIES MANAGE BALANCE OPERATIONS MANAGE BALANCE CONTAINERS AUTHORIZE TRANSACTION BASED ON BALANCE MANAGE SERVICE INVENTORY ENABLE SERVICE CONFIGURATION & ACTIVATION SUPPORT SERVICE PROBLEM MANAGEMENT ENABLE SERVICE QUALITY MANAGEMENT SUPPORT SERVICE & SPECIFIC INSTANCE RATING DESIGN SOLUTION ALLOCATE SPECIFIC SERVICE PARAMETERS TO SERVICES TRACK & MANAGE SERVICE PROVISIONING IMPLEMENT CONFIGURE & ACTIVATE SERVICE TEST SERVICE END TO END ISSUE SERVICE ORDERS REPORT SERVICE PROVISIONING DESCRIPCIÓN HACE FRENTE A TODAS LAS FUNCIONALIDADES RELACIONADAS CON LA RETENCIÓN DE LOS CLIENTES ADQUIRIDOS, Y EL USO DE ESQUEMAS DE LEALTAD EN EL POTENCIAL DE ADQUISICIÓN DE CLIENTES. ESTABLECEN UNA COMPRENSIÓN COMPLETA DE LAS NECESIDADES DEL CLIENTE, LA DETERMINACIÓN DEL VALOR DEL CLIENTE PARA LA EMPRESA, LA DETERMINACIÓN DE LAS OPORTUNIDADES Y RIESGOS PARA CLIENTES ESPECÍFICOS, ETC ESTOS PROCESOS DE RECOPILAR Y ANALIZAR LOS DATOS DE TODAS LAS EMPRESAS Y CONTACTO CON EL CLIENTE. ASEGURA LA CREACIÓN DE LAS FACTURA ELECTRONICA, FACTURA FÍSICA Y / O PRODUCIDOS ELECTRÓNICAMENTE Y SE DISTRIBUYEN A LOS CLIENTES, Y QUE SE HAN APLICADO LOS CORRESPONDIENTES IMPUESTOS, DESCUENTOS, AJUSTES, DESCUENTOS Y CRÉDITOS PARA LOS PRODUCTOS Y SERVICIOS OFRECIDOS A LOS CLIENTES. ASIGNA UN VALOR (MONETARIO O DE OTRO TIPO) A UN EVENTO O PRODUCTO, O UNA COMBINACIÓN DE LO ANTERIOR. PUEDE SER UNA TARJETA DE CRÉDITO O DE DÉBITO Y PUEDE SER MANEJADO YA SEA EN LÍNEA O FUERA DE LÍNEA. CUBRE LAS FUNCIONES NECESARIAS PARA ORIENTAR, DISTRIBUIR, MEDIAR, RESUMIR, ACUMULAR Y ANALIZAR LOS REGISTROS DE EVENTOS DE FACTURACIÓN. ESTOS PROCESOS PUEDEN OCURRIR, EN TIEMPO REAL, CASI EN TIEMPO REAL, O SE PUEDEN EJECUTAR DE FORMA PERIÓDICA. "ES EL RESPONSABLE DEL CÁLCULO, LA APLICACIÓN DE LAS POLÍTICAS Y LA GESTIÓN DE LA FUNCIONALIDAD / INTERFACES PARA LA CUENTA DE SALDOS DE CLIENTES Y / O UN SUSCRIPTOR. AQUÍ LOS VALORES RESULTANTES DE LA CLASIFICACIÓN Y LA APLICACIÓN DE LOS DESCUENTOS SE APLICAN AL SALDO DE UN CLIENTE" GESTIONA LA INFRAESTRUCTURA DEL SERVICIO, ASEGURA QUE LA APROPIADA CAPACIDAD DEL SERVICIO ESTÁ DISPONIBLE Y LISTA PARA DAR SOPORTE A LA GESTIÓN DEL DEL SERVICIO, GARANTIZA EL PROCESOS DE FACTURACIÓN DE TODOS LOS SERVICIOS DE LA TELCO. ACTIVACIÓN Y PRUEBAS DEL SERVICIO A UN CLIENTE ASEGURANDO QUE REUNE TODOS LOS REQUERIMEINTOS SOLICITADOS POR EL MISMO, ESTE PROCESO INLCUYE PERO NO SE LIMITA A: VERIFICAR LA FACTIBLIDAD DE UN REQUERIMIENTO NO ESTANDARD SOLICITADO POR EL CLIENTE. ASIGNAR LOS PARÁMETROS DE SERVICIO APROPIADOS PARA DAR SOPORTE A LAS ORDENES DE SERVICIO DE OTRAS AREAS. 169 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 CLOSE SERVICE ORDER RECOVER SERVICE DESCRIPCIÓN REALIZA PRUEBAS PUNTUALES DEL SERVICIO PARA VALIDAR SU FUNCIONAMIENTO. LIDERAR Y HACER SEGUIMIENTO DE LAS ACTIVIDADES DE PROVICIONAMIENTO DE SERVICIOS GENERAR REPORTES DE ORDENES DE SERVICIOS DE OTROS PROCESOS. 2Bc(1) CREATE SERVICE TROUBLE REPORT DIAGNOSE SERVICE PROBLEM CORRECT & RESOLVE SERVICE PROBLEM SERVICE PROBLEM MANAGEMENT TRACK & MANAGE SERVICE PROBLEM REPORT SERVICE PROBLEM CLOSE SERVICE TROUBLE REPORT SON LOS RESPONSABLES DE LA GESTIÓN DE LOS PROBLEMAS ASOCIADOS A LOS SERVICIOS ESPECÍFICOS. EL OBJETIVO DE ESTOS PROCESOS ES LA RESPUESTA INMEDIATA A LOS PROBLEMAS DE SERVICIO REPORTADOS O FALLOS CON EL FIN DE MINIMIZAR SUS EFECTOS EN LOS CLIENTES, Y PARA INVOCAR EL RESTABLECIMIENTO DEL SERVICIO, O PRESTAR UN SERVICIO ALTERNATIVO TAN PRONTO COMO SEA POSIBLE. 2Bc(2) MONITOR SERVICE QUALITY ANALYZE SERVICE QUALITY IMPROVE SERVICE QUALITY REPORT SERVICE QUALITY PERFORMANCE CREATE SERVICE PERFORMANCE DEGRADATION REPORT TRACK & MANAGE SERVICE QUALITY PERFORMANCE RESOLUTION CLOSE SERVICE PERFORMANCE DEGRADATION REPORT ES EL RESPONSABLE DE LA GESTIÓN, EL SEGUIMIENTO, LA VIGILANCIA, ANÁLISIS, MEJORA Y PRESENTACIÓN DE INFORMES SOBRE EL RENDIMIENTO DE LOS SERVICIOS ESPECÍFICOS. 2Bd 2Ca SERVICE QUALITY MANGEMENT SERVICE GUIDING & MEDIATION RM&O SUPPORT & READINESS MEDIATE SERVICE USAGE RECORDS REPORT SERVICE USAGE RECORDS GUIDE RESOURCE USAGE RECORDS ENABLE RESOURCE PROVISIONING ENABLE RESOURCE PERFORMANCE MANAGEMENT SUPPORT RESOURCE TROUBLE MANAGEMENT ENABLE RESOURCE DATE COLLECTION / DISTRIBUTION MANAGE RESOURCE INVENTORY MANAGE LOGISTICS ESTOS PROCESOS INCLUYEN LA GUÍA ACONTECIMIENTOS DE RECURSOS A UN SERVICIO APROPIADO, LA MEDIACIÓN DE ESTOS REGISTROS DE USO, ASÍ COMO DE LOS REGISTROS DE USO DE DUPLICACIÓN YA PROCESADOS. ESTOS PROCESOS PROPORCIONAN INFORMACIÓN SOBRE EVENTOS RELACIONADOS CON LOS CLIENTES Y RELACIONADOS CON EL SERVICIO A OTRAS ÁREAS DE PROCESO A TRAVÉS DE LA GARANTÍA Y DE FACTURACIÓN. GESTIONA LOS RECURSOS DE INFRAESTRUCTURA PARA ASEGUGURAR SU USO ADECUADO, CALCULA LOS RECURSOS DE RED NECESARIOS QUE DEBEN ESTAR DISPONIBLES PARA PARA CUMPLIR LOS REQUERIMIENTOS DE OTROS PROCESOS, GARANTIZA EL PROCESO DE FACTURACIÓN DESDE EL PUNTO DE VISTA DE LOS RECURSOS NECESARIOS PARA EL PROCESO, MONITOREA Y SACA REPORTES SOBRE LAS CAPACIDADES Y COSTOS DE LOS PROCESOS FAB, INCLUYE PERO NO SE LIMITA A: GESTIONAR CORTES DE SERVICIO PROGRAMADO. GESTIONAR Y GARANTIZAR EL INVENTARIO DE RECURSOS. ANALIZAR LA DISPONIBILIDAD Y USO EN EL TIEMPO DE LOS RECURSOS O GRUPOS DE RECURSOS INCLUYENDO LAS TENDENCIAS Y PRONÓSTICOS. EJECUTAR MANTENIMIENTOS PRO ACTIVOS DE ACTIVIDADES DE REPARACIÓN. ESTABLECER LA FUERZA DE TRABAJO PARA DOTAR DE LOS RECURSOS NECESARIO A TODOS LOS PROCESOS DE LA TELCO. 170 CÓDIGO 2Cb 2Cc 2Cd(1) 2Cd(2) NOMBRE PROCESO PROCESOS NIVEL 3 RESOURCE PROVISIONING ALLOCATE & INSTALL RESOURCE CONFIGURE & ACTIVATE RESOURCE TEST RESOURCE TRACK & MANAGE RESOURCE PROVISIONING REPORT RESOURCE PROVISIONING CLOSE RESOURCE ORDER ISSUE RESOURCE ORDERS RECOVER RESOURCE RESOURCE TROUBLE MANAGEMENT SURVEY & ANALYZE RESOURCE TROUBLE LOCALIZE RESOURCE TROUBLE CORRECT & RESOLVE RESOURCE TROUBLE TRACK & MANAGE RESOURCE TROUBLE REPORT RESOURCE TROUBLE CLOSE RESOURCE TROUBLE REPORT CREATE RESOURCE TROUBLE REPORT RESOURCE DATA COLLECTION & DISTRIBUTION RESOURCE MEDIATION & REPORTING DESCRIPCIÓN ASIGNACIÓN, INSTALACIÓN, ACTIVACIÓN, CONFIGURACIÓN Y PRUEBAS DE RECURSOS ESPECÍFICOS QUE REUNAN LOS REQUERIMIENTOS DEL SERVICIO, PARA SATISFACER LOS REQUERIMIENTOS DE OTROS PROCESOS DE LA TELCO, SUS RESPONSABILIDADES INLCUYEN PERO NO SE LIMITAN A: VERIFICAR LA DISPONIBILIDAD DE LOS RECURSOS NECESARIOS PARA DAR PASO A UNA ORDEN DE TRABAJO. ASIGANAR LOS RECURSOS ADECUADOS EN TIPO Y CANTIDAD PARA ORDENES DE TRABAJO DE OTROS PROCESOS. RESERVA DE RECURSOS (SEGUN LAS REGLAS DEL NEGOCIO) POR UN PERIODO DE TIEMPO HASTA QUE SE CONFIRME LA REALIZACIÓN DE LA ORDEN. PROPORCIONAR LOS RECURSOS A BODEGAS SEGUN PRONÓSTICOS Y TENDENCIAS. INSTALACIÓN Y PUESTA EN MARCHA DE RECURSOS DESPUÉS DE LA ENTREGA. CONFIGURACIÓN Y ACTIVACIÓN FÍSICA Y/O LÓGICA DE RECURSOS COMO SEA REQUERIDO. SON LOS RESPONSABLES DE LA GESTIÓN DE LOS PROBLEMAS ASOCIADOS A LOS RECURSOS ESPECÍFICOS. LOS OBJETIVOS DE ESTOS PROCESOS PARA GESTIONAR CON EFICIENCIA Y EFICACIA LOS RECURSOS REPORTADO PROBLEMAS, AISLAR LA CAUSA Y ACTUAR PARA RESOLVER EL PROBLEMA DE LOS RECURSOS. SON RESPONSABLES DE LA RECOGIDA Y / O DISTRIBUCIÓN DE LA INFORMACIÓN DE GESTIÓN Y DE REGISTROS DE DATOS ENTRE INSTANCIAS DE RECURSOS Y SERVICIOS Y OTROS PROCESOS EMPRESARIALES. COLLECT MANAGEMENT RECURSOS DE RECOPILACIÓN DE DATOS Y INFORMATION & DATA LOS PROCESOS DE DISTRIBUCIÓN DE PROCESS MANAGEMENT INTERACTUAR CON LAS INSTANCIAS DE INFORMATION & DATA RECURSOS Y SERVICIOS PARA INTERCEPTAR DISTRIBUTE MANAGEMENT Y / O RECOPILAR EVENTOS DE TECNOLOGÍA INFORMATION & DATA DE CONSUMO, REDES Y LA INFORMACIÓN Y AUDIT DATA COLLECTION & OTRA INFORMACIÓN DE GESTIÓN PARA LA DISTRIBUTION DISTRIBUCIÓN A OTROS PROCESOS DENTRO DE LA EMPRESA, Y CON LOS PROCESOS DE LA EMPRESA PARA ACEPTAR COMANDOS, CONSULTAS Y OTROS GESTIÓN DE LA INFORMACIÓN PARA SU DISTRIBUCIÓN A INSTANCIAS DE RECURSOS Y DE SERVICIOS. GESTIONAN RECURSOS MEDIANTE LA CORRELACIÓN DE EVENTOS Y DAR FORMATO A UN FORMATO ÚTIL. ESTOS PROCESOS MEDIATE RESOURCE INCLUYEN LA MEDIACIÓN Y LA COMUNICACIÓN USAGE RECORDS RECURSOS. DE LOS REGISTROS DE REPORT RESOURCE USAGE INVESTIGACIÓN DE PROBLEMAS DE EVENTOS RECORDS DE FACTURACIÓN RELACIONADOS CON LOS RECURSOS ES TAMBIÉN PARTE DE ESTOS PROCESOS. 171 CÓDIGO 2Da 2Db 2Dc 2Dd(1) 2Dd(2) 3A1 3A2 NOMBRE PROCESO S/P PROBLEM REPORTING & MANAGEMENT S/P REQUISITION MANAGEMENT S/P PROBLEM REPORTING & MANAGEMENT S/P SETTLEMENTS & PAYMENTS MANAGEMENT S/P INTERFACE MANAGEMENT STRATEGIC BUSINESS PLANNING BUSINESS DEVELOPMENT PROCESOS NIVEL 3 DESCRIPCIÓN INITIATE S/P PROBLEM REPORT RECEIVE S/P PROBLEM REPORT TRACK & MANAGE S/P PROBLEM RESOLUTION REPORT S/P PROBLEM RESOLUTION CLOSE S/P PROBLEM REPORT SON LOS PROCESOS DE SEGUIMIENTO, CONTROL Y COMUNICACIÓN EN EL PROVEEDOR DE SERVICIOS, ASEGURAN QUE LAS INTERACCIONES ESTÁN EN CONFORMIDAD CON LOS ACUERDOS COMERCIALES ACORDADAS ENTRE EL PROVEEDOR Y EL PROVEEDOR / SOCIO. ADEMÁS, LOS PROVEEDORES / SOCIOS EXTERNOS PUEDEN INFORMAR S / P DESCUBRIÓ PROBLEMAS CON EL PROVEEDOR DE SERVICIOS QUE PUEDAN AFECTAR LOS RECURSOS, SERVICIOS Y / O CLIENTES. SELECT SUPLIER / PARTNER DETERMINE S/P REQUISITION FEASIBILTY TRACK & MANAGE S/P REQUISITION RECEIVE & ACCEPT S/P REQUISITION INITIATE S/P REQUISITION ORDER REPORT S/P REQUISITION CLOSE S/P REQUISITION ORDER MONITOREO, SEGUIMIENTO Y REPORTES DE LOS PROVEEDORES DE SERVICIO Y/O PRODUCTOS EXTERNOS A LA TELCO, ASEGURANDO QUE LA INTERACCIÓN ESTÉ DE ACUERDO A LOS ACUERDOS COMERCIALES. INITIATE S/P PROBLEM REPORT RECEIVE S/P PROBLEM REPORT TRACK & MANAGE S/P PROBLEM RESOLUTION REPORT S/P PROBLEM RESOLUTION CLOSE S/P PROBLEM REPORT SON LOS PROCESOS DE SEGUIMIENTO, CONTROL Y COMUNICACIÓN EN EL PROVEEDOR DE SERVICIOS, ASEGURAN QUE LAS INTERACCIONES ESTÁN EN CONFORMIDAD CON LOS ACUERDOS COMERCIALES ACORDADAS ENTRE EL PROVEEDOR Y EL PROVEEDOR / SOCIO. ADEMÁS, LOS PROVEEDORES / SOCIOS EXTERNOS PUEDEN INFORMAR S / P DESCUBRIÓ PROBLEMAS CON EL PROVEEDOR DE SERVICIOS QUE PUEDAN AFECTAR LOS RECURSOS, SERVICIOS Y / O CLIENTES. MANAGE ACCOUNT RECEIVE & ASSESS INVOICE NEGOTIATE & APPROVE INVOICE ISSUE SETTLEMENT NOTICE & PAYMENT GESTIONAN TODOS LAS PROCESOS CONTABLES Y LOS PAGOS DE LA EMPRESA, INCLUIDA LA VALIDACIÓN Y VERIFICACIÓN DE FACTURAS Y AUTORIZACIÓN DE PAGO. MANAGE S/P REQUESTS (INCLUDING SELF SERVICE) ANALYZE & REPORT S/P INTERACTIONS MEDIATE & ORCHESTRATE SUPPLIER/PARTNER INTERACTIONS PROVIDE STRATEGIC BUSINESS DIRECTION CREAT ACTIONABLE STRATEGY PROGRAM-MANAGE STRATEGY IMPLEMENTATION DEVELOP CONCEPTS FOR REVENUE STREAMS FOCUS OR BROADEN CUSTOMER BASE IDENTIFY OUTSPOURCING OPPORTUNITIES GESTIONAN LOS CONTACTOS ENTRE LA EMPRESA Y SUS PROVEEDORES / SOCIOS PARA LOS PRODUCTOS O SERVICIOS ACTUALES O FUTUROS. ESTOS PROCESOS SON, BÁSICAMENTE, CONTACTO CON LOS PROCESOS DE GESTIÓN Y SEGUIMIENTO. ESTOS S / P INTERFAZ DE ADMINISTRACIÓN DE PROCESOS DE INTERFAZ CON EL PROCESO DE CRM DE GESTIÓN DE INTERFAZ DE CLIENTE. ESTABLECE UNA ESTRATÉGIA Y PLANEACIÓN DEL NEGOCIO Y DIRECCIÓN PARA LA EMPRESA. ESTE MACRO PROCESO ABARCA TODAS LAS FUNCIONES REQUERIDAS PARA PROVEER LA ESTRATÉGIA DE NEGOCIOS Y DIRECCIÓN DE LA EMPRESA, CREA PLANES DE ACCIÓN BASADOS EN LA ESTRATÉGIA DE NEGOCIOS Y PROVEE UN ALTO NIVEL DEL PROGRAMA DE GESTIÓN DE SU IMPLEMENTACIÓN. DESARROLLAN CONCEPTOS PARA NUEVAS FUENTES DE INGRESOS, LA DIVERSIFICACIÓN DE FUENTES DE INGRESOS Y SE CENTRAN O AMPLIACIÓN DE LA BASE DE CLIENTES A TRAVÉS DE LA INVESTIGACIÓN DE NUEVOS 172 CÓDIGO 3A3 3A4 3A5 NOMBRE