PROPUESTA DE ACTUALIZACIÓN DE LA RED CORPORATIVA DEL

PROPUESTA DE ACTUALIZACIÓN DE LA RED CORPORATIVA DEL CENTRO RADIOLÓGICO DIGITAL AMÉRICAS C.R.A., INCLUYENDO ESTUDIO DE

SEGURIDAD DE LA INFORMACIÓN CON EL FRAMEWORK NIST

JORGE ALEXÁNDER ÁVILA CÁRDENAS SEGUNDO OVIDIO CASTRO UMAÑA

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA BOGOTÁ D.C

2019

PROPUESTA DE ACTUALIZACIÓN DE LA RED CORPORATIVA DEL CENTRO RADIOLÓGICO DIGITAL AMÉRICAS C.R.A., INCLUYENDO ESTUDIO DE

SEGURIDAD DE LA INFORMACIÓN CON EL FRAMEWORK NIST

JORGE ALEXÁNDER ÁVILA CÁRDENAS SEGUNDO OVIDIO CASTRO UMAÑA

Proyecto de grado en la modalidad de monografía para optar al título de:

INGENIERIO EN TELEMÁTICA

DIRECTOR JAIRO HERNÁNDEZ GUTIERREZ

Ingeniero de Sistemas Especialista en Servicios Telemáticos e Interconexión de Redes

MBA con Especialización en Dirección de Proyectos Certificado Cisco CCDA

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA BOGOTÁ D.C

2019

3

NOTA DE ACEPTACIÓN

Presidente del Jurado

Jurado

Jurado

Bogotá D.C., Septiembre de 2019

4

CONTENIDO Pág.

INTRODUCCIÓN 1 ORGANIZACIÓN ......................................................................................... 16

1.1 TEMA .......................................................................................................... 16

1.2 TITULO PROYECTO .................................................................................. 16

1.3 PLANTEAMIENTO DEL PROBLEMA ......................................................... 16

1.4 FORMULACIÓN DEL PROBLEMA ............................................................. 17

1.5 ALCANCE Y DELIMITACION ...................................................................... 18

1.6 OBJETIVOS ................................................................................................ 18

1.6.1 General ......................................................................................... 18

1.6.2 Específicos ................................................................................... 18

1.7 JUSTIFICACIÓN ......................................................................................... 18

1.8 RESEÑA HISTÓRICA DE LA ORGANIZACIÓN ......................................... 19

1.9 MISIÓN........................................................................................................ 20

1.10 VISIÓN ........................................................................................................ 20

1.11 OBJETIVOS ESTRATÉGICOS ................................................................... 20

1.12 DIRECCIÓN CORPORATIVA ..................................................................... 20

1.13 ORGANIGRAMA ......................................................................................... 21

1.14 MARCO TEÓRICO ...................................................................................... 22

1.15 SOLUCIÓN TECNOLÓGICA ....................................................................... 22

1.15.1 Módulos y componentes ............................................................... 24

1.16 METODOLOGÍA .......................................................................................... 24

1.17 IMPACTO .................................................................................................... 24

1.18 CRONOGRAMA .......................................................................................... 25

2 ANÁLISIS DE REQUERIMIENTOS ............................................................. 26

2.1 ENTREVISTAS CON USUARIOS Y PERSONAL TÉCNICO ...................... 26

2.1.1 Entrevistas .................................................................................... 26

2.2 RECOMENDACIONES ESTRATÉGICAS ................................................... 28

2.3 METAS DE NEGOCIO ................................................................................ 28

2.4 ANÁLISIS DE METAS TÉCNICAS .............................................................. 29

5

2.5 ANÁLISIS SISTEMA EXISTENTE ............................................................... 31

2.6 SITUACIÓN DE LA RED ACTUAL .............................................................. 31

2.6.1 Sede Kennedy .............................................................................. 33

2.6.2 Sede Bosa .................................................................................... 35

2.6.3 Sede Suba .................................................................................... 36

2.7 TECNOLOGÍAS ACTUALES CRA .............................................................. 37

2.7.1 Ethernet ........................................................................................ 37

2.7.2 Cableado Estructurado ................................................................. 37

2.8 TRÁFICO DE LA RED ................................................................................. 37

2.8.1 Análisis de rendimiento de la red LAN .......................................... 38

2.8.1.1 Pruebas de tiempos respuestas hacia dispositivos ...................... 38

2.8.1.2 Resultados análisis red corporativa CRA ..................................... 38

3 DISEÑO DE LA SOLUCIÓN ........................................................................ 42

3.1 DISEÑO LÓGICO ........................................................................................ 43

3.2 DISEÑO DE TOPOLOGÍA LÓGICA ............................................................ 43

3.3 MODELO JERÁRQUICO Y REDUNDANTE ............................................... 44

3.4 DIRECCIONAMIENTO IP Y NOMBRES ..................................................... 46

3.4.1 Explicación detallada .................................................................... 48

3.4.2 Subredes CRA .............................................................................. 49

3.5 DISEÑO FÍSICO DE LA RED ...................................................................... 50

3.5.1 Cableado a utilizar ........................................................................ 50

3.5.2 Racks............................................................................................ 50

3.6 PROPUESTA CABLEADO ESTRUCTURADO ........................................... 52

3.6.1 Topología e infraestructura de la red ............................................ 53

3.6.1.1 Ventajas de la Topología Hibrida .................................................. 53

3.6.2 Cableado horizontal ...................................................................... 53

3.6.2.1 Cálculo de cable horizontal UTP Cat 6ª ........................................ 54

3.6.2.2 Cable vertical ................................................................................ 55

3.7 DISEÑO DATA CENTER ............................................................................ 55

3.7.1 Seguridad en el data center .......................................................... 57

3.7.2 Sistema de enfriamiento de data center ....................................... 58

3.8 INFRAESTRUCTURA ELÉCTRICA ............................................................ 59

3.8.1 Circuitos monofásicos................................................................... 59

6

3.8.2 Tierras físicas ............................................................................... 59

3.9 SOLUCIÓN DE TELEFONÍA IP .................................................................. 59

3.9.1 Grandstream Ucm6208 ................................................................ 60

3.9.1.1 Datos técnicos Grandstream Ucm6208 ........................................ 60

3.10 PROVEEDOR DE VOZ ............................................................................... 61

3.10.1 Planes Conexión Troncal SIP ....................................................... 62

3.11 SELECCIÓN TECNOLOGÍAS Y DISPOSITIVOS ....................................... 63

3.11.1 Estimación costos dispositivos ..................................................... 64

3.11.2 Referencias de dispositivos WAN ................................................. 66

3.12 SOLUCIÓN DE SEGURIDAD DE RED ....................................................... 67

3.12.1 Sistema CCTV .............................................................................. 68

3.13 ESTIMACIÓN COSTOS CABLEADO ESTRUCTURADO ........................... 68

3.14 GESTIÓN Y DESEMPEÑO DE LA RED ..................................................... 71

4 VIRTUALIZACIÓN DE SERVIDORES ........................................................ 72

4.1 FASE 1 ANÁLISIS REQUERIMIENTOS ..................................................... 73

4.1.1 Funciones, tareas y procesos de virtualización ............................ 75

4.1.2 Caracterización servidores existentes .......................................... 75

4.1.3 Inventario de servidores actuales ................................................. 76

4.1.4 Situación actual de los servidores ................................................ 77

4.1.5 Metas y restricciones virtualización .............................................. 78

4.2 FASE 2 DISEÑO LÓGICO .......................................................................... 80

4.2.1 Estructura VMware ESXi .............................................................. 80

4.3 FASE 3 DISEÑO FÍSICO ............................................................................ 82

4.3.1 Ventajas de VMware .................................................................... 83

4.3.2 VMware vSphere Essentials Plus Kit ............................................ 83

4.3.3 Dell Precision Rack 7920 .............................................................. 84

4.3.4 Guía de Implementación VMware vSphere .................................. 84

5 SEGURIDAD DE LA INFORMACIÓN ......................................................... 86

5.1 INTEGRACIÓN DEL CSF NIST CON COBIT 5 .......................................... 86

5.2 PROPUESTA DE ESTUDIO DE SEGURIDAD COBIT 5 ............................ 87

5.2.1 Fases de implementación de Gobierno de TI ............................... 88

5.2.1.1 Fase 1. ¿Cuáles son los motivos? ................................................ 89

5.2.1.2 Fase 2: ¿Dónde estamos? ........................................................... 91

7

5.2.1.3 Fase 3: ¿Dónde Queremos Estar? ............................................... 93

5.2.1.4 Fase 4: ¿Qué es preciso hacer? .................................................. 94

5.2.1.5 Fase 5: ¿Cómo conseguiremos llegar? ........................................ 96

5.2.1.6 Fase 6: ¿Hemos conseguido llegar? .......................................... 100

5.2.1.7 Fase 7: ¿Cómo se mantiene la iniciativa? .................................. 100

CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA ANEXOS Anexo A. Marco teórico y estado del arte ..............................................……..…...108