PROCESO ENTERPRISE ARCHITECTURE MANAGEMENT GROUP ENTERPRISE MANAGEMENT ITIL RELEASE AND DEPLOYMENT MANAGEMENT PROCESOS NIVEL 3 DESCRIPCIÓN INVESTIGATE POTENTIAL MERGERS & ACQUISITIONS FACILITATE NEGOTIATION & IMPLEMENTATION OF POTENTIAL MERGERS & ACQUISITIONS MANAGE ENTERPRISE ARCHITECTURE METHODOLOGY COORDINATE ENTERPRISE ARCHITECTURE MANAGE ENTERPRISE ARCHITECTUER TOOLSETS AND ASSOCIATED STANDARDS MANAGE & ADMINISTER ARCHITECTURE REPOSITORIES MANAGE ARCHITECTURE SKILLSETS PROVIDE REFERENCE SOURCE FOR STANDARD OPERATING ENVIRONMENT COORDINATE ARCHITECTURE REVIEW MERCADOS, ASÍ COMO LOS DIFERENTES PRODUCTOS Y SERVICIOS PARA LA EMPRESA. PLANN & IMPLEMENT CROSS-BUSINESS UNIT OPERATION HARMONIZE PROCESSES & COMMUNICATION SYSTEMS ACROSS BUSINESS UNITS MANAGE FUNDING & CROSS-SUBSIDIES ACROSS BUSINESS UNITS MANAGE INVESTMENT FOR BUSINESS DEVELOPMENT COORDINATE BUSINESS ACTIVITIES N/A 3A6 ITIL CHANGE MANAGEMENT N/A 3B1 BUSINESS CONTINUITY MANAGEMENT COORDINATE BUSINESS CONTINUITY PLAN BUSINESS CONTINUITY PLAN INFRASTRUCTURE RECOVERY ESTOS PROCESOS DEFINEN / SELECCIONAR, DESARROLLAR E IMPLEMENTAR LA METODOLOGÍA DE ARQUITECTURA DE LA EMPRESA, QUE ES UN MARCO DE REFERENCIA QUE IDENTIFICA LOS MODELOS DE REFERENCIA, SUS RELACIONES ENTRE SÍ, Y LOS PROCESOS DE GESTIÓN DE LA ARQUITECTURA UTILIZADA PARA ESTABLECER Y MANTENER LA ARQUITECTURA DE LA EMPRESA SON LOS RESPONSABLES DE LA PLANIFICACIÓN Y LA GESTIÓN DE LA COORDINACIÓN ENTRE LAS UNIDADES DE NEGOCIO DENTRO DE LA EMPRESA Y ENTRE LA EMPRESA Y SUS SUBSIDIARIAS (NOTA QUE LAS INTERACCIONES SIMILARES SOBRE EXTERNALIZACIÓN RELACIONADOS CON PROVEEDORES Y SOCIOS SE MANEJAN EN OTROS LUGARES, A TRAVÉS DE LA CADENA DE SUMINISTRO Y LOS PROCESOS DE PROVEEDOR / ASOCIADO). LA ATENCIÓN SE CENTRA EN LOS PROCESOS RELACIONADOS CON LA COORDINACIÓN DENTRO DE LA PROPIA ORGANIZACIÓN DE LA EMPRESA, INCLUIDAS LAS FILIALES, DESDE EL PUNTO DE VISTA DE TODA LA EMPRESA. SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE LANZAMIENTO E IMPLEMENTACIÓN DE GESTIÓN PUEDEN APLICARSE EN ESTOS CASOS. SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS PARA LA GESTIÓN DEL CAMBIO (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. GESTIONA EL DESARROLLO DE ESTRATEGIAS, POLITICAS, PLANES, ROLES ORGANIZACIONALES, RESPONSABILIDADES, ESCALACIÓN DE PROCEDIMIENTOS Y ACTIVIDADES EN CASO DE OCURRENCIA DE EVENTOS GRAVES 173 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 PLAN SERIOUS INCIDENT MANAGEMENT MANAGE BUSINESS CONTINUITY METHODOLOGIES 3B2 3B3 SECURITY MANAGEMENT FRAUD MANAGEMENT DESCRIPCIÓN QUE INTERRUMPAN LA OPERACIÓN DEL NEGOCIO. ESTOS PROCESOS ASEGURAN QUE PLANES Y PROCEDIMIENTOS APROPIADOS ESTÁN ESTABLECIDOS Y DEBIDAMENTE PROBADOS PARA PROVEER CONTINUIDAD EN LA OPERACIÓN DEL NEGOCIO, PROVEYENDO UN PLAN CONTROLADO DE RECUPERACIÓN DE FUNCIONALIDAD DE INFRAESTRUDTURA TECNOLÓGICA HASTA LLEGAR A LOS NIVELES NORMALES DE FUNCIONALIDAD Y HABILITAR LOS PROCESOS Y ACTIVIDADES CLAVES DEL NEGOCIO. DEFINE SECURITY MANAGEMENT PREVENTION SECURITY MANAGEMENT MANAGE PROACTIVE SECURITY MANAGEMENT MONITOR INDUSTRY TRENDS FOR SECURITY MANAGEMENT DEFINE SECUIRTY MANAGEMENT POLICIES & PROCEDURES ASSIST WITH SECURITY MANGEMENT DEPLOYMENT MANAGE REACTIVE SECURITY MANAGEMENT DETECT POTENTIAL SECURITY THREATS & VIOLATIONS INVESTIGATE POTENTIAL SECURITY THREATS & VIOLATIONS DEFINE MONITORING TO FACILITATE SECURITY MANAGEMENT DEFINE SECURITY MANAGEMENT ANALYSIS DEFINE SECURITY MANAGEMENT POLICIES & PROCEDURES TO FACILITATE DETECTION INCIDENTS DEFINE INCIDENT MANAGEMENT POLICIES AND PROCEDURES EVALUAN LAS AMENAZAS A LA EMPRESA Y OFRECEN CAPACIDADES Y CONTROLES PARA MINIMIZAR LAS AMENAZAS IDENTIFICADAS. ESTOS PROCESOS SON RESPONSABLES DE ESTABLECER LAS POLÍTICAS DE GESTIÓN DE LA SEGURIDAD CORPORATIVA, DIRECTRICES, MEJORES PRÁCTICAS Y AUDITORÍAS DE CUMPLIMIENTO POR PARTE DE LA EMPRESA. EN LA INFORMACIÓN Y LAS COMUNICACIONES (TIC) DE DOMINIO PROVEEDOR DE SERVICIOS, GESTIÓN DE LA SEGURIDAD ES UNA SERIE SISTEMÁTICA Y CONTINUA DE LOS PROCESOS Y COMPORTAMIENTOS QUE GARANTICEN LA CONFIDENCIALIDAD, DISPONIBILIDAD E INTEGRIDAD DE LOS ACTIVOS TIC CRÍTICOS DE LA EMPRESA. FRAUD POLICY MANAGEMENT FRAUD MANAGEMENT LOS PROCESOS GESTIÓN DE FRAUDES DEBEN INSTAURAR LAS POLÍTICAS CORPORATIVAS DE LA GESTIÓN DE FRAUDES, LAS DIRECTRICES, LAS ACCIONES QUE MEJOR CONVIENEN Y LAS VERIFICACIONES NECESARIAS CON VISTAS A LA OBSERVANCIA DE LAS NORMAS DE LA EMPRESA CONCERNIENTES A LOS CASOS DE FRAUDE. LA GESTIÓN DE FRAUDES ABORDA LOS ASPECTOS DE FUENTES INTERNAS Y EXTERNAS DE VIOLACIONES A LA SEGURIDAD. ESTOS PROCESOS INTERACTÚAN SENSIBLEMENTE CON LA GESTIÓN DE LA SEGURIDAD Y COMPARTEN ELEMENTOS EN COMÚN; POSEEN, ASIMISMO, ELEMENTOS ESPECÍFICOS DE COMUNICACIONES Y SERVICIOS DE INFORMACIÓN. LOS PROCESOS GESTIÓN DE FRAUDES SON EJECUTADOS EN DIVERSOS NIVELES DE LA EMPRESA Y EN LOS NIVELES USUARIO, SISTEMA/RED,PLATAFORMAS DE SERVICIOS Y DEMAS. 174 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 AUDIT MANAGEMENT DEFINE AUDIT POLICY DEFINE AUDIT MECHANIMS ASSESS OPERATONAL ACTIVITIES EVALUATE OPERATIONAL ACTIVITIES REPORT AUDITS APPLY AUDIT MECHANISMS PROACTIVELY INSURANCE MANAGEMENT IDENTIFY INSURABLE RISKS ANALYZE INSURANCE COST/BENEFITS PROVIDE INSURANCE ADVICE MANAGE INSURAMCE PORRTFOLIO 3B6 REVENUE ASSURANCE MANAGEMENT MANAGE REVENUE ASSURANCE POLICY FRAMEWORK MANAGE REVENUE ASSURANCE OPERATIONS SUPPORT REVENUE ASSURANCE OPERATIONS 3B7 ITIL IT SERVICE CONTINUITY MANAGEMENT N/A 3B8 ITIL INFORMATION SECURITY MANAGEMENT N/A 3B4 3B5 DESCRIPCIÓN IDENTIFICAN, ESTABLECEN PRIORIDADES Y GESTIONAN LOS PROGRAMAS DE AUDITORÍA, DEFINIR LAS POLÍTICAS Y PROCEDIMIENTOS DE AUDITORÍA, EVALUAR LAS ACTIVIDADES OPERACIONALES PARA ASEGURAR LAS ESTRUCTURAS DE CONTROL NECESARIAS O MANDATO ESTÁN EN SU LUGAR, Y PROPORCIONAN UNA ESTIMACIÓN DE LA MEDIDA EN QUE SE SIGAN LOS PROCEDIMIENTOS Y SON EFICACES. LOS PROCESOS GARANTIZAN QUE LOS CORRESPONDIENTES INFORMES RELATIVOS AL CUMPLIMIENTO Y LA CAPACIDAD SE PROPORCIONAN A LA ALTA DIRECCIÓN / JUNTA DENTRO DE LOS PLAZOS DEFINIDOS CORRESPONDIENTES. LOS PROCESOS DEFINEN EL ENFOQUE DE AUDITORÍA PARA SER UTILIZADO DEPENDIENDO DE LAS CIRCUNSTANCIAS, ASÍ COMO LA METODOLOGÍA DE EVALUACIÓN DE RIESGO Y EL ENFOQUE DE PUNTUACIÓN PARA SER UTILIZADO. SON RESPONSABLES DE EVALUAR Y GESTIONAR LOS RIESGOS ASEGURABLES DENTRO DE UNA EMPRESA. ESTOS PROCESOS SE IDENTIFICAN LAS ÁREAS Y ACTIVIDADES DENTRO DE LA EMPRESA EN LOS ASPECTOS DE RIESGOS SON ASEGURABLES, Y ANALIZAR EL COSTO / BENEFICIO DE REALIZAR SEGURO ESPECÍFICO. ESTABLECE UN MARCO PARA TODA LA EMPRESA LOS INGRESOS GARANTÍA POLÍTICA Y UNA CAPACIDAD OPERATIVA ASOCIADA PARA RESOLVER CUALQUIER DEGRADACIÓN DE ASEGURAMIENTO DE INGRESOS Y LAS VIOLACIONES DETECTADAS. PROCESOS DE GESTIÓN DE ASEGURAMIENTO DE INGRESOS IDENTIFICAR LAS ÁREAS DE RIESGO DE FUGA DE INGRESOS DENTRO DE LA EMPRESA, Y LAS TENDENCIAS DE LA INDUSTRIA DE MONITORES Y ENFOQUES DE MEJORES PRÁCTICAS PARA GARANTIZAR QUE LA EMPRESA SE MANTIENE A LA VANGUARDIA DE LOS INGRESOS FUGAS MINIMIZACIÓN. ESTOS PROCESOS DE APOYO A LA CATEGORIZACIÓN Y PRIORIZACIÓN DE ÁREAS DE RIESGO DE PÉRDIDA DE INGRESOS. SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE IT SERVICE CONTINUITY MANAGEMENT (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS 175 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 3B9 ITIL PROBLEM MANAGEMENT N/A 3C1 PROCESS MANAGEMENT & SUPPORT N/A 3C2 ENTERPRISE QUALITY MANAGEMENT N/A 3C3 PROGRAM & PROJECT MANAGEMENT DELIVER PROGRAM/PROJECT METHODOLOGIES & SUPPORT SELECT PROGRAM/PROJECT MANAGEMENT SUPPORT TOOLS MANAGE PROGRAM/PROJECT MANAGEMENT SKILL SETS MANAGE PROGRAM/PROJECT MANAGEMENT REPOSITORY MANAGE PROGRAM/PROJECT MANAGEMENT METRICS DEFINE ENTERPRISE PERFORMANCE MEASURES MANAGE ENTERPRISE PERFORMANCE DATA MANAGE EXTERNAL SURVET COMPANIES REPORT BALANCED SCORECARD 3C4 ENTERPRISE PERFORMANCE ASSESSMENT 3C5 FACILITIES MANAGEMENT & SUPPORT N/A 3C6 ITIL SERVICE ASSET AND CONFIGURATION MANAGEMENT N/A DESCRIPCIÓN SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE GESTIÓN DE PROBLEMAS (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. DEFINEN Y ADMINISTRAN LA GESTIÓN DE PROCESOS EMPRESARIALES. ESTOS PROCESOS DEFINEN LA METODOLOGÍA A SER UTILIZADA POR TODO EL DISEÑO DE PROCESOS, GESTIÓN DE CAMBIOS EN LOS PROCESOS O ACTIVIDADES DE REINGENIERÍA DE PROCESOS EN TODA LA EMPRESA. DEFINEN LAS POLÍTICAS DE GESTIÓN DE CALIDAD DE LA EMPRESA Y EL MODELO EMPRESARIAL PARA LA GESTIÓN DE LA CALIDAD. SE ADMITEN TODAS LAS OPERACIONES Y PROCESOS DEL CICLO DE VIDA DE LA APLICACIÓN Y EL CONTROL DE ESTE MODELO. DEFINE Y GESTIONA EL PROGRAMA Y LAS METODOLOGÍAS DE GESTIÓN DE PROYECTOS, DESTREZAS Y HERRAMIENTAS DENTRO DE LA EMPRESA. ESTOS PROCESOS DOCUMENTAN EL PROGRAMA Y LAS METODOLOGÍAS USADAS EN LOS PROYECTOS, PROVEEN PLANTILLAS Y HERRAMIENTAS REQUERIDAS PARA DESARROLLAR EL PROYECTO, SE DETERMINAN LAS HABILIDADES REQUERIDAS Y LOS NIVELES DE CERTIFICACIÓN NECESARIOS, CON LA INFORMACIÓN QUE SE GENERA DE LA EJECUCIÓN DE PROYECTOS SE DETERMINANA MÉTRICAS PARA HACER UNA ANÁLISIS GLOBAL Y GENERAR INDICADORES. ESTOS PROCESOS PROPORCIONAN INFORMES PERIÓDICOS A LA ALTA DIRECCIÓN Y AL CONSEJO SOBRE EL ESTADO DE TODOS LOS INDICADORES DE DESEMPEÑO DEFINIDOS SOBRE UNA BASE REGULAR (GENERALMENTE MENSUAL). PROCESOS SE ENCARGAN DE LOS ASPECTOS AMBIENTALES EN EL LUGAR DE TRABAJO DE LA EMPRESA, ASEGURÁNDOSE DE LAS INSTALACIONES DEL LUGAR DE TRABAJO SON SUFICIENTES PARA GARANTIZAR EL RENDIMIENTO ÓPTIMO DE LOS EMPLEADOS DEFINIDO EN ITIL. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE ACTIVOS DE SERVICIO Y GESTIÓN DE LA CONFIGURACIÓN (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. 176 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 3C7 ITIL EVENT MANAGEMENT N/A 3C8 ITIL SERVICE CATALOGUE MANAGEMENT N/A 3C9 ITIL INCIDENT MANAGEMENT N/A 3C10 ITIL SERVICE LEVEL MANAGEMENT N/A 3C11 ITIL CAPACITY MANAGEMENT N/A 3C12 ITIL AVAILABILITY MANAGEMENT N/A 3C13 ITIL REQUEST FULFILLMENT N/A DESCRIPCIÓN SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS PARA LA GESTIÓN DE EVENTOS (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. DEFINIDA EN ITIL. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE GESTIÓN DE CATÁLOGO DE SERVICIOS (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE GESTIÓN DE INCIDENTES (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS PARA LA GESTIÓN DE NIVEL DE SERVICIO (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE GESTIÓN DE CAPACIDAD (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE ADMINISTRACIÓN DE DISPONIBILIDAD (O SU EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS 177 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 3C14 ITIL CONTINUAL SERVICE IMPROVEMENT N/A 3D1 KNOWLEDGE MANAGEMENT N/A 3D2 RESEARCH MANAGEMENT EVALUATE R&D BUSINESS VALUE MANAGE R&D INVESTMENT MANAGE R&D PROGRAM ACTVITIES 3D3 3E1 TECHNOLOGY SCANNING FINANCIAL MANAGEMENT EVALUATE EXTERNAL TECHNOLOGY DETERMINE BUSINESS VALUE OF POTENTIAL TECHNOLOGY ASSESS TECHNOLOGY ACQUISITION N/A DESCRIPCIÓN ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE SOLICITUD DE CUMPLIMIENTO (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. SU PAPEL AQUÍ ES COMO UN MODELO O PLANTILLA PARA QUÉ OTRAS ÁREAS DE PROCESO DEBEN OPERAR PARA ALINEARSE CON EL ENFOQUE DE ITIL, DONDE ESTO ES RELEVANTE PARA LA EMPRESA EN CUESTIÓN. TENGA EN CUENTA QUE NO TODAS LAS ORGANIZACIONES OPTAN POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE CSI (O EQUIVALENTE) PUEDEN APLICARSE EN ESTOS CASOS. SON RESPONSABLES DE LA GESTIÓN DEL CONOCIMIENTO TÁCITO Y EXPLÍCITO CONTENIDO CON LA EMPRESA. ESTO INCLUYE EL ESTABLECIMIENTO DE PROCESOS Y CAPACIDADES PARA ASEGURAR QUE TODO EL PERSONAL TENGA LOS CONOCIMIENTOS NECESARIOS A SU ALCANCE PARA SER EFICAZ EN SU TRABAJO, Y PARA ASEGURAR QUE LOS CONOCIMIENTOS OBTENIDOS A TRAVÉS DE ACTIVIDADES DE TRABAJO SE CONSERVARÁN Y PONDRÁN COMO SE REQUIERE EN TODA LA EMPRESA. ALGUNOS EJEMPLOS DE PROCESOS DE GESTIÓN DEL CONOCIMIENTO INCLUYEN PROCESOS ASOCIADOS CON LA GESTIÓN DE PATENTES, LOS DERECHOS DE PROPIEDAD INTELECTUAL DE GESTIÓN, LAS NORMAS DE INFORMACIÓN Y LA INFORMACIÓN DE CAPTURA Y EL ALMACENAMIENTO, Y LA ASIGNACIÓN DE DIRECCIÓN PARA PROPORCIONAR LA ADMINISTRACIÓN DE DATOS, REDUCIENDO AL MÍNIMO LOS CASOS DE LOS MISMOS DATOS, ETC OTROS EJEMPLOS INCLUYEN EL ESTABLECIMIENTO DE PROCESOS POLÍTICAS Y EL ESTABLECIMIENTO DE LA GESTIÓN DE PORTALES EMPRESARIALES Y CAPACIDADES DE INTRANET. PLANIFICAN Y PRIORIZAR LAS ACTIVIDADES DE INVESTIGACIÓN Y DESARROLLO DENTRO DE LA EMPRESA. ESTOS PROCESOS SE IDENTIFICAN Y EVALÚAN EL VALOR DE NEGOCIO DE LA INVERSIÓN EN I + D. ESTOS PROCESOS GESTIONAN LA ASIGNACIÓN DE RECURSOS FINANCIEROS Y DE OTRO TIPO A LA BÚSQUEDA DE ÁREAS DE I + D, Y LA GESTIÓN DE PROGRAMAS DE I + D Y LA EVALUACIÓN PERMANENTE DE SU VALOR Y PRIORIDAD. ESTOS PROCESOS COOPERAN CON ADQUISICIÓN DE TECNOLOGÍA PARA LAS DECISIONES A NIVEL INSTITUCIONAL EN MATERIA DE INVERSIÓN INTERNO O EXTERNO DE INVESTIGACIÓN Y DESARROLLO "HACER FRENTE A COMPRAR" REALIZAN PROCESOS DE EXPLORACIÓN Y EVALUACIÓN INICIAL DE LAS NUEVAS TECNOLOGÍAS A PARTIR DE FUENTES EXTERNAS PARA LA EMPRESA. ESTO INCLUYE LA IDENTIFICACIÓN Y EVALUACIÓN DE LAS TECNOLOGÍAS POTENCIALES Y FUENTES DE TECNOLOGÍAS, Y LA COMPARACIÓN CON LA CAPACIDAD DE INVESTIGACIÓN "IN-HOUSE". SE ENCARGAN DE LOS PROCESOS DE GESTIÓN DE LOS ASPECTOS FINANCIEROS DE LA EMPRESA, TALES COMO TESORERÍA, BANCA, NÓMINA, PLANIFICACIÓN FINANCIERA, 178 CÓDIGO 3E2 3E3 3F1 NOMBRE PROCESO PROCESOS NIVEL 3 ASSET MANAGEMENT N/A PROCUREMENT MANAGEMENT MANAGE CORPORATE PROCUREMENT & LOGISTICS POLICIES DEFINE WAREHOUSING POLICIES DEVELOP LOGISTICS/TRANSPORT POLICIES DEVELOP STOCK/INVENTORY MANAGEMENT POLICIES MANAGE GOODS ACCEPTANCE & HANDLING CORPORATE COMMUNICATIONS & IMAGE MANAGEMENT PROMOTE DESIRED CORPORATE MAGE MANAGE SPOKESPEOPLE MANAGE MESSAGING DESCRIPCIÓN Y LAS FUNCIONES DE LAS OPERACIONES CONTABLES, POR EJEMPLO, CUENTAS POR COBRAR Y POR PAGAR. ESTOS PROCESOS SON RESPONSABLES DE LA SALUD FINANCIERA DE LA EMPRESA, LA GESTIÓN DE FLUJO DE CAJA, ETC GESTIONAN TODOS LOS ASPECTOS FINANCIEROS Y DE LA POLÍTICA DE LOS ACTIVOS FÍSICOS DE LA EMPRESA (DE BIENES RAÍCES CORPORATIVOS, LAS FLOTAS, LA INFRAESTRUCTURA, LAS EXISTENCIAS, CONSUMIBLES, ETC), QUE ESTABLECEN LAS POLÍTICAS DE GESTIÓN DE ACTIVOS, LOS ACTIVOS DE LA PISTA UTILIZANDO LOS SISTEMAS DE REGISTRO DE LOS ACTIVOS FÍSICOS Y GESTIONAR LA BALANCE GENERAL DE LA EMPRESA. DEFINEN POLÍTICAS Y NORMAS DE LOGÍSTICA Y COMPRAS CORPORATIVAS, PARA TODAS LAS COMPRAS, ALMACENAMIENTO, TRANSPORTE Y DISTRIBUCIÓN DE RECURSOS FÍSICOS, Y SUPERVISAR SU APLICACIÓN. ESTOS PROCESOS DE GESTIÓN Y CONTROL DE LA ACEPTACIÓN DE LOS PRODUCTOS DE LOS PROVEEDORES Y LOS ARREGLOS DE TRANSPORTE PARA ENTREGAR LOS BIENES A CUALQUIERA DE LOS ALMACENES O EN EL SITIO. DEFINEN LA ESTRUCTURA DE ALMACENAMIENTO (CENTRALIZADA Y / O DISTRIBUIDA) Y LAS POLÍTICAS DE GESTIÓN DE ASOCIADOS QUE DEBEN APLICARSE A LOS BIENES ADQUIRIDOS. LOS PROCESOS DE LOGÍSTICA / TRANSPORTE DESARROLLAR POLÍTICAS RELACIONADAS CON EL TRANSPORTE DEL MATERIAL ADQUIRIDO PARA EL ALMACENAMIENTO, AL SITIO, ETC LOS PROCESOS DE GESTIÓN DE EXISTENCIAS / INVENTARIO, JUNTO CON LOS PROCESOS DE GESTIÓN DE ACTIVOS QUE CONSTITUYEN LA FUENTE DE INFORMACIÓN DE INVENTARIO, DESARROLLO DE POLÍTICAS CORPORATIVAS RELACIONADAS CON LA UBICACIÓN DE Y NIVELES DE, LAS TENENCIAS DE VALORES / INVENTARIO. SON RESPONSABLES DE LA COMUNICACIÓN DE LOS MENSAJES REQUERIDOS PARA LA INDUSTRIA DEL MERCADO Y DE LA EMPRESA EN GENERAL. ESTOS INCLUYEN LA PROMOCIÓN DE LA IMAGEN CORPORATIVA DESEADA PARA LA EMPRESA Y SUS NEGOCIOS Y PRODUCTOS EN GENERAL. ÁREAS TALES COMO EL PATROCINIO, LA PUBLICIDAD A NIVEL INSTITUCIONAL Y DE CONTACTO GENERAL CON LOS ORGANISMOS DE LA INDUSTRIA, Y EL GOBIERNO Y LOS ORGANISMOS REGULADORES, SE ABORDAN AQUÍ. ESTOS PROCESOS TAMBIÉN ASIGNAR PORTAVOCES DE TEMAS DE MARKETING Y CUALQUIER ASUNTO CORPORATIVO, DESARROLLAR MENSAJES ESPECÍFICOS PARA LOS TEMAS DE INTERÉS PARA LA EMPRESA, ADMINISTRAR LA APROBACIÓN DE LA LIBERACIÓN DE MENSAJES, GESTIONAR LAS INTERACCIONES CON LOS MEDIOS DE COMUNICACIÓN PORTAVOCES, Y MONITOREAR LA REACCIÓN DEL MERCADO A LOS MENSAJES E IMPLEMENTAR LOS CAMBIOS O ADAPTACIONES NECESARIAS. 179 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 3F2 COMMUNITY RELATIONS MANAGEMENT ENSURE COMMUNITY VISIBILITY COMMUNICATE COMMUNITY MESSAGING HANDLE COMMUNITY CONTACTS 3F3 SHAREHOLDER RELATIONS MANAGEMENT MANAGE SHAREHOLDER RELATIONS MANAGE EMPLOYEE SHARE PLANS 3F4 REGULATORY MANAGEMENT ENSURE REGULATORY COMPLIANCE HANDLE PENDING REGULATIONS FILE TRARIFFS LEGAL MANAGEMENT ENSURE LEGALA COMPLIANCE CARRY OUT LEGAL REQUESTS PROVIDE LEGAL ADVICE NOTIFY LEGAL ENVIRONMENT CHANGES MANAGE LEGAL ACTIONS 3F5 3F6 MANAGE BOARD RELATED ACTIVITIES MANAGE BOARD & SHARES/SECURITIES SHARES/SECURITIES MANAGE CAPITAL/EQUITY MANAGEMENT ACTIVITIES MANAGE SHARE/STOCK REGISTRY DESCRIPCIÓN SON RESPONSABLE DE ASEGURAR LA POSICIÓN DE LA EMPRESA DENTRO DE LA COMUNIDAD O COMUNIDADES, EN EL QUE OPERA. ESTO INCLUYE ACTIVIDADES LOCALES, Y EL APOYO FINANCIERO Y DE OTRO TIPO, ESCUELAS, BIBLIOTECAS, HOSPITALES, SERVICIOS DE EMERGENCIA, ETC, LA PREOCUPACIÓN POR EL ENTORNO INMEDIATO, LA VISIBILIDAD EN EVENTOS LOCALES, ETC ESTA ÁREA TAMBIÉN COMUNICA LOS MENSAJES DESEADOS SOBRE LA EMPRESA A LA COMUNIDAD QUE OPERA DENTRO DE LA EMPRESA, ASÍ COMO A LOS EMPLEADOS DE UNA EMPRESA PUNTO DE VISTA GLOBAL. ESTOS PROCESOS TAMBIÉN SE ENCARGAN DE CONTACTO CON LOS GRUPOS DE INTERÉS DE LOS CLIENTES Y LOS REPRESENTANTES DE LOS CLIENTES, ASÍ COMO LOS QUE SE OCUPAN DE LAS RELACIONES PÚBLICAS Y LOS CONTACTOS DE RELACIONES CON LA COMUNIDAD REALIZADOS EN LA EMPRESA. ESTOS PROCESOS TAMBIÉN INFLUYEN EN LA POLÍTICA DE PRIVACIDAD DE LA EMPRESA. GERSTIONAN A RELACIÓN ENTRE LA EMPRESA Y SUS ACCIONISTAS, DE ACUERDO CON TODOS LOS REQUISITOS DE NEGOCIO, FINANCIEROS, LEGALES Y REGULATORIOS. ESTO INCLUYE LAS COMUNICACIONES ENTRANTES Y SALIENTES CON LOS ACCIONISTAS. GARANTIZAN QUE LA EMPRESA CUMPLE CON TODAS LAS REGULACIONES GUBERNAMENTALES EXISTENTES. ADEMÁS, ESTE PROCESO ES RESPONSABLE DE INFLUIR LEGALMENTE REGLAMENTOS Y ESTATUTOS PENDIENTES EN BENEFICIO DE LA EMPRESA Y DE INFORMAR A LA EMPRESA DE LAS CONSECUENCIAS POTENCIALES DE LA LEGISLACIÓN PENDIENTE O LOS REGLAMENTOS. ADEMÁS, ESTOS PROCESOS SON RESPONSABLES DE LAS NOTIFICACIONES DE TARIFAS SEGÚN SE REQUIERA. SON RESPONSABLE DE GARANTIZAR QUE LA EMPRESA CUMPLE CON TODOS LOS REQUISITOS LEGALES PERTINENTES, INCLUIDA LA DEBIDA DILIGENCIA. ELLOS TAMBIÉN SON RESPONSABLES DE LA REALIZACIÓN DE PETICIONES LEGALES DENTRO DE LA EMPRESA, EL APOYO A LA EMPRESA MEDIANTE LA PRESTACIÓN DE ASESORAMIENTO JURÍDICO EN RELACIÓN CON LAS DECISIONES DE NEGOCIOS, Y DE MANERA PROACTIVA NOTIFICAR A LA EMPRESA DE LOS CAMBIOS O TENDENCIAS RELEVANTES QUE PUEDEN AFECTAR EL ENTORNO LEGAL QUE LA EMPRESA OPERA DENTRO. ESTOS PROCESOS FRENTE A CUALQUIER ACCIÓN LEGAL EMPRENDIDA EN NOMBRE DE O EN CONTRA DE LA EMPRESA. GESTIONAN TODAS LAS ACTIVIDADES RELACIONADAS CON LA ADMINISTRACIÓN DE LA JUNTA Y DE LA REGULACIÓN DE VALORES. LOS PROCESOS DE GESTIÓN DEL CONSEJO DE ADMINISTRACIÓN JUNTA ACTIVIDADES RELACIONADAS, Y LA COMUNICACIÓN DE LAS DECISIONES DE LA JUNTA EN TODA LA EMPRESA CUANDO SEA NECESARIO. ACCIONES / GESTIÓN DE VALORES GESTIONA TODAS LAS ACTIVIDADES RELACIONADAS CON 180 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 DESCRIPCIÓN VALORES / ACCIONES DE LA EMPRESA Y LOS VALORES / REGLAMENTOS DE LA EMPRESA QUE AFECTAN A LA EMPRESA, INCLUYENDO LA ADMINISTRACIÓN Y GESTIÓN DE LA DIVULGACIÓN / COMUNICADOS A LA BOLSA DE VALORES Y / O DE VALORES / REGULADOR EMPRESA CONTINUA. 3G1 3G2 3G3 3G4 HR POLICIES & PRACTICES ORGANIZATION DEVELOPMENT WORKFORCE STRATEGY WORKFORCE DEVELOPMENT FACILITATE PERFORMANCE APPRAISAL FACILITATE REMUNERATION POLICIES & LEVELS FACILITATE ALLOWANCES & BENEFITS FACILITATE OCCUPATIONAL HEALTH & SAFETY FACILITATE EQUAL EMPLOYMENT OPPORTUNITY FACILITATE COMPENSATION GUIDELINES FACILITATE CODE OF CONDUCT FACILITATE HIRING & TERMINATION GUIDELINES FACILITATE EMPLOYEE SATISFACTION MEASUREMENT & MANAGEMENT N/A DEFINE WORKFORCE STRATEGY REQUIREMENTS CREATE WORKFORCE STRATEGY MANAGE WORKFORCE CHANGE APPLY COMPETENCY MODELING APPLY SKILLS ASSESSMENT APPLY STRENGTH PROFILING APPLY SUCCESSION PLANNING APPLY TRAINING APPLY CAREER DEVELOPMENT APPLY WORK DESIGN INCLUYEN LOS PROCESOS QUE APOYAN LA GESTIÓN DE PERSONAS EN TODA LA EMPRESA, POR EJEMPLO, LA EVALUACIÓN DEL DESEMPEÑO, LAS POLÍTICAS DE REMUNERACIÓN, NIVELES DE REMUNERACIÓN, PRESTACIONES, BENEFICIOS DE SALUD Y SEGURIDAD EN EL TRABAJO, IGUALDAD DE OPORTUNIDADES DE EMPLEO, LAS DIRECTRICES DE COMPENSACIÓN, CÓDIGO DE CONDUCTA DIRECTRICES, CONTRATACIÓN Y DESPIDOS, LA MEDICIÓN SATISFACCIÓN DE LOS EMPLEADOS Y LA GESTIÓN, ETC SON LOS PROCESOS DE APOYO A LA DEFINICIÓN DE LA ORGANIZACIÓN DE LA EMPRESA Y COORDINAR SUS REORGANIZACIONES. ESTOS PROCESOS PUEDEN SOLICITAR LA ORGANIZACIÓN EN GENERAL, PUEDE DEFINIR LA ORGANIZACIÓN DE LAS UNIDADES DE NEGOCIO INDIVIDUALES, O AL MENOS PUEDE GARANTIZAR LA COHERENCIA Y / O GARANTÍA DE APOYO A LOS PROCESOS ESPECÍFICOS QUE DEFINEN LA ORGANIZACIÓN DE LAS UNIDADES DE NEGOCIOS INDIVIDUALES EN OTRO LUGAR DENTRO DE LA EMPRESA. ESTOS PROCESOS IMPULSA ESTRATEGIAS DE LA FUERZA LABORAL DE LA EMPRESA EN GENERAL, INCLUYENDO SU DESARROLLO Y EJECUCIÓN A NIVEL INDIVIDUAL, LA UNIDAD DE NEGOCIO. PROCESOS DE LA ESTRATEGIA WORKFORCE INCLUYEN LA COMPRENSIÓN DE LAS NECESIDADES DEL NEGOCIO Y LA DEFINICIÓN DE LAS COMPETENCIAS Y HABILIDADES NECESARIAS EN LOS RECURSOS HUMANOS. LOS PROCESOS DEFINEN LOS REQUISITOS PARA EL MODELADO DE LA COMPETENCIA, LA APLICACIÓN DE PERFILES, EL DISEÑO GLOBAL CON EL TRABAJO, EL ENFOQUE DE SATISFACCIÓN DE LOS EMPLEADOS, ETC SE CENTRAN EN EL DESARROLLO DE LA FUERZA LABORAL DE LOS EMPLEADOS PARA SATISFACER LAS NECESIDADES DE LA EMPRESA. ESTOS PROCESOS INCLUYEN EL MODELADO DE COMPETENCIAS, EVALUACIÓN DE HABILIDADES, EL TRABAJO Y LOS PERFILES FUERZA EMPLEADO, PLANES DE SUCESIÓN, EL DESARROLLO DE LA CAPACITACIÓN Y LA ENTREGA, EL DESARROLLO PROFESIONAL, EL TRABAJO DE DISEÑO, SELECCIÓN DE PERSONAL, ETC 181 CÓDIGO NOMBRE PROCESO PROCESOS NIVEL 3 DESCRIPCIÓN APPLY EMPLOYEE RECRUITMENT 3G5 EMPLOYEE & LABOR RELATIONS MANAGEMENT SE CENTRAN EN LAS RELACIONES CON LOS EMPLEADOS DE UNA EMPRESA Y EL NIVEL DE GRUPO DE EMPLEADOS. PROCESOS DE RELACIONES LABORALES INCLUYEN DEFINICIONES DE TÉRMINOS DE EMPLEO, EL DESARROLLO CONTRATOS DE TRABAJO, NEGOCIACIONES DE CONTRATOS MANAGE EMPLOYEE SINDICALES, GESTIÓN DE PROCESOS DE RELATIONS ARBITRAJE, ETC RELACIONES LABORALES MANAGE LABOR RELATIONS CUBREN UNA VARIEDAD DE PROCESOS, POR EJEMPLO, LOS PROGRAMAS DE ASESORAMIENTO, INTERFAZ PARA GRUPOS DE EMPLEADOS, PARTICIPACIÓN DE LOS EMPLEADOS EN LA COMUNIDAD Y ORGANIZACIONES BENÉFICAS EN EL NOMBRE DE LA EMPRESA, ETC 182 ANEXO C. [14] COBIT 5 Procesos Evaluar, Orientar y Supervisar (EDM) Asegurar el establecimiento y EDM01 mantenimiento del marco de gobierno Asegurar la entrega de beneficios Asegurar la optimización EDM03 del riesgo Asegurar la optimización EDM04 de los recursos EDM02 EDM05 APO01 Alinear, Planificar y Organizar (APO) APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 OBJETIVO DE CONTROL ISO/IEC 27011 REGULATORY MANAGEMENT AUDIT MANAGEMENT FRAUD MANAGEMENT SM&O SUPPORT READINESS eTOM PROCESS MAPING COBIT 5 & ISO/IEC 27011 BILL INVOICE MANAGEMENT INTEGRACION DE ESTADADES SERVICE CONFIGURATION & ACTIVATION eTOM Procesos 6.1.1 Compromiso de la dirección con la seguridad de la Información N/A 14.1.2 Continuidad de negocio y gestión de riesgos N/A 6.1.1 Compromiso de la dirección con la seguridad de la información 6.1.2 Coordinación de la seguridad de la información 6.1.3 Establecimiento de responsabilidades de la Asegurar la transparencia seguridad de la información hacia las partes 6.1.4 Proceso de autorización de instalaciones interesadas para el tratamiento de la información 6.1.5 Acuerdos de confidencialidad 6.1.6 Contacto con autoridades 6.1.7 Contacto con grupos de interés especiales 6.1.8 Revisión independiente de la seguridad de la información Gestionar el Marco de 6. Organización de seguridad de la información Gestión de TI Gestionar la Estrategia N/A Gestionar la Arquitectura N/A Empresarial Gestionar la Inversión N/A Gestionar Portafolio N/A Gestionar el Presupuesto N/A y Costo Gestionar los Recursos 8. Seguridad de la Información de Recursos Humanos Humanos Gestionar las Relaciones N/A 10.2.1 Provisión de servicios 10.2.2 Supervisión y revisión de los servicios Gestionar los Acuerdos prestados por terceros de Servicios 10.2.3 Gestión del cambio en los servicios prestados por terceros x x x x 183 APO10 Gestionar Proveedores APO11 Gestionar la Calidad APO12 Gestionar el Riesgo BAI01 BAI02 BAI03 BAI04 Construir, Adquirir e Implementar (BAI) BAI05 Gestionar los Programas y Proyectos 6.1.5 Acuerdos de confidencialidad 6.2.1 Identificación de riesgos relacionados con terceros 6.2.3 Tratamiento de la seguridad en contratos con terceros 8.1.2 Investigación de antecedentes 8.1.3 Términos y condiciones de contratación 10.2.3 Gestión del cambio en los servicios prestados por terceros 10.8.2 Acuerdos de intercambio 12.4.2 Protección de datos de prueba del sistema 12.5.5 Externalización del desarrollo de software 15.1.4 Protección de datos y privacidad de la información de carácter personal N/A 13.1.1 Notificación de eventos de seguridad de la información 13.1.2 Notificación de puntos débiles de seguridad 14.1.1 Inclusión de seguridad de la información en el proceso de gestión de la continuidad del negocio 14.1.2 Continuidad del negocio y evaluación de riesgos N/A 10.1.1 Análisis y especificación de los requisitos de seguridad Gestionar la Definición de 10.3.2 Aceptación del sistema Requisitos 11.6.2 Aislamiento de sistemas sensibles 12.1.1 Análisis y especificación de requisitos de seguridad Gestionar la Identificación y la Tratado a lo Largo de esta Norma Construcción de Soluciones Gestionar la Disponibilidad y la 10.3.1 Gestión de la capacidad Capacidad Gestionar la Introducción N/A de Cambios Organizados BAI06 Gestionar los Cambios BAI07 Gestionar la Aceptación del Cambio y de la Transición BAI08 Gestionar el Conocimiento 10.1.2 Gestión de cambios 11.5.4 Uso de las utilidades del sistema 12.5.1 Procedimientos de control de cambios 12.5.3 Restricciones a los cambios en los paquetes de software 12.6.1 Control de las vulnerabilidades técnicas 6.1.4 Proceso de autorización de instalaciones para el tratamiento de la información 8.2.2 Concienciación, formación y capacitación en seguridad de la información 9.1.6 Áreas de acceso público y de carga y descarga 10.1.4 Separación de los recursos de desarrollo, prueba y operación 10.3.2 Aceptación del sistema 12.4.2 Protección de los datos de prueba del sistema 12.4.3 Control de acceso al código fuente de los programas 12.5.1 Procedimientos de control de cambios 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 10.1.1 Documentación de los procedimientos de operación 10.3.2 Aceptación del sistema 10.7.4 Seguridad de la documentación del sistema 13.2.2 Aprendizaje de los incidentes de seguridad de la información x x X x 184 BAI09 Gestionar los Activos BAI10 Gestionar la Configuración Gestionar las Operaciones Gestionar las Peticiones DSS02 y los Incidentes del Servicio DSS01 DSS04 Gestionar la Continuidad Gestionar los Servicios DSS05 de Seguridad Gestionar los Controles DSS06 de los Procesos del Negocio Supervisar, Evaluar y Valorar Entrega, Servicio y Soporte (DSS) DSS03 Gestionar los Problemas Supervisar, Evaluar y MEA01 Valorar Rendimiento y Conformidad 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.2.2 Etiquetado y manipulado de la información 10.7.4 Seguridad de la documentación del sistema 11.4.3 Identificación de los equipos en las redes 12.4.1 Control del software en explotación 12.4.2 Protección de los datos de prueba del sistema 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 12.5.3 Restricciones a los cambios en los paquetes de software 12.6.1 Control de las vulnerabilidades técnicas 15.1.5 Prevención del uso indebido de los recursos de tratamiento de la información 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.2.2 Etiquetado y manipulado de la información 10.7.4 Seguridad de la documentación del sistema 11.4.3 Identificación de los equipos en las redes 12.4.1 Control del software en explotación 12.4.2 Protección de los datos de prueba del sistema 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 12.5.3 Restricciones a los cambios en los paquetes de software 12.6.1 Control de las vulnerabilidades técnicas 15.1.5 Prevención del uso indebido de los recursos de tratamiento de la información x x x 10. Gestión de comunicaciones y operaciones x 13. Gestión de incidentes de seguridad de la información x 13.2.2 Aprendizaje de los incidentes de seguridad de la información 14. Gestión de la continuidad del negocio Tratado a lo Largo de esta Norma 8.2.1 Responsabilidades de la dirección 10.1.3 Segregación de tareas 10.1.4 Separación de los recursos de desarrollo, prueba y operación 10.5.1 Copias de seguridad de la información 10.6.1 Controles de red 10.7.3 Procedimientos de manipulación de la información 10.8.3 Soportes físicos en tránsito 10.8.4 Mensajería electrónica 12.4.2 Protección de los datos de prueba del sistema 12.4.3 Control de acceso al código fuente de los programas 10.10.2 Supervisión del uso del sistema 5.1.2 Revisión de la política de seguridad de la información 6.1.8 Revisión independiente de la seguridad de la información 10.10.2 Supervisión del uso del sistema x x 185 Supervisar, Evaluar y MEA02 Valorar el Sistemas de Control Interno 5.1.1 Documento de política de seguridad de la información 5.1.2 Revisión de la política de seguridad de la información 6.1.8 Revisión independiente de la seguridad de la información 6.2.3 Tratamiento de la seguridad en contratos con terceros 10.2.2 Supervisión y revisión de los servicios prestados por terceros 10.10.2 Supervisión del uso del sistema 10.10.4 Registros de administración y operación 15.2.1 Cumplimiento de políticas y normas de seguridad 15.2.2 Comprobación del cumplimiento técnico 15.3.1 Controles de auditoría de los sistemas de información Supervisar, Evaluar y Valorar la Conformidad MEA03 con los Requerimientos Externos 6.1.6 Contacto con las autoridades 15.1.1 Identificación de la legislación aplicable 15.1.2 Derechos de propiedad intelectual (IPR) 15.1.4 Protección de datos y privacidad de la información de carácter personal x x x 186 ANEXO D. [14] SERVICE CONFIGURATION & ACTIVATION SERVICE Nombre del Proceso: Área de eTOM: Operaciones Identificador del Proceso 2Bb CONFIGURATION & ACTIVATION Descripción del Proceso Abarca la asignación, implementación, configuración, activación y pruebas de servicios específicos que reúnen requerimientos de cliente o en respuesta requerimientos de otros procesos para solventar problemas de capacidad, caídas de servicio, reclamos o condiciones de falla. Las responsabilidades de este proceso incluye pero no se limita a: Verificar si los diseños de servicios específicos solicitados por clientes son técnicamente factibles. Asignación de parámetros específicos de servicio adecuados para otros procesos de la TELCO u servicios personalizados requeridos por clientes. Reserva de parámetros específicos de servicio (si es requerido por las reglas del negocio) por un determinado periodo de tiempo hasta que la orden de servicio del cliente sea confirmada, o hasta que el periodo de reservación expire. Implementar, configurar y activar servicios específicos de acuerdo a requerimientos de negocio. Probar los servicios específicos para asegurar que el servicio está trabajando correctamente. Recuperación de disponibilidad de servicio en caso de fallos. Actualización de la base de datos del servicio reflejando los cambios, asignaciones y modificaciones realizadas. Asignación y seguimiento de actividades de aprovisionamiento de servicios. Reportes de progreso de órdenes de servicio a otros procesos. · · · · · · · · · Procesos de Nivel 3 eTOM: Descripción del Proceso: Desarrollo de inicio a fin de Design Solutions. diseño de servicios específicos que cumplan los requerimientos del cliente. Se realiza el diseño cuando un cliente requiere un inusual o especial requerimiento en su servicio, el cual no es factible hacerlo con los procedimientos estándar. Allocate Specific Service Parameters to Services. Es requerido por una orden de servicio en respuesta a una orden de cliente confirmada, este proceso es responsable de la asignación de parámetros de servicio específicos requerido para satisfacer el inicio de la orden de servicio. Aseguran que las actividades de aprovisionamiento del servicio sean asignadas, gestionadas y controladas eficientemente, incluye: Track & Manage Service Provisioning. · · · · Implement, Configure Activate Service & Las responsabilidades de este proceso incluye pero no se limita a: Agendar, asignar y controlar las actividades relacionadas con el aprovisionamiento del servicio. Generar las órdenes de recursos necesarios para cubrir las necesidades de las órdenes de servicio. Escalamiento de estado de las órdenes de servicio de acuerdo con la política establecida, llevando a cabo el seguimiento necesario de la ejecución del proceso. Se encarga de implementar, configurar y activar los servicios específicos asignados dados en una orden de servicio, implica evaluar y planificar el despliegue a llevarse a cabo para la implementación, configuración y activación del servicio. Test Service End-to-End 187 Se realizan pruebas del servicio para asegurar que todos los componentes están operativos con los parámetros normales y que el servicio está funcionando de acuerdo a los parámetros de performance acordados. Report Service Provisioning Monitorea el estado de las órdenes, provee notificaciones de todos cambios y genera reportes gerenciales de productividad. Actividades Guías de Implementación enfocado a la Seguridad de la Información d) Se deben definir los controles de seguridad a cumplir para cada entrega de servicio estándar de la TELCO y en caso de entregas de servicio personalizado, se debe determinar si hay controles de seguridad adicionales que se deben cumplir. e) Se debe monitorear por medio de reportes que los controles de seguridad establecidos para cada servicio se cumplan de acuerdo a lo establecido, para el efecto se requiere: · · · f) 1.