Anexo B. Cronograma de actividades (PDF) ……………….……………………... 141

Anexo C. Informe de auditoría ………………………………..………………………143

Anexo D. Inventario de activos y clasificación de la información .…………………165

Anexo E. Propuesta de política de seguridad de la información ……………….…176

Anexo F. Propuesta de matriz de análisis de riesgos (PDF)…….…………………180

Anexo G. Matriz de escenarios (PDF)………………………………………………...184

Anexo H. Planos Centro Radiológico Digital Américas ………....………………….186

Anexo I. Formato Entrevistas Usuarios …………………………..………………….188

8

LISTA DE TABLAS

Pág

Tabla 1 Establecimiento de Prioridades ................................................................. 29

Tabla 2 Metas técnicas .......................................................................................... 30

Tabla 3 Servidores actuales .................................................................................. 76

Tabla 4 Metas y restricciones virtualización ........................................................... 78

Tabla 5 Costos dispositivos virtualización .............................................................. 84

Tabla 6 Alineación en la implementación del NIST CSF y COBIT 5 ...................... 89

Tabla 7 Mapeo objetivos estratégicos con metas corporativas de COBIT 5 .......... 91

9

LISTA DE GRÁFICAS

Pág

Gráfica 1 Subredes ................................................................................................ 49

Gráfica 2 Distancias de transmisión OM3 y OM4 .................................................. 57

Gráfica 3 Plan Móvil Bolsa de dinero ..................................................................... 62

Gráfica 4 Plan Móvil Todo destino ......................................................................... 63

Gráfica 5 Dispositivos Lan y Telefonía IP Sede Kennedy ...................................... 64

Gráfica 6 Dispositivos LAN y Telefonía IP Sede Bosa ........................................... 65

Gráfica 7 Dispositivos LAN y Telefonía IP Sede Suba ........................................... 66

Gráfica 8 Dispositivos Internet y WAN ................................................................... 66

Gráfica 9 Estimación Costos Cableado ................................................................. 68

10

LISTA DE FIGURAS

Pág

Figura 1 Organigrama C.R.A ................................................................................. 21

Figura 2 Red lógica actual ..................................................................................... 32

Figura 3 Red física actual ...................................................................................... 33

Figura 4 Topología red actual sede Kennedy ........................................................ 34

Figura 5 Topología red actual sede Bosa .............................................................. 35

Figura 6 Topología red actual sede Suba .............................................................. 36

Figura 7 Análisis red Nagios Net A ........................................................................ 38

Figura 8 Análisis red Nagios Net B ........................................................................ 39

Figura 9 Análisis red Nagios Net C ........................................................................ 39

Figura 10 Estado servicio red ................................................................................ 40

Figura 11 Topología Lógica de las tres sedes ....................................................... 44

Figura 12 Modelo jerárquico, redundante y seguro general ................................... 45

Figura 13 Conexión WAN ...................................................................................... 46

Figura 14 Calculo Subnetting ................................................................................. 47

Figura 15 Diagrama propuesto MC/IC KENNEDY ................................................. 51

Figura 16 Diagrama propuesto HC sede Kennedy 2 piso ...................................... 51

Figura 17 Diagrama propuesto general IC/HC sedes ............................................ 52

Figura 18 Distribución de Cableado ....................................................................... 54

Figura 19 Solución de telefonía IP ......................................................................... 62

Figura 20 Propuesta Zona de Seguridad ............................................................... 67

Figura 21 Comparativo Situaciones ....................................................................... 68

Figura 22 Actividades Recolección de Información ............................................... 74

Figura 23 Etapas análisis requerimientos .............................................................. 74

Figura 24 Mapa conceptual procesos virtualización .............................................. 75

Figura 25 Situación Actual de los Servidores Lógica ............................................. 77

Figura 26 Situación Actual de los Servidores Física .............................................. 78

11

Figura 27 VMware ESXi A ..................................................................................... 80

Figura 28 VMware ESXi B ..................................................................................... 81

Figura 29 Capas Hipervisor Tipo 1 y 2 ................................................................... 81

Figura 30 Modelo Lógico Virtualización ................................................................. 82

Figura 31 Alineación en la implementación del NIST CSF y COBIT 5 ................... 87

Figura 32 Dominios, Procesos y prácticas de gestión de S.I. COBIT 5 ................. 98

12

RESUMEN

La infraestructura tecnológica en las organizaciones son de vital importancia, para la transformación digital, la presente propuesta describe las fases de preparación, planeación y diseño de la red del Centro Radiológico Digital Américas CRA, basada en la metodología Top Down, la cual permite optimizar los servicios de los servidores de imágenes diagnosticas; se propone la virtualización de servidores, implementando la herramienta VMware, que proporciona continuidad de negocio, simplifica la gestión, ahorro en costos de hardware, mejora los niveles de servicio y fortalece la seguridad y protección de datos. Con el fin de proteger la información en toda la organización, se propone un estudio de seguridad de la información; el cual se fundamentó en las recomendaciones, planteamientos y buenas prácticas que ofrece los marcos COBIT y CSF NIST; estos marcos ofrecen métodos sistemáticos para el diagnóstico, análisis e implementación de seguridad de la información, la adopción de estas buenas prácticas, mejoraría la comunicación interna de la empresa, la consolidación de los procesos de las diferentes sedes en Bogotá. La propuesta también presenta un soporte teórico y las recomendaciones necesarias para que la empresa tome la decisión de poner en marcha las iniciativas de implementación de la propuesta Palabras clave: Redes, LAN, WAN, Virtualización, framework, seguridad de la información.

13

ABSTRACT

The technological infrastructure in the organizations is of vital importance, for the

digital transformation, the present proposal describes the phases of preparation,

planning and design phases of Centro Radiológico Digital Américas CRA network,

based on the Top Down methodology, which optimizes the services of diagnostic

image servers; Server virtualization is proposed by implementing the VMware tool,

which provides business continuity, simplifies management, saves hardware costs,

improves service levels and strengthens data security and protection. In order to

protect information throughout the organization, an information security study is

proposed; which is based on the practical recommendations, offered by the COBIT

and CSF NIST Frameworks; These Frameworks offer systematic methods for the

diagnosis, analysis and implementation of information security, the adoption of these

good practices, would improve the internal communication of the company and

consolidate the processes of the different offices in Bogotá. The proposal also

presents theoretical support and the necessary recommendations for the company

to make the decision to launch these initiatives.

Keywords: Networks, LAN, WAN, Virtualization, Framework, Information Security.

14

INTRODUCCIÓN En la actualidad, el diseño e implementación de redes LAN y WAN, facilita la administración de las empresas, permitiendo a los usuarios utilizar avanzadas tecnologías para la comunicación entre sí, accediendo a recursos como: datos, servicios de procesamiento, aplicaciones, entre otros, esta adopción de tecnologías, reduce drásticamente los costos de funcionamiento y tiempos de procesamiento, de esta manera beneficiar al usuario final. El presente trabajo propone la actualización de red y estudio de seguridad de la información para el Centro Radiológico Digital Américas CRA, en los primeros capítulos se documentan el contexto de la empresa, sus antecedentes, la situación actual y las necesidades de la empresa, con estos elementos, se realizará la propuesta de red, utilizando la metodología Top-Down Network Design de Cisco, la cual se estructura de manera sistemática y contribuye la planificación y diseño de la red corporativa del CRA, esta propuesta inicia con un análisis ejecutivo a la organización, para el levantamiento de información, que permita conocer los objetivos de negocio, metas técnicas, alcance y restricciones del proyecto, y de esta manera, identificar el perfil de los usuarios, el conjunto de necesidades y condiciones de implementación, obtenidos estos criterios, se podrá diseñar una propuesta de red funcional de acuerdo a la cultura organizacional de la empresa. Complementando la propuesta de actualización de red, el quinto capítulo documenta la propuesta de virtualización de los servidores de almacenamiento de imágenes diagnosticas, con el fin de facilitar los recursos y servicios dispuestos en los servidores físicos, esta propuesta está basada aplicaciones de virtualización como VMware y VMware ESXi, las cuales brindan una base segura, flexible y potente para la agilidad del negocio, facilitando acelerar la transformación digital hacia la nube híbrida. Para la propuesta de implementación de estas herramientas, se realiza el levantamiento de información, para el análisis de requisitos, diseño lógico y físico, de esta manera lograr obtener un conocimiento y unas guías que sirvan de base para la implantación de la virtualización de los servidores. Dada la importancia que tiene la seguridad de la información en la actualidad y lo representativa que es para la estabilidad y crecimiento y de las organizaciones, la ciberseguridad se convertido en una de las preocupaciones corporativas más importantes a nivel mundial, los medios tecnológicos han relegado las antiguas formas de manejar la información, por tal motivo se han generado nuevos riesgos, esto convierte la información en uno de los activos más valiosos para cualquier empresa, una manera de cuidar o resguardar dicho activo tan valioso, es conservando la confidencialidad, integridad y disponibilidad de la información, bajo este contexto, en el capítulo sexto se propone el estudio de seguridad de la

15

información, utilizando la integración del Framework del NIST CSF con COBIT 5, el marco estadunidense provee los pasos sistemáticos para la implementación y COBIT permite comprender el gobierno y la gestión de las tecnologías de información (TI) de una organización, define un conjunto de herramientas de soporte empleadas por los gerentes, para reducir la brecha entre los requerimientos de control, los temas técnicos y los riesgos del negocio. La adopción de estos marcos de trabajo, permite iniciar el estudio de seguridad para el Centro Radiológico Digital Américas CRA, alineado a los objetivos estratégicos de la empresa. Al finalizar este documento, se obtienen conclusiones y recomendaciones que permiten al CRA, tomar la decisión de implementar las propuestas de actualización de la red, virtualización y adoptar un sistema de seguridad de la información.