- Asegurar que se definen, Reportes de incidencias y problemas de seguridad de la información referentes a cada servicio. Monitorear el cumplimiento de los acuerdos de nivel de servicio. Revisión en plataforma técnica de eventos de error y alertas que pudieren estar generando fallos, micro cortes o problemas operacionales. Todo cambio o modificación que se deba realizar con el propósito de realizar activaciones de nuevos servicios, debe ser debidamente gestionado de acuerdo a la criticidad de los servicios y la plataforma tecnológica que estará sujeta a cambios, estos cambios pueden incluir: implementan y mantienen los controles de seguridad durante · y después de la configuración · · · · · · · y activación del servicio. b) Cambios hechos por la organización para implementar mejoras en el actual servicio. Desarrollo de nueva aplicación a nivel de sistemas de información. Nuevos controles para resolver incidentes o problemas de GSI. Incrementos de capacidad técnica de redes de servicio. Uso de nuevas tecnologías. Aplicación de nuevos firmwares en plataformas tecnológicas. Cambios físicos de equipos. Cambios de proveedor de plataformas tecnológicas. El uso de los recursos de plataformas tecnológicas que intervienen en la configuración y activación de servicios, se debe monitorear y optimizar, así como se debe también proyectar el uso de los mismos en función de las tendencias de uso y tomar acciones proactivas con otras áreas para asegurar que en todo momento estén disponibles y asignados los recursos técnicos necesarios. Supervisar y revisar la disponibilidad y la capacidad. · · · 2.- Gestionar la disponibilidad de los recursos necesarios para la configuración Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad. y activación de los servicios de la TELCO. Supervisar, medir, analizar, informar y revisar la disponibilidad, el rendimiento y la capacidad. Identificar desviaciones respecto a la línea base establecida. Revisar informes de análisis de tendencias identificando cualquier cuestión y variación significativa, iniciando acciones donde sea necesario y asegurando que se realiza el seguimiento de todas las cuestiones pendientes. · Abordar las desviaciones investigando y resolviendo las cuestiones identificadas relativas a disponibilidad, rendimiento y capacidad. Planificar para requisitos de servicios nuevos o modificados. 188 · b) Planificar y priorizar las implicaciones en la disponibilidad, el rendimiento y la capacidad de cambios en las necesidades de la TELCO y en los requerimientos de servicio. Los cambios a nivel de plataformas tecnológicas y/o sistemas de información requeridos para la configuración y activación de servicios tiene que ser debidamente controlada, tomando e cuanta los siguientes aspectos: Evaluar, priorizar y autorizar peticiones de cambio. · · Evaluar todas las peticiones de cambio para determinar su impacto en los procesos de negocio y los servicios TI, y analizar si el cambio afectará negativamente al entorno operativo e introducirá un riesgo inaceptable. Asegurar que los cambios son registrados, priorizados, categorizados, analizados, autorizados, planificados y programados. Gestionar cambios de emergencia. 3.- Garantizar que los cambios que se realizan para hacer configuraciones y activaciones · de servicios, sean rápidos y fiables, a la vez que se mitiga · cualquier riesgo que impacte negativamente la estabilidad e Gestionar cuidadosamente los cambios de emergencia para minimizar futuras incidencias y asegurar que el cambio está controlado y se realiza de forma segura. Verificar que los cambios de emergencia son evaluados debidamente y autorizados de una vez hecho el cambio. Hacer seguimiento e informar de cambios de estado. integridad del entorno en que se aplica el cambio. · Mantener un sistema de seguimiento e informe que documente los cambios rechazados, comunique el estado de cambios aprobados y en proceso y de cambios completados. · Asegurar que los cambios aprobados son implementados como esté previsto Cerrar y documentar los cambios. · e) Siempre que el cambio haya sido implementado, actualizar, de manera consecuente, la documentación de la solución y del servicio, así como los procedimientos a los que afecta el cambio. Toda la información y los elementos de las plataformas tecnológicas de servicio y los sistemas de información deben tener asociado un responsable que pertenezca a la TELCO, para los recursos tecnológicos de responsabilidad compartida especialmente entre Sistemas de Información y Plataformas tecnológicas de servicio se especificarán las responsabilidades de cada área. · Asegurar que toda la información de los activos tecnológicos que se usan para la configuración y activación del servicio esté apropiadamente clasificada. · Definir revisiones periódicas a cargo de los respectivos responsables de los controles de acceso y la aplicación de las políticas de control de seguridad establecidas. La propiedad o responsabilidad puede ser asignada a: o o o o Proceso de negocio. Un definido conjunto de actividades. Una aplicación. Información. 189 o · Plataformas tecnológicas de servicio o dispositivos que cumplen una función. En el caso específico de las TELCO es recomendable asignar soluciones completas que cumplen una función por ejemplo: Plataforma de prepago de telefonía Movil, que puede incluir, el proceso, la información, los dispositivos, plataformas tecnológicas de servicio, servidores, recurso humano y sistemas de aprovisionamiento. 4.- Gestionar adecuadamente la definición de los recursos f) Establecer y mantener un modelo lógico de la toda la infraestructura de la TELCO, segregado por soluciones, registrar los elementos de configuración y las relaciones entre ellos. Incluyendo los elementos de configuración considerados necesarios para gestionar eficazmente los servicios y proporcionar una sola descripción fiable de los activos en un servicio. g) La información de configuraciones y activaciones tiene que estar protegida de accesos no autorizados. Específicamente en el ámbito de las TELCO esta información forma parte de los Sistemas de Gestión de plataformas que son varios en función de la solución y del proveedor, por ende la protección de información se implementa con una política adecuada de gestión de contraseñas y controles de accesos no autorizados. tecnológicos que intervienen en la configuración y activación de los servicios que proporciona la TELCO. Revisar periódicamente el repositorio de configuración y verificar la integridad y exactitud con respecto al objetivo deseado. h) Al ser las plataformas tecnológicas de servicio y los sistemas de aprovisionamiento, accedidas desde diferentes áreas funcionales, se deben establecer los roles y permisos adecuados en función de las necesidades de cada uno, los cambios en estos roles y permisos tienen que ser estrictamente controlados. Definir y elaborar informes de configuración sobre cambios en el estado de los elementos de configuración. FRAUD MANAGEMENT Nombre del Proceso: FRAUD Área de eTOM: Operaciones MANAGEMENT Identificador del Proceso 3B3 Descripción del Proceso La Gestión del Fraude aborda los aspectos de fuentes internas y externas de violaciones a la seguridad de la Información. Estos procesos interactúan sensiblemente con la Auditoria y comparten elementos en común; poseen, asimismo, elementos específicos de comunicaciones y servicios de información. Los procesos de la Gestión del Fraude son ejecutados en diversos niveles de la empresa. Procesos de Nivel 3 eTOM: Descripción del Proceso: El objetivo de la Política de Gestión del Fraude, es gestionar y mantener todas las políticas para llevar a cabo un exitoso programa de control del fraude en la TELCO. Fraud Policy Management. Dependiendo de los productos que se ofrecen, la condición geográfica en que se entrega el servicio a los suscriptores, la infraestructura interna, los presupuestos y otros factores. Prácticas y procesos para detección, investigación, capacitación, herramientas y comprobaciones de fraude, están contempladas dentro de la Política de Gestión del Fraude. Fraud Operations Support 190 La prevención del Fraude en las operaciones tiene un rol primario del proceso de Gestión del Fraude de la TELCO. El objetivo es habilitar la detección del fraude sobre la marcha de las operaciones, su investigación, monitoreo, registro de medidas aplicadas y resultados obtenidos. Actividades Guías de Implementación enfocado a la Seguridad de la Información 1.- Implementar la segregación La segregación de funciones con el criterio adecuado reduce el riesgo de mal uso, de funciones en los procesos accidental o deliberado de los recursos de la TELCO y por ende reduce la posibilidad de negocio para evitar el de perpetrar fraude en áreas de responsabilidad única sin ser detectada, por ello: Fraude. a) b) 2.- Identificar casos de Fraude, Se debe identificar las funciones en la TELCO, en las que por su naturaleza sea factible cometer Fraude y separarlas de tal forma que se implemente un control mutuo entre las funciones o áreas separadas. Si a pesar de la segregación de funciones existe el riesgo de conspiración en determinados procesos, se debe definir el procedimiento de control y la frecuencia de revisión para que Auditoría lo tenga presente. Los siguientes controles se aplican a todos los servicios de la TELCO: por medio de la Gestión de Capacidad y soluciones a) TELCO Antifraude. b) c) d) 3.- Establecer e implementar políticas de Se debe monitorear las tendencias de uso de capacidad de las plataformas de Telecomunicaciones y establecer alarmas en caso disminuciones abruptas de capacidad, se recomienda la automatización de esta función. En caso de cambios de tendencia de uso de capacidad se deben abrir casos de investigación de posible fraude. Los casos de posible fraude debe contrastar el uso de la capacidad de los recursos tecnológicos, con las ventas y la facturación. Si se detecta un caso de Fraude, se lo debe exponer en el ISSC, donde se establecerán las prioridades y acciones para solventar el caso. a) Conformar y capacitar un equipo técnico especializado en gestión de Incidentes de Seguridad en Plataformas Tecnológicas de Servicio y Tecnologías de Información, para atender los casos comprobados de Fraude. b) Formar parte de un CSIRT de Telecomunicaciones de primer nivel, para intercambiar Información y mantenerse a la vanguardia de herramientas de identificación y mitigación de Fraude en las TELCO. escalamiento técnico especializado en caso de problemas complejos de Fraude en Plataformas Tecnológicas Telecomunicaciones Sistemas de Información. de o 191 AUDIT MANAGEMENT Nombre del Proceso: AUDIT Área de eTOM: Operaciones MANAGEMENT Identificador del Proceso 3B4 Descripción del Proceso Este proceso asegura a la alta dirección de la empresa que los procesos operativos y controles son efectivamente realizados acorde a lo establecido. Audit Management puede ser gestionado por una organización externa independiente o por un grupo interno de la organización, pero en cualquier caso, el objetivo es ayudar a la alta dirección. El Rol de Auditoria puede mencionar recomendaciones preventivas, pero en general su acción es reactiva. Se evalúan las actividades operativas para asegurar los controles y la correcta estructura organizacional, se provee una visión amplia de los procedimientos que están siendo revisados. Los procesos de auditoria aseguran que los reportes relacionados con el cumplimiento y la capacidad que se provee a la alta gerencia sean los apropiados y son entregados en un tiempo definido. Los procesos de auditoria definen cuando un procedimiento de auditoria debe ser aplicado en función de las circunstancias, así como la metodología de evaluación y las valoraciones posibles. Procesos de Nivel 3 eTOM: Define Audit Policy Define Audit Mechanims Descripción del Proceso: Define los la Política de Auditoría y procedimientos. Define la manera que la auditoria debe ser usada en dependencia de las circunstancias, así como la evaluación del riesgo y la metodología de evaluación y valoración. Identifica, prioriza y gestiona el programa de auditoria. Assess Operatonal Activities Evalúa las actividades operativas para asegurar que las estructuras impuestas o necesarias están en su lugar. Evaluate Operational Activities Proveen una estimación de la medida en que los procedimientos se siguen y son eficaces. Apply Audit Mechanisms Usa mecanismos proactivos de auditoria para desarrollar metodologías de evaluación Proactively. de riesgos y sistemas de valoración y sugiere a los grupos operaciones quienes son los Actividades Guías de Implementación enfocado a la Seguridad de la Información responsables de los procesos operativos. a) 1.