16

1 ORGANIZACIÓN 1.1 TEMA El presente proyecto describe la propuesta de actualización de la red corporativa, virtualización de los servidores de imágenes diagnósticas y el estudio de seguridad de la información, para que el centro Radiológico Digital Américas CRA, cuente con la base documental, para iniciar una etapa de implementación. 1.2 TITULO PROYECTO Propuesta de actualización de la red corporativa del Centro Radiológico Digital Américas C.R.A, incluyendo estudio de seguridad de la información con el Framework NIST. 1.3 PLANTEAMIENTO DEL PROBLEMA El Centro Radiológico Digital Américas CRA, presta los servicios de toma de imágenes diagnósticas para el área de odontología como: radiografía intraoral y maxilofacial, modelos de estudio y fotografía clínica digital, entre otros. Cuenta con tres sedes en Bogotá ubicadas en: Sede Kennedy - Av. 1 de mayo (transv.74F) # 40B – 63 2do piso Sede Bosa - Tv 80 A # 65i - 31 Sur Sede Suba – Carrera 104 # 140C-11 local 202–C.C. Al paso Plaza 2do piso El Centro Radiológico Digital Américas CRA, se caracteriza por la constante actualización tecnológica de los equipos para la toma de imágenes, tiene implementada una red LAN funcional en cada una de sus sedes, sin embargo, actualmente no cuenta con conexión entre las tres sedes, ni tiene una sede principal que centralice la información y las operaciones, no es gestionable y presenta múltiples fallas de diseño, así mismo, no cumple los lineamientos y recomendaciones de los fabricantes para la operación y gestión de la infraestructura de red. Presenta obsolescencia en equipos de conectividad y fallas en el rendimiento de la red, lo cual se refleja en el incumplimiento de las metas de negocio, tanto a nivel estratégico y comercial.

17

Algunos equipos de toma de imágenes diagnósticas actualmente no tienen soporte técnico por la salida del mercado de los proveedores de estos equipos. El almacenamiento de la información de imágenes diagnósticas, es de vital importancia, pero actualmente no tienen el aseguramiento necesario que exige la normatividad vigente. Las pruebas realizadas a la red actual reflejan la ineficiencia de esta, representando sobrecostos financieros y operativos debido a la cantidad de mantenimientos correctivos y preventivos, los cuales son de demanda permanente para el funcionamiento básico de la misma. Estos inconvenientes se presentan por la falta de planeación de la red, visión de escalabilidad y proyección de crecimiento empresarial a nivel de infraestructura física, este diagnóstico se concluye de entrevistas realizadas al personal operativo y directivo de la empresa, lo anterior se ha presentado desde el momento en que la empresa empezó a expandirse física y lógicamente en la ciudad de Bogotá. La falta de un departamento especializado, personal técnico o profesionales del área de tecnología, no han permitido prevenir los problemas presentados por el mismo crecimiento de la empresa. 1.4 FORMULACIÓN DEL PROBLEMA ¿Cómo se puede lograr la interconexión entre las sedes de la organización?, ¿Qué podría ayudar a proteger la información de la empresa? La propuesta de actualización de la red corporativa del Centro Radiológico Digital Américas CRA, incluyendo estudio de seguridad de la información con el Framework NIST, deberá incluir alta funcionalidad.

Esta propuesta de actualización en el Centro Radiológico Digital Américas CRA, con base en los estándares actuales, traerá los beneficios de independencia de proveedores y protocolos, flexibilidad de instalación, capacidad de crecimiento y facilidad de administración, características que son relevantes teniendo en cuenta los posibles cambios que puede tener las sedes con el transcurrir del tiempo. La finalidad de la propuesta de actualización de la red corporativa del Centro Radiológico Digital Américas CRA es conseguir:

• La integración del medio de transmisión para los servicios informáticos y telemáticos instalados, así como otros servicios futuros.

• Independencia del cableado respecto de la tecnología, naturaleza y topologías a emplear.

• Gran capacidad de conectividad.

18

• Flexibilidad ante modificaciones.