- Establecer la estrategia de En base a la Política de la GSI, la implementación de la misma debe ser revisada de forma independiente para garantizar que las prácticas en la TELCO reflejen adecuadamente la aplicación de las Políticas de GSI establecidas. Esta revisión puede ser llevada a cabo por la función de auditoría de la TELCO, pero externa a la GSI, por un gerente independiente especializado en revisiones de esta índole. Esta función auditora puede ser también un ente externo especializado. · Esta revisión tiene que ser realizada periódicamente, bajo demanda, en caso de un requerimiento de la alta gerencia o cuando han ocurridos cambios significativos en la GSI. · Estas revisiones buscan asegurar la continua idoneidad y efectividad en la implementación de la GSI, la revisión puede contemplar el aprovechar oportunidades y/o la necesidad de cambios en el enfoque de la GSI, incluso las políticas y los controles. · Informar a los líderes y obtener su apoyo, su aceptación y su compromiso. revisiones independientes de la implantación de la GSI. 192 · a) Guiar las estructuras, procesos y prácticas para la GSI en línea con los principios, modelos para la toma de decisiones y niveles de autoridad y control (incluye auditorias) diseñados. Se debe identificar los funcionarios, proveedores o entes externos que por su interacción con la TELCO, manejan información sensible para la organización, evaluar y definir si amerita generar un acuerdo de confidencialidad y los términos específicos de acuerdo al tipo de información sensible que se maneje. La función auditora de la organización debe contar con el apoyo de la Gestión de Recursos Humanos o cualquier otra unidad funcional de la organización para llevar a cabo esta labor. b) Los acuerdos de confidencialidad y no divulgación de la información deben reflejar las necesidades de protección de la organización y deben ser regularmente revisadas, para el efecto se debe considerar: · · 2.- Celebrar los acuerdos de confidencialidad términos en requeridos los · · para asegurar la confidencialidad de · la información de la TELCO. · · · La definición de la información a ser protegida. Duración del acuerdo, incluido los casos donde la confidencialidad puede ser necesaria mantenerla de forma indefinida. Acciones requeridas cuando el acuerdo finaliza. Responsabilidades y acciones de las partes para evitar divulgación no autorizada de información. Propiedad de la información, secretos comerciales y propiedad intelectual y como estos protegen la confidencialidad de la información. Procesos de notificación y reporte divulgación no autorizada de información confidencial. Términos para la información que tiene que ser retornada o destruida al final del acuerdo. Acciones y penalización que serán tomadas en caso de no cumplimiento del acuerdo de confidencialidad. REGULATORY MANAGEMENT Nombre del Proceso: REGULATORY Área de eTOM: Operaciones MANAGEMENT Identificador del Proceso 3F4 Descripción del Proceso Aseguran que la empresa cumple con todas las regulaciones existentes de gobierno. Además, este proceso es responsable de legalmente influir en regulaciones pendientes y estatutos en beneficio de la empresa e informar a la empresa de las consecuencias potenciales de no cumplir con la legislación o regulaciones. Procesos de Nivel 3 eTOM: Ensure Regulatory Compliance Handle Pending Regulations Descripción del Proceso: Es el responsable de asegurar que la empresa cumpla con todas las regulaciones gubernamentales existentes. Responsable de legalmente influenciar para que las regulaciones pendientes de aplicar se cumplan, para beneficio de la TELCO. Informa oportunamente las consecuencias de no acatar las regulaciones gubernamentales. File Trariffs Actividades Establece las tarifas de los servicios de la TELCO. Guías de Implementación enfocado a la Seguridad de la Información 193 a) 1. Definición de aspectos Todos los estatutos, regulaciones y requerimientos contractuales que debe cumplir obligatoriamente la TELCO, deben ser explícitamente definidos, documentados y actualizados, esto incluye pero no se limita a los siguientes: inherentes a la Gestión de la · · Regulación. · · · · 2. Establecer Contratos de Concesiones de espectro radioeléctrico. Regulaciones establecidas por la SENATEL, respecto a las licencias de los servicios de telecomunicaciones que se provee y normas de implementación. Convenios de Intercambio de tráfico con otras TELCOS, nacionales o Internacionales. Tarifas, calidad y cobertura de Servicios. Requerimientos de Interoperabilidad y portabilidad. Régimen tributario. a) Se deben implementar los procedimientos y responsables apropiados para asegurar el continuo cumplimiento de leyes, regulaciones y requerimientos contractuales en la TELCO. b) La organización debe asegurar disponer de la capacidad suficiente de recursos tecnológicos, para asegurar la continuidad del servicio y cumplir los acuerdos mínimos de servicio y cobertura en caso de fallos graves o desastres naturales. c) Cuando se recibe un requerimiento de información de un ente externo para evaluaciones de cumplimiento, se debe definir y aplicar un procedimiento de validación para determinar que la petición está hecha a través del legítimo proceso o procedimiento, de acuerdo a las leyes gubernamentales establecidas. a) La política de seguridad de la información, respecto a temas de cumplimiento de un marco regulatorio tiene que ser revisada y actualizada de forma constante para evaluar si es idónea y efectiva respecto a las modificaciones realizadas en el marco regulatorio vigente. los procedimientos para cumplir fielmente los requerimientos de cumplimiento de la Gestión de las Regulaciones. El dueño del proceso de Gestión de las Regulaciones, es el responsable de los enunciados de la política de seguridad respecto a temas de cumplimiento, el mismo que debe coordinar con el ISM para la actualización y difusión de la política de seguridad de la información, en caso de modificaciones relacionadas con cumplimiento del marco regulatorio. 3. Validar constantemente la Información de Entrada: política de GSI respecto a temas de cumplimiento. · · · · · Feedback de partes o unidades funcionales interesadas. Alertas y sugerencias generadas por auditorías internas y externas. Modificaciones contractuales, de regulación o condiciones legales recientes. Reportes de sanciones de la SUPERTEL hacia otras TELCO ecuatorianas. Recomendaciones recibidas de autoridades relevantes de la TELCO. Información de Salida: · · Modificaciones en la política de seguridad de la Información respecto a cumplimiento. Mejoras en la asignación de recursos y responsabilidades. 194 BILL INVOICE MANAGEMENT Nombre del Proceso: BILL INVOICE MANAGEMENT Área de eTOM: Operaciones Identificador del Proceso 2Ad(1) Descripción del Proceso: Asegura que las facturas sean creadas de forma física y/o electrónica y que sean distribuidas a los clientes, procura que se apliquen los impuestos, descuentos, ajustes y créditos adecuados a los productos y servicios que se entregan a los clientes. Bill Invoice Management es responsable de: · · · · · Establecer y aplicar los impuestos y gravámenes a los servicios prestados a los clientes. Aplicar Ajustes (Reglamentos de Gobiernos). Creación de Facturas, incluyendo todos los ajustes, rebajas, descuentos, créditos, etc. Producir y distribuir las Facturas de forma Física o Electrónico a los clientes en base al ciclo de facturación. Proveer los recursos físicos asociados con la producción de facturas. Procesos de Nivel 3 Descripción del Proceso: eTOM: Apply Pricing, Asegura que las facturas sean el reflejo de todos los acuerdos comerciales y ajustes establecidos Discounting, Adjustments & Rebates entre el cliente y el proveedor del servicio. Create Customer Bill Se encarga de todo lo inherente para lograr que la facturación sea oportuna y precisa de acuerdo Invoice. a los ciclos de facturación de los productos y los cargos finales aplicados al cliente. Produce & Distribute Bill Este proceso es responsable de todas las actividades para lograr que las facturas físicas sean entregadas a los clientes. Actividades Guías de Implementación enfocado a la Seguridad de la Información a) El registro de actividades de usuario, los errores y los eventos de seguridad en los sistemas que involucra el proceso de facturación deben ser generados y almacenados durante el tiempo que el órgano regulador de las telecomunicaciones lo establezca. Los 1. Asegurar que TI supervisa activamente aspectos de seguridad de la información de la infraestructura de TI, tales como configuración, operaciones, acceso y uso. logs · · · · · · · · · · · de auditoria deben incluir la siguiente información: Id de Usuario. Fechas, número de accesos y categorización de eventos. Identificación de terminal desde cual se accedió. Registros de accesos fallidos y exitosos a los sistemas. Cambios en configuración de los sistemas. Uso de privilegios. Uso de utilidades y aplicaciones. Archivos accesados y tipos de archivos. Protocolos de red y direcciones de acceso. Alarmas activadas en sistemas de control de acceso. Eventos de activación y desactivación de herramientas de protección de sistemas, como antivirus y sistemas de protección de Intrusos. 