• Facilidad en la gestión. 1.5 ALCANCE Y DELIMITACION La propuesta de actualización de la red corporativa del Centro Radiológico Digital Américas CRA, incluyendo estudio de seguridad de la información con el Framework NIST, dará alcance a la sede de Kennedy ubicada en la Av.1 de mayo (Transv. 74F) # 40B - 63 sur. 1.6 OBJETIVOS

1.6.1 General

Diseñar la red corporativa del Centro Radiológico Digital Américas CRA, incluyendo el estudio de seguridad de la información bajo el Framework de la NIST.

1.6.2 Específicos

• Realizar el análisis de la infraestructura de red en cada una de las sedes de la empresa.

• Realizar la propuesta del diseño de la infraestructura de red corporativa que integre los servicios de voz, datos y video.

• Facilitar el control efectivo y descentralizado de la información del Centro Radiológico y del proceso de toma de imágenes diagnósticas.

• Realizar la propuesta de virtualización de los servidores de almacenamiento de imágenes.

• Realizar la propuesta del estudio de seguridad de la información implementando el marco de seguridad del NIST (National Institute of Standards and Technology) con COBIT 5.

1.7 JUSTIFICACIÓN La comunicación al interior de la organización es fundamental ya que hace parte de la estrategia global de la misma y apoya estructuralmente la misión empresarial. Una de las herramientas más útiles hoy en día para implementar esta estrategia de comunicación interna es una intranet bien estructurada, organizada y gestionada, que de manera interactiva y efectiva permita su desempeño y trato de la información relevante de la organización en sus actividades comerciales diarias, que sea confiable y que se encuentre dentro del alcance económico presupuestado.

19

La propuesta de actualización de la red corporativa del Centro Radiológico Digital Américas CRA, incluyendo estudio de seguridad de la información con el Framework NIST, aumentará las posibilidades que el Centro Radiológico Digital Américas CRA tiene para llegar a potenciales y nuevos clientes, garantizará la correcta gestión administrativa y operativa, definiendo los procesos internos y sus responsables, tendrá documentación (informes de gestión) que permitirán controles internos y el análisis de resultados en tiempo real para la toma de decisiones. Permitirá desarrollar planes de mejora continua, basados en los datos recolectados a través de las distintas herramientas y aplicativos existentes, ahora conectados en la misma red, el análisis permitirá la concientización y aumento de las competencias del personal sobre las buenas prácticas y el uso de la información, aumentará el sentido de pertenencia de cada uno de los colaboradores a la empresa. Adicional a estos beneficios, la empresa incrementará la satisfacción de sus clientes y aumentará su participación en el mercado, ampliando su rango de gestión, contará con políticas de gestión, que, compartidas con la filosofía organizacional de otras entidades, le proporcionará mayor confianza externa. 1.8 RESEÑA HISTÓRICA DE LA ORGANIZACIÓN

El Centro Radiológico Digital Américas CRA, ha prestado sus servicios de toma de imágenes diagnósticas para el área de odontología desde su fundación, y, dentro de sus planes corporativos ha participado en licitaciones para ser una Institución prestadora de Salud (IPS), partiendo de este punto, uno de los parámetros a evaluar y alineando a las políticas de gestión de algunas entidades para la participación en estos concursos, es tener certificado el sistema de gestión de la información. Actualmente no se realiza una gestión inteligente de la información y del conocimiento como factor clave de éxito, ya que no se posee una infraestructura de red LAN estandarizada para soportar la intranet existente, por tal motivo se están perdiendo oportunidades de participar como proveedores en algunas entidades del sector de la salud.

La implementación de infraestructuras de red de área local (LAN) estandarizada como herramienta para la intranet de la organización, la cual tenga a su disposición un sistema de gestión de la información, aumentaría las ventajas competitivas, e integraría la política de gestión, la misión y visión del Centro Radiológico Digital Américas CRA, también dotara de herramientas y directrices importantes para la gestión de la empresa y su mejora continua.

Partiendo que la comunicación al interior de la organización es fundamental, ya que, hace parte de la estrategia global de la misma y apoya estructuralmente la misión empresarial. Una de las herramientas más útiles hoy en día para implementar esta estrategia de comunicación interna es la intranet, que de manera interactiva permite intercambiar contenidos y opiniones de una manera

20

rápida y sencilla entre los empleados del Centro Radiológico Digital Américas CRA.1

1.9 MISIÓN Somos el centro de radiología experto en la generación de imágenes radiográficas y ayudas diagnosticas para el área de la salud oral y maxilofacial, brindamos satisfacción a nuestros clientes con calidad humana orientada al servicio, apoyados en innovación tecnología con profesionales competentes, generando rentabilidad con desarrollo sostenible2. 1.10 VISIÓN Consolidarnos como el centro de radiología oral y maxilofacial, con tecnología de avanzada, ser reconocidos por la amabilidad, cordialidad y calidad en el servicio, con una amplia cobertura y ser aliado estratégico de nuestros clientes, proveedores y colaboradores.3 1.11 OBJETIVOS ESTRATÉGICOS