195 a) Los eventos de seguridad en el proceso deben ser reportados a través de un procedimiento definido ágil, de tal forma que se puede incluir en el caso reportado información detallada del posible evento de seguridad en el proceso. b) Se debe establecer un punto de contacto para reportar los eventos de seguridad de la información en el proceso y un procedimiento formal de reporte de eventos de seguridad, así como procedimientos para responder el mismo o escalarlo, el punto de contacto debe ser conocido por toda la organización y debe estar siempre disponible y dotado de recursos para actuar de forma inmediata. El procedimiento de reporte de eventos debe incluir: · · 2. Implementar un procedimiento formal de resolución de incidentes y mantener de un procedimiento recogida de evidencias en línea con las normas forenses locales. · Retroalimentación para asegurar que los eventos son notificados, gestionados y cerrados. Los formularios de reportes de eventos de seguridad en el proceso de preferencia deben ser automatizados y deben permitir ingresar toda la información relacionada el evento de seguridad. El correcto comportamiento del reporte de un evento de seguridad en el proceso incluye: o o Anotar todos los detalles importantes por ejemplo, no cumplimientos, brechas, funcionamiento sospechoso de funcionalidades de sistemas, plataformas de gestión y aprovisionamientos, captura de mensajes en pantalla, logs generados. No tomar acción alguna para corregir el evento de seguridad, pero si reportarlo de forma inmediata. c) Referenciar un procedimiento de sanciones disciplinarias aplicables en caso de cometimiento de violaciones de seguridad de la Información. d) El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, siempre debe reportarse como un evento en la seguridad de la información. Como ejemplos de incidentes de seguridad en el contexto del proceso de facturación se tiene: · · · a) 3. Determinar los requerimientos externos de cumplimiento que deben satisfacerse (incluyendo legales, regulatorios, de privacidad y b) contractuales). Modificaciones no autorizadas sobre registros de facturas ya generadas en un ciclo de facturación. Omisiones intencionales de aplicación de cargos en productos y/o servicios brindados por la TELCO. No cumplimiento de todos los procedimientos y protocoles de operación. Se debe definir de forma explícita, documentar y actualizar todos los requerimientos establecidos: · · · Por ente regulador de la Industria respecto a la facturación de servicios de Telecomunicaciones. Impuesto y/o cargos a servicios de Telecomunicaciones. Cláusulas contractuales con los clientes. Se debe definir e implementar una política de protección y privacidad de los datos de los clientes, esta política debe ser comunicada a todas las personas involucradas en el procesamiento de la información. El cumplimiento de esta política requiere una apropiada estructura y control gerencial, se recomienda asignar formalmente esta responsabilidad al dueño del proceso de Facturación el cual debe generar lineamientos para su cumplimiento. 196 SM&O SUPPORT READINESS Nombre del Proceso: SM&O SUPPORT READINESS Área de eTOM: Operaciones Identificador del Proceso 2Ba Descripción del Proceso: Service Management & Operation Support Readiness, Gestiona la Infraestructura de los servicios de Telecomunicaciones, asegura que la capacidad adecuada del servicio esté disponible y lista, tiene que garantizar al proceso de facturación, que los servicios que se cobran son los servicios que los clientes realmente tienen contratado, en cuanto a capacidades de uso, comparticiones y parámetros de performance. Este proceso · · · · · · incluye pero no se limita a: Dar soporte a la operación cuando se instala nueva infraestructura tecnológica o se modifica la existente para incrementar la capacidad de brindar servicios. Gestión y aseguramiento de la calidad del servicio de inventario. Aplicación de reglas de capacidad dentro del ciclo de vida de la infraestructura. Analizar la disponibilidad y la calidad de los servicios de la infraestructura tecnológica, incluyendo análisis de tendencias y pronósticos. Asegurar la capacidad operacional de los procesos de gestión de operación de los servicios. Mantener los registros definidos de rating y tarifas de todos los servicios. Procesos de Nivel 3 Descripción del Proceso: eTOM: Gestiona y administra el inventario de los servicios de la TELCO y su coherencia con las bases de datos del inventario, se encarga del monitoreo y hacer reportes y control del uso y el acceso de los inventarios de servicios y de la calidad de los datos. Manage Inventory. Service Enable Configuration Activation. Service Planea y despliega la infraestructura del servicio, asegura la disponibilidad de toda la and infraestructura para realizar el proceso de activación y configuración del servicio. Suppor t Service Colabora con el proceso de gestión de problemas para proactivamente analizar estadísticas, se Problem Management. generen actividades proactivas de mantenimiento programados de la infraestructura. Support Service Quality Realiza un monitoreo y evaluación del performance de la infraestructura de servicios, monitoreo, Management. gestiona y reporta las capacidades al proceso de gestión de Calidad. Support especific Rating. Actividades Service Asegura que el rating (unidades del producto y unidades de costo), y la información de tarifas instance es mantenida para cada clase de servicio, para el servicio en general o para servicios combinados. Guías de Implementación enfocado a la Seguridad de la Información a) 1. Controlar el inventario de dispositivos de b) Telecomunicaciones. c) Todos los dispositivos que conforman la infraestructura tecnológica necesaria para proveer los servicios de telecomunicaciones a los clientes, tienen que ser inventariados, definir una configuración base de acuerdo al dispositivo y hacer referencia a la funcionalidad en el negocio, ubicación, conexiones con terceros, capacidad utilizada ,esto aplica para equipos de la red Core y de Acceso, al ser los dispositivos de diferentes marcas, su inventario debería ser llevado en un módulo automatizado dentro del OSS. Los dispositivos que componen la infraestructura, deben ser clasificados en términos de su funcionalidad, valor para el negocio, requerimientos legales, y nivel de criticidad para la organización, con el objetivo de identificar los dispositivos que necesitan ser protegidos de forma especial. Todos los movimientos, traslados, cambios de funcionalidad o cualquier tipo de actualización de los dispositivos tienen que generar un registro histórico accesible. 197 a) En lo posible, se deben usar las versiones de software base de los dispositivos de telecomunicaciones originales suministrados por los vendedores sin modificaciones, así como los sistemas de gestión de las plataformas. En caso de ser necesaria y posible la modificación de un software base de un dispositivo, se debe considerar: · · 2. Establecer un procedimiento para el control de las modificaciones de software base de los dispositivos y sistemas de gestión de plataformas de Telecomunicaciones. · · · · · · a) b) 3. Gestionar las vulnerabilidades técnicas de los dispositivos y sistemas de gestión de plataformas. Si se debiera obtener el consentimiento del vendedor. La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del software estándar. El impacto de si como resultado de los cambios, la organización se hace responsable del mantenimiento futuro del software base. Si son necesarios cambios, se debiera mantener el software original y se debieran aplicar los cambios en una copia claramente identificada. Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la-fecha y las actualizaciones de la aplicación se instalen para todo software autorizado. Todos los cambios deben ser completamente probados y documentados, de manera que puedan ser reaplicados, si fuese necesario, a las futuras actualizaciones del software. Si fuese requerido, las modificaciones deben ser probadas y validadas por un organismo de evaluación independiente. El riesgo de comprometer los controles incorporados y los procesos de integridad. Se debe obtener oportunamente la información sobre las vulnerabilidades técnicas de todos los dispositivos que forman parte de la infraestructura que provee los servicios de Telecomunicaciones. · El inventario completo de los dispositivos es un prerrequisito para la gestión efectiva de la vulnerabilidad técnica. · La información específica necesaria para apoyar la gestión de la vulnerabilidad técnica incluye al proveedor del dispositivo y su plataforma de gestión, versiones del software base del dispositivo y la plataforma de gestión, estado actual de uso, y las personas responsables de los dispositivos dentro de la organización. Se debe tomar la acción apropiada y oportuna en respuesta a la identificación de vulnerabilidades técnicas potenciales a cargo del responsable del proceso. Se debe seguir el siguiente lineamiento para establecer un proceso de gestión efectivo para las vulnerabilidades técnicas: · La organización debe definir y establecer los roles y responsabilidades asociadas con la gestión de la vulnerabilidad técnica; incluyendo el monitoreo de la vulnerabilidad, evaluación del riesgo de la vulnerabilidad, monitoreo de dispositivos y cualquier responsabilidad de coordinación requerida. · Se debe identificar los recursos de información que se utilizarán para identificar las vulnerabilidades técnicas relevantes y mantener la conciencia sobre ellas para los dispositivos y otras tecnologías, se debe definir una línea de tiempo para reaccionar a las notificaciones de vulnerabilidades técnicas potencialmente relevantes. · Una vez que se identifica la vulnerabilidad técnica potencial, la organización debe identificar los riesgos asociados y las acciones a tomarse; dicha acción puede implicar aplicar parches al software base de dispositivos o sistemas de gestión de plataformas vulnerables y/o la aplicación de otros controles. · Dependiendo de la criticidad con que se necesita tratar la vulnerabilidad técnica, la acción a tomarse debe realizarse de acuerdo a los controles relacionados con la gestión de cambios o siguiendo los procedimientos de respuesta ante incidentes de seguridad de la información definidos. · · Si es posible aplicar un parche, se debe evaluar los riesgos asociados con la aplicación del mismo, en este punto es importante comparar los riesgos impuestos por la vulnerabilidad con el riesgo de aplicar el parche a los dispositivos o sistemas de gestión. · Los parches se deben probar y evaluar en un ambiente controlado antes de aplicarlos para asegurar que que solventen la vulnerabilidad y no desencadenen 198 efectos secundarios no tolerables; si el parche no está disponible, se pueden considerar otros controles: o o o o o o · a) El correcto funcionamiento del proceso de gestión de la vulnerabilidad técnica aplicado a la infraestructura que provee los servicios a los clientes es crítica para evitar el fraude por tanto, debe ser monitoreado regularmente. En plataformas de Telecomunicaciones en producción los cambios deben estar sujetos a un estricto control, los siguientes ítems deben ser considerados: · · · 4. Asegurar que se realiza una evaluación del impacto potencial de los cambios en seguridad de la información. Desconectar los servicios o capacidades relacionadas con la vulnerabilidad. Adaptar o agregar controles de acceso. Mayor monitoreo para detectar o evitar ataques reales. Elevar la conciencia acerca de la vulnerabilidad. Mantener un registro de auditoría de todos los procedimientos realizados; el proceso de gestión de vulnerabilidad técnica debiera ser monitoreado y Evaluado regularmente para asegurar su efectividad y eficacia; se debieran tratar primero los sistemas en alto riesgo. · · · · · · Identificación y registro de los cambios significativos realizados. Planeación y pruebas de los cambios en ambiente controlado. Evaluación de impactos funcionales y de seguridad respecto a los cambios a realizar. Comunicar de los detalles del cambio a todas las personas técnicamente relacionadas al cambio. Establecer procedimientos detallados incluyendo responsabilidades para deshacer el cambio en caso de que el cambio no sea exitoso. En dependencia de la criticidad del cambio es recomendable solicitar acompañamiento a personal de soporte de plataformas propietarias. Si los cambios implican movimientos, reasignaciones, repotenciación, cambios de funcionalidad sobre los dispositivos, el inventario debe ser correctamente actualizado. Siempre que el cambio haya sido implementado, actualizar, de manera consecuente, la documentación de configuración, así como los procedimientos a los que afecta el cambio. Se tiene generar y mantener un log detallado de los cambios realizados y mantenido por un tiempo adecuado para posibles auditorias. 199 ANEXO E. [14] Descripción 4.4.1 PERIODO DE EVALUCION. 4.3.2 CONTABILIZACION DE METRICAS. 4.3.3 EVALUACION. Definir el período de evaluación de la Madurez de la GSI y la escala cuantitativa de valores para todos los indicadores. Implantar formalmente el procedimiento de contabilización de indicadores. Evaluación de resultados, correctivos y prioridades. Roles CEO CISO BPO CTO ISM AM R A C I Chief executive Officer Chief Informaion Officer Business Process Owner Chief Technological Officer Information Security Manager Audit Management Funciones Responsable de hacerlo A quien se reporta A quién se le consulta y provee información A quien se le informa CEO CISO BPO CTO ISM AM I A C R I I A C R I I A C R C C 200 ANEXO F. [14] NOMBRE DEL PROCESO NIVEL DE RIESGO BILL INVOICE MANAGEMENT ALTA A V I C D IMPACTO PROBABILIDAD RIESGO A1 V1 1 1 1 3 1 3 A1 V2 1 1 1 3 1 3 A1 V3 1 1 1 3 1 3 A1 V4 1 1 1 3 1 3 A1 V5 1 1 1 3 1 3 A1 V6 1 1 1 3 1 3 A2 V1 1 1 1 3 1 3 A2 V2 1 1 1 3 1 3 A2 V3 1 1 1 3 1 3 A2 V4 1 1 1 3 1 3 A2 V5 1 1 1 3 1 3 A2 V6 1 1 1 3 1 3 A3 V1 1 1 1 3 1 3 A3 V2 1 1 1 3 1 3 A3 V3 1 1 1 3 1 3 A3 V4 1 1 1 3 1 3 A3 V5 5 1 3 9 3 27 A3 V6 5 1 3 9 3 27 A4 V1 1 1 1 3 1 3 A4 V2 1 1 1 3 1 3 A4 V3 1 1 1 3 1 3 A4 V4 1 1 1 3 1 3 A4 V5 1 1 1 3 1 3 A4 V6 1 1 1 3 1 3 A5 V1 1 1 1 3 1 3 A5 V2 1 1 1 3 1 3 A5 V3 1 1 1 3 1 3 A5 V4 1 1 1 3 1 3 A5 V5 1 1 1 3 1 3 A5 V6 1 1 1 3 1 3 A6 V1 1 1 1 3 1 3 A6 V2 1 1 1 3 1 3 A6 V3 1 1 1 3 1 3 A6 V4 1 1 1 3 1 3 A6 V5 1 1 1 3 1 3 A6 V6 1 1 1 3 1 3 A7 V1 1 1 1 3 1 3 PROMEDIO PROMEDIO GENERAL 3,62 3,00 3,00 11,00 3,00 3,00 3,00 3,00 201 A7 V2 1 1 1 3 1 3 A7 V3 1 1 1 3 1 3 A7 V4 1 1 1 3 1 3 A7 V5 1 1 1 3 1 3 A7 V6 1 1 1 3 1 3 A8 V1 1 1 1 3 1 3 A8 V2 1 1 1 3 1 3 A8 V3 1 1 1 3 1 3 A8 V4 1 1 1 3 1 3 A8 V5 1 1 1 3 1 3 A8 V6 1 1 1 3 1 3 A9 V1 1 1 1 3 1 3 A9 V2 1 1 1 3 1 3 A9 V3 1 1 1 3 1 3 A9 V4 1 1 1 3 1 3 A9 V5 1 1 1 3 1 3 A9 V6 1 1 1 3 1 3 A10 V1 1 1 1 3 1 3 A10 V2 1 1 1 3 1 3 A10 V3 1 1 1 3 1 3 A10 V4 1 1 1 3 1 3 A10 V5 1 1 1 3 1 3 A10 V6 1 1 1 3 1 3 A11 V1 1 1 1 3 1 3 A11 V2 1 1 1 3 1 3 A11 V3 1 1 1 3 1 3 A11 V4 1 1 1 3 1 3 A11 V5 1 1 1 3 1 3 A11 V6 1 1 1 3 1 3 A12 V1 1 1 1 3 1 3 A12 V2 1 1 1 3 1 3 A12 V3 1 1 1 3 1 3 A12 V4 1 1 1 3 1 3 A12 V5 1 1 1 3 1 3 A12 V6 1 1 1 3 1 3 A13 V1 1 1 1 3 1 3 A13 V2 1 1 1 3 1 3 A13 V3 1 1 1 3 1 3 A13 V4 1 1 1 3 1 3 A13 V5 1 1 1 3 1 3 A13 V6 1 1 1 3 1 3 3,00 3,00 3,00 3,00 3,00 3,00 202 NOMBRE DEL PROCESO NIVEL DE RIESGO SM&O SUPPORT READINESS ALTA A V I C D IMPACTO PROBABILIDAD RIESGO A1 V1 1 1 1 3 1 3 A1 V2 1 1 1 3 1 3 A1 V3 1 1 1 3 1 3 A1 V4 1 1 1 3 1 3 A1 V5 1 1 1 3 1 3 A1 V6 1 1 1 3 1 3 A2 V1 1 1 1 3 1 3 A2 V2 1 1 1 3 1 3 A2 V3 1 1 1 3 1 3 A2 V4 1 1 1 3 1 3 A2 V5 1 1 1 3 1 3 A2 V6 1 1 1 3 1 3 A3 V1 1 1 1 3 1 3 A3 V2 5 5 5 15 2 30 A3 V3 5 5 5 15 2 30 A3 V4 1 1 1 3 1 3 A3 V5 1 1 1 3 1 3 A3 V6 5 5 5 15 1 15 A4 V1 1 1 1 3 1 3 A4 V2 1 1 3 5 2 10 A4 V3 1 1 3 5 2 10 A4 V4 1 1 1 3 1 3 A4 V5 1 1 1 3 1 3 A4 V6 1 1 1 3 1 3 A5 V1 1 1 1 3 1 3 A5 V2 1 1 3 5 2 10 A5 V3 1 1 3 5 1 5 A5 V4 1 1 1 3 1 3 A5 V5 1 1 1 3 1 3 A5 V6 1 1 1 3 1 3 A6 V1 1 1 1 3 1 3 A6 V2 1 1 1 3 1 3 A6 V3 1 1 3 5 2 10 A6 V4 1 1 1 3 1 3 A6 V5 1 1 1 3 1 3 A6 V6 1 1 1 3 1 3 A7 V1 1 1 1 3 1 3 A7 V2 1 1 1 3 1 3 A7 V3 1 1 3 5 2 10 PROMEDIO PROMEDIO GENERAL 4,81 3,00 3,00 14,00 5,33 4,50 4,17 4,17 203 A7 V4 1 1 1 3 1 3 A7 V5 1 1 1 3 1 3 A7 V6 1 1 1 3 1 3 A8 V1 1 1 1 3 1 3 A8 V2 1 1 1 3 1 3 A8 V3 1 1 1 3 1 3 A8 V4 1 1 1 3 1 3 A8 V5 1 1 1 3 1 3 A8 V6 1 1 1 3 1 3 A9 V1 1 1 1 3 1 3 A9 V2 1 1 1 3 1 3 A9 V3 1 1 1 3 1 3 A9 V4 1 1 1 3 1 3 A9 V5 1 1 1 3 1 3 A9 V6 1 1 1 3 1 3 A10 V1 1 1 1 3 1 3 A10 V2 1 1 1 3 1 3 A10 V3 1 1 1 3 1 3 A10 V4 1 1 1 3 1 3 A10 V5 1 1 1 3 1 3 A10 V6 1 1 1 3 1 3 A11 V1 1 1 1 3 1 3 A11 V2 1 1 1 3 1 3 A11 V3 1 1 1 3 1 3 A11 V4 1 1 1 3 1 3 A11 V5 1 1 1 3 1 3 A11 V6 1 1 1 3 1 3 A12 V1 1 1 1 3 1 3 A12 V2 1 1 1 3 1 3 A12 V3 1 1 1 3 1 3 A12 V4 1 1 1 3 1 3 A12 V5 1 1 1 3 1 3 A12 V6 1 1 1 3 1 3 A13 V1 1 1 1 3 1 3 A13 V2 1 5 1 7 3 21 A13 V3 1 1 1 3 1 3 A13 V4 1 5 1 7 3 21 A13 V5 1 3 1 5 1 5 A13 V6 1 1 1 3 1 3 3,00 3,00 3,00 3,00 3,00 9,33 204 NOMBRE DEL PROCESO NIVEL DE RIESGO SERVICE CONFIGURATION & ACTIVATION ALTA A V I C D IMPACTO PROBABILIDAD RIESGO A1 V1 5 3 3 11 3 33 A1 V2 3 1 1 5 1 5 A1 V3 1 1 1 3 1 3 A1 V4 1 1 1 3 1 3 A1 V5 1 1 1 3 1 3 A1 V6 1 1 1 3 1 3 A2 V1 1 1 1 3 1 3 A2 V2 1 1 1 3 1 3 A2 V3 1 1 1 3 1 3 A2 V4 1 1 1 3 1 3 A2 V5 1 1 1 3 1 3 A2 V6 1 1 1 3 1 3 A3 V1 1 1 1 3 1 3 A3 V2 1 1 1 3 1 3 A3 V3 1 1 1 3 1 3 A3 V4 1 1 1 3 1 3 A3 V5 1 1 1 3 1 3 A3 V6 1 1 1 3 1 3 A4 V1 1 1 1 3 1 3 A4 V2 1 1 1 3 1 3 A4 V3 1 1 1 3 1 3 A4 V4 1 1 1 3 1 3 A4 V5 1 1 1 3 1 3 A4 V6 1 1 1 3 1 3 A5 V1 1 1 1 3 1 3 A5 V2 1 1 3 5 1 5 A5 V3 3 1 3 7 1 7 A5 V4 1 1 1 3 1 3 A5 V5 1 1 1 3 1 3 A5 V6 1 1 1 3 1 3 A6 V1 5 5 5 15 3 45 A6 V2 1 1 1 3 1 3 A6 V3 5 5 5 15 1 15 A6 V4 1 1 1 3 1 3 A6 V5 1 1 1 3 1 3 A6 V6 1 1 1 3 1 3 A7 V1 1 1 1 3 1 3 A7 V2 1 1 1 3 1 3 A7 V3 1 1 3 5 2 10 PROMEDIO PROMEDIO GENERAL 4,83 8,33 3,00 3,00 3,00 4,00 12,00 4,17 205 A7 V4 1 1 1 3 1 3 A7 V5 1 1 1 3 1 3 A7 V6 1 1 1 3 1 3 A8 V1 1 1 1 3 1 3 A8 V2 1 1 1 3 1 3 A8 V3 1 1 1 3 1 3 A8 V4 1 1 1 3 1 3 A8 V5 1 1 1 3 1 3 A8 V6 1 1 1 3 1 3 A9 V1 1 1 1 3 1 3 A9 V2 1 1 1 3 1 3 A9 V3 1 1 1 3 1 3 A9 V4 1 1 1 3 1 3 A9 V5 1 1 1 3 1 3 A9 V6 1 1 1 3 1 3 A10 V1 1 1 1 3 1 3 A10 V2 1 1 1 3 1 3 A10 V3 1 1 1 3 1 3 A10 V4 1 1 1 3 1 3 A10 V5 1 1 1 3 1 3 A10 V6 1 1 5 7 3 21 A11 V1 1 1 1 3 1 3 A11 V2 1 1 1 3 1 3 A11 V3 1 1 1 3 1 3 A11 V4 1 1 1 3 1 3 A11 V5 1 1 1 3 1 3 A11 V6 1 1 1 3 1 3 A12 V1 1 1 1 3 1 3 A12 V2 1 1 1 3 1 3 A12 V3 1 1 1 3 1 3 A12 V4 1 1 1 3 1 3 A12 V5 1 1 1 3 1 3 A12 V6 1 1 1 3 1 3 A13 V1 1 1 1 3 1 3 A13 V2 1 3 1 5 3 15 A13 V3 1 1 1 3 1 3 A13 V4 1 3 1 5 3 15 A13 V5 1 3 1 5 1 5 A13 V6 1 1 1 3 1 3 3,00 3,00 6,00 3,00 3,00 7,33 206 NOMBRE DEL PROCESO NIVEL DE RIESGO FRAUD MANAGEMENT ALTA A V I C D IMPACTO PROBABILIDAD RIESGO A1 V1 1 1 1 3 2 6 A1 V2 1 1 1 3 2 6 A1 V3 1 1 1 3 2 6 A1 V4 1 1 1 3 2 6 A1 V5 1 1 1 3 2 6 A1 V6 3 3 3 9 2 18 A2 V1 1 1 1 3 2 6 A2 V2 1 1 1 3 2 6 A2 V3 1 1 1 3 2 6 A2 V4 1 1 1 3 1 3 A2 V5 3 3 3 9 2 18 A2 V6 3 3 3 9 2 18 A3 V1 1 1 1 3 2 6 A3 V2 1 1 1 3 2 6 A3 V3 1 1 1 3 2 6 A3 V4 1 1 1 3 1 3 A3 V5 3 3 3 9 3 27 A3 V6 3 3 3 9 3 27 A4 V1 1 1 1 3 1 3 A4 V2 1 1 1 3 1 3 A4 V3 1 1 1 3 1 3 A4 V4 1 1 1 3 1 3 A4 V5 1 1 1 3 1 3 A4 V6 1 1 1 3 1 3 A5 V1 1 1 1 3 1 3 A5 V2 1 1 1 3 1 3 A5 V3 1 1 1 3 1 3 A5 V4 1 1 1 3 1 3 A5 V5 1 1 1 3 1 3 A5 V6 1 1 1 3 1 3 A6 V1 1 1 1 3 2 6 A6 V2 1 1 1 3 2 6 A6 V3 1 1 1 3 2 6 A6 V4 1 1 1 3 1 3 A6 V5 3 3 3 9 2 18 A6 V6 3 3 3 9 2 18 A7 V1 1 1 1 3 2 6 A7 V2 1 1 1 3 2 6 PROMEDIO PROMEDIO GENERAL 6,31 8,00 9,50 12,50 3,00 3,00 9,50 9,50 207 A7 V3 1 1 1 3 2 6 A7 V4 1 1 1 3 1 3 A7 V5 3 3 3 9 2 18 A7 V6 3 3 3 9 2 18 A8 V1 1 1 1 3 2 6 A8 V2 1 1 1 3 2 6 A8 V3 1 1 1 3 2 6 A8 V4 1 1 1 3 1 3 A8 V5 3 3 3 9 2 18 A8 V6 3 3 3 9 2 18 A9 V1 1 1 1 3 2 6 A9 V2 1 1 1 3 2 6 A9 V3 1 1 1 3 2 6 A9 V4 1 1 1 3 1 3 A9 V5 1 1 1 3 2 6 A9 V6 1 1 1 3 2 6 A10 V1 1 1 1 3 1 3 A10 V2 1 1 1 3 1 3 A10 V3 1 1 1 3 1 3 A10 V4 1 1 1 3 1 3 A10 V5 1 1 1 3 1 3 A10 V6 1 1 1 3 1 3 A11 V1 1 1 1 3 1 3 A11 V2 1 1 1 3 1 3 A11 V3 1 1 1 3 1 3 A11 V4 1 1 1 3 1 3 A11 V5 1 1 1 3 1 3 A11 V6 1 1 1 3 1 3 A12 V1 1 1 1 3 1 3 A12 V2 1 1 1 3 1 3 A12 V3 1 1 1 3 1 3 A12 V4 1 1 1 3 1 3 A12 V5 1 1 1 3 1 3 A12 V6 1 1 1 3 1 3 A13 V1 1 1 1 3 1 3 A13 V2 1 1 1 3 1 3 A13 V3 1 1 1 3 1 3 A13 V4 1 1 1 3 1 3 A13 V5 1 1 1 3 1 3 A13 V6 1 1 1 3 1 3 9,50 5,50 3,00 3,00 3,00 3,00 208 NOMBRE DEL PROCESO NIVEL DE RIESGO AUDIT MANAGEMENT ALTA A V I C D IMPACTO PROBABILIDAD RIESGO A1 V1 1 1 1 3 2 6 A1 V2 1 1 1 3 2 6 A1 V3 1 1 1 3 2 6 A1 V4 1 1 1 3 1 3 A1 V5 1 1 1 3 2 6 A1 V6 1 1 1 3 2 6 A2 V1 1 1 1 3 2 6 A2 V2 1 1 1 3 2 6 A2 V3 1 1 1 3 2 6 A2 V4 1 1 1 3 1 3 A2 V5 1 1 1 3 2 6 A2 V6 1 1 1 3 2 6 A3 V1 1 1 1 3 2 6 A3 V2 1 1 1 3 2 6 A3 V3 1 1 1 3 2 6 A3 V4 1 1 1 3 1 3 A3 V5 1 1 1 3 2 6 A3 V6 1 1 1 3 2 6 A4 V1 1 1 1 3 1 3 A4 V2 1 1 1 3 1 3 A4 V3 1 1 1 3 1 3 A4 V4 1 1 1 3 1 3 A4 V5 1 1 1 3 1 3 A4 V6 1 1 1 3 1 3 A5 V1 1 1 1 3 1 3 A5 V2 1 1 1 3 1 3 A5 V3 1 1 1 3 1 3 A5 V4 1 1 1 3 1 3 A5 V5 1 1 1 3 1 3 A5 V6 1 1 1 3 1 3 A6 V1 1 1 1 3 2 6 A6 V2 1 1 1 3 2 6 A6 V3 1 1 1 3 2 6 A6 V4 1 1 1 3 1 3 A6 V5 1 1 1 3 2 6 A6 V6 1 1 1 3 2 6 A7 V1 1 1 1 3 2 6 A7 V2 1 1 1 3 2 6 A7 V3 1 1 1 3 2 6 PROMEDIO PROMEDIO GENERAL 5,73 5,50 5,50 5,50 3,00 3,00 5,50 9,50 209 A7 V4 1 1 1 3 1 3 A7 V5 3 3 3 9 2 18 A7 V6 3 3 3 9 2 18 A8 V1 1 1 1 3 2 6 A8 V2 1 1 1 3 2 6 A8 V3 1 1 1 3 2 6 A8 V4 1 1 1 3 1 3 A8 V5 3 3 3 9 2 18 A8 V6 3 3 3 9 2 18 A9 V1 1 1 1 3 2 6 A9 V2 1 1 1 3 2 6 A9 V3 3 3 3 9 3 27 A9 V4 1 1 1 3 1 3 A9 V5 1 1 1 3 2 6 9,50 11,00 A9 V6 3 3 3 9 2 18 A10 V1 1 1 1 3 1 3 A10 V2 1 1 1 3 1 3 A10 V3 1 1 1 3 1 3 A10 V4 1 1 1 3 1 3 A10 V5 1 1 1 3 1 3 A10 V6 1 1 1 3 1 3 A11 V1 1 1 1 3 1 3 A11 V2 1 1 1 3 1 3 A11 V3 1 1 1 3 1 3 A11 V4 1 1 1 3 1 3 A11 V5 1 1 1 3 1 3 A11 V6 1 1 1 3 1 3 A12 V1 1 1 1 3 1 3 A12 V2 1 1 1 3 1 3 A12 V3 1 1 1 3 1 3 A12 V4 1 1 1 3 1 3 A12 V5 1 1 1 3 1 3 A12 V6 1 1 1 3 1 3 A13 V1 1 1 1 3 2 6 A13 V2 1 1 1 3 2 6 A13 V3 1 1 1 3 2 6 A13 V4 1 1 1 3 1 3 A13 V5 1 1 1 3 2 6 A13 V6 3 3 3 9 2 18 3,00 3,00 3,00 7,50 210 NOMBRE DEL PROCESO NIVEL DE RIESGO REGULATORY MANAGEMENT ALTA A V I C D IMPACTO PROBABILIDAD RIESGO A1 V1 1 1 1 3 1 3 A1 V2 1 3 1 5 1 5 A1 V3 1 1 1 3 1 3 A1 V4 3 1 1 5 1 5 A1 V5 1 1 3 5 1 5 A1 V6 1 1 1 3 1 3 A2 V1 1 1 1 3 1 3 A2 V2 1 1 1 3 1 3 A2 V3 1 1 1 3 1 3 A2 V4 1 1 1 3 1 3 A2 V5 1 3 1 5 1 5 A2 V6 1 1 1 3 1 3 A3 V1 1 1 1 3 1 3 A3 V2 1 1 3 5 1 5 A3 V3 3 1 1 5 1 5 A3 V4 1 1 3 5 1 5 A3 V5 3 1 1 5 1 5 A3 V6 3 5 5 13 3 39 A4 V1 3 1 1 5 1 5 A4 V2 1 3 1 5 1 5 A4 V3 1 1 1 3 1 3 A4 V4 1 3 1 5 1 5 A4 V5 1 1 3 5 1 5 A4 V6 1 3 5 9 3 27 A5 V1 3 1 1 5 1 5 A5 V2 1 1 1 3 1 3 A5 V3 1 3 1 5 1 5 A5 V4 1 1 1 3 1 3 A5 V5 1 3 1 5 1 5 A5 V6 3 1 1 5 1 5 A6 V1 1 1 1 3 1 3 A6 V2 3 1 1 5 1 5 A6 V3 1 3 1 5 1 5 A6 V4 1 1 1 3 1 3 A6 V5 1 1 1 3 1 3 A6 V6 1 1 1 3 1 3 A7 V1 1 3 1 5 1 5 A7 V2 1 1 1 3 1 3 A7 V3 3 1 1 5 1 5 PROMEDIO PROMEDIO GENERAL 4,82 4,00 3,33 10,33 8,33 4,33 3,67 4,00 211 A7 V4 1 1 3 5 1 5 A7 V5 1 1 1 3 1 3 A7 V6 1 1 1 3 1 3 A8 V1 1 1 1 3 1 3 A8 V2 3 1 1 5 1 5 A8 V3 1 3 1 5 1 5 A8 V4 1 1 1 3 1 3 A8 V5 1 1 1 3 1 3 A8 V6 1 1 1 3 1 3 A9 V1 1 1 1 3 1 3 A9 V2 1 3 1 5 1 5 A9 V3 1 1 1 3 1 3 A9 V4 1 1 1 3 1 3 A9 V5 1 1 1 3 1 3 A9 V6 1 1 1 3 1 3 A10 V1 3 1 1 5 1 5 A10 V2 1 3 1 5 1 5 A10 V3 1 1 1 3 1 3 A10 V4 1 3 3 7 1 7 A10 V5 3 3 1 7 1 7 A10 V6 1 1 1 3 1 3 A11 V1 1 1 1 3 1 3 A11 V2 1 1 3 5 1 5 A11 V3 3 1 1 5 1 5 A11 V4 1 3 1 5 1 5 A11 V5 1 1 3 5 1 5 A11 V6 1 1 1 3 1 3 A12 V1 1 3 1 5 1 5 A12 V2 1 1 3 5 1 5 A12 V3 1 3 1 5 1 5 A12 V4 3 1 1 5 1 5 A12 V5 1 1 3 5 1 5 A12 V6 1 1 1 3 1 3 A13 V1 1 1 1 3 1 3 A13 V2 3 1 1 5 1 5 A13 V3 1 1 1 3 1 3 A13 V4 1 3 1 5 1 5 A13 V5 1 1 1 3 1 3 A13 V6 1 1 1 3 1 3 3,67 3,33 5,00 4,33 4,67 3,67 212 ANEXO G. [14] 213 214 215