• Contar con el recurso humano competente

• Garantizar la calidad del servicio

• Generar rentabilidad

• Garantizar la infraestructura necesaria para prestar el servicio

• Asegurar el crecimiento y desarrollo de la empresa

• Desarrollar programas continuos de investigación e innovación

• Mejorar la estructura de organización de la empresa4 1.12 DIRECCIÓN CORPORATIVA En el Centro Radiológico Digital Américas CRA, creemos firmemente en la ética, calidad en los exámenes diagnósticos y excelente servicio, apoyados en tecnología

1 Centro Radiológico Américas CRA. Propuesta del Manual de Gestión de Calidad. Bogotá D.C.

2014 p.11 2 Ibid., p.12 3 Ibid., p.12 4 Ibid., p.13

21

de última generación. La integridad en todos los procesos propios de la labor define nuestra cultura corporativa en cada nivel.5 1.13 ORGANIGRAMA El siguiente es el organigrama del Centro Radiológico Digital Américas CRA, el cual muestra las diferentes iteraciones de los procesos de la empresa, la jerarquía de sus procesos y la persona que está a cargo. Figura 1 Organigrama C.R.A

Fuente: Documento corporativo CRA

5 Ibid., p.13

22

1.14 MARCO TEÓRICO El marco teórico y estado del arte se apoyan al estudio de caso y aportan el conocimiento para el entendimiento de la propuesta, se encuentran detallados en el Anexo A. Marco teórico y estado del arte. 1.15 SOLUCIÓN TECNOLÓGICA Se elaborará la propuesta de actualización de la red corporativa del Centro Radiológico Digital Américas CRA, incluyendo estudio de seguridad de la información con el Framework NIST. Para esta propuesta se utilizará la metodología Top Down, diseño descendente de redes, en un proceso parcial, el cual asocia las necesidades del negocio a la tecnología disponible, para generar un sistema que maximice el éxito de la organización.6 Se utilizará el software de simulación Packet Tracer de Cisco, la cual es una herramienta de aprendizaje y simulación de redes interactiva, esta herramienta permite crear topologías de red, configurar dispositivos, insertar paquetes y simular la red con múltiples representaciones visuales.7 Se analizará la red con la herramienta Nagios (Open Source), la cual ofrece una visión detallada de todas las fuentes de tráfico de red y las posibles amenazas de seguridad, lo que permite recopilar rápidamente información de alto nivel relacionada con el estado de la red, así como datos altamente granulares para un análisis completo y exhaustivo de la red.8 Se realizará la propuesta de virtualización de los servidores de almacenamiento de imágenes diagnosticas, utilizando herramientas de virtualización como VMware y VMware ESXi, esta es una plataforma de virtualización a nivel de centro de datos producido por VMware, es el componente de su producto VMware Infraestructure que se encuentra al nivel inferior de la capa de virtualización, el hipervisor, posee herramientas y servicios de gestión autónomos e independientes.9

6 MENDOZA ORDÓÑEZ Mynor Geovanny, Análisis de los negocios y las limitaciones [en línea]. Universidad

de San Carlos de Guatemala, Facultad de Ingeniería, Escuela de Ingeniería Mecánica Eléctrica Escuela de Vacaciones diciembre 2012. [Consultado: 5 de febrero de 2019]. Disponible en Internet: https://www.buenastareas.com/ensayos/Top-Down-Network-Desing/6938648.html 7 VALDIVIA MIRANDA Carlos. Redes Telemáticas [en línea]. Ediciones Paraninfo, SA 1ª Edición, 2015. 122 p.

[Consultado: 6 de febrero de 20196]. Disponible en Internet: https://es.scribd.com/document/391872308/Libro-Redes-Telema-ticas-Paraninfo 8 NAGIOS. Nagios Open Source [en línea]. [Consultado: 15 de febrero de 2019]. Disponible en Internet:

https://www.openitnet.com/index.php/software/nagios/nagios-network-analyzer 9 WIKIPEDIA. VMware ESXi [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en https://es.wikipedia.org/wiki/VMware_ESXi

23

Se realizará un estudio de seguridad de la información bajo el marco de seguridad del NIST con metodología de COBIT 5, el cual permitirá gestionar eficientemente el acceso a la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información, mitigando los riesgos de seguridad de la información del Centro Radiológico Digital Américas CRA. Se usará la herramienta “NIST Cybersecurity Framework (CSF) Reference Tool”, es una herramienta interactiva que permite la navegación a través del contenido del documento del CSF y facilitar su exportación a diferentes formatos (CSV, XML, etc.).10 Por otro lado, el programa Baldrige (que permite el diseño de un enfoque integrado de la gestión del desempeño organizacional) integrado los criterios del CSF dentro de su marco de excelencia “Baldrige Excellence Framework” y “Baldrige Cybersecurity Excellence Builder”, trata de un cuestionario de autoevaluación que le permite a la organización identificar su nivel de madurez en términos de ciberseguridad a través de distintos niveles de madurez. COBIT (Control Objectives for Information and related Technology) guía de mejores prácticas presentado como marco de trabajo, dirigido al control y supervisión de los objetivos de las tecnologías de la información (TI). Contiene recursos que sirven de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un Framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.11 La propuesta de actualización de la red corporativa del Centro Radiológico Digital Américas CRA, se apoyará en las siguientes normas:

• ANSI/TIA/EIA-568-B Commercial Building Telecommunications Cabling Standard.

• EIA/TIA 568-B.2-1 "Performance Specification for 4-Pair 100 Ohm Category 6 Cabling.

• ANSI/EIA/TIA-569-A Commercial Building Standard for Telecommunications Pathways and Spaces.

• ANSI/EIA/TIA-606A Administration Standard for the Telecommunications Infrastructure of Commercial Buildings.

• ANSI/TIA/EIA-607A Commercial Building Grounding and Bonding.

10 NIST. Cybersecurity Framework [En Línea]. [Consultado: 5 de febrero de 2019]. Disponible en https://www.nist.gov/cyberframework 11 WIKIPEDIA. COBIT [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en

https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas

24

1.15.1 Módulos y componentes

• Documentación de las metas técnicas.

• Caracterización y documentación de la red actual.

• Diseño físico y lógico de la nueva red.

• Selección de tecnologías

• Mapas de la red.

1.16 METODOLOGÍA Para la presente propuesta hemos tomado como marco metodológico de diseño Top-Down, para el diseño de la red, este marco permite iniciar desde los niveles superiores del diseño, transmitiendo los requerimientos y o especificaciones a los niveles inferiores, permitiendo establecer funciones específicas entre los diferentes componentes del diseño, esto permite realizar los ajustes en cada una de las etapas, brindando flexibilidad en el ciclo de vida del diseño de la red. Por otro lado, esta metodología permite trabajar en partes más pequeñas a medida que se avanza en el proyecto, lo que permite enfocarse productivamente en el cumplimiento de los objetivos, adicionalmente permite minimizar el impacto que pueda tener los cambios que aparezcan cronológicamente en el diseño, de esta manera se tiene una actualización del proyecto y su monitoreo continuo, ajustándose a los requerimientos iniciales o los que se puedan presentar en el ciclo de vida del proyecto. 1.17 IMPACTO La implementación de una infraestructura de red de área local (LAN-WAN) estandarizada para el soporte de la Intranet con aseguramiento de la Información, aumentará las posibilidades para que el Centro Radiológico Digital Américas CRA potencialice nuevos clientes, garantizará la correcta gestión administrativa y operativa, definiendo los procesos internos y sus responsables, tendrá documentación que permitirá controles internos y el análisis de resultados en tiempo real para la toma de decisiones. Facilitará desarrollar planes de mejora continua, basados en los datos recolectados a través de las distintas herramientas y aplicativos existentes ahora conectados en la misma red, para el análisis permitirá la concientización y aumento de las competencias del personal sobre las buenas prácticas y el uso de la información, aumentará el sentido de pertenencia de cada uno de los colaboradores a la empresa.

25

Adicional, la empresa incrementará sus beneficios, con el aumento de la satisfacción de sus clientes, aumentará su participación en el mercado y ampliará su rango de gestión. La organización estará dotada de políticas de calidad, que, compartiendo la filosofía organizacional de otras entidades, le proporcionará mayor confianza externa. Sin embargo, hay factores negativos que se deben tener en cuenta, y es que, el alcance de este proyecto es una propuesta, debido a que la empresa actualmente no cuenta con el musculo económico para realizar un inversión de implementación, por ende, la problemática que se ha presentado hasta el momento va a permanecer, e inclusive puede aumentar, la empresa debe hacer unos esfuerzos en cuanto a la planeación estratégica para provisionar los recurso que permitan realizar una mejora tecnológica a corto plazo, ya que es inminente la obsolescencia de la infraestructura tecnológica, y esto acarreará consecuencias adicionales en todos los aspectos de la empresa, tales como: deficiencia, e ineficacia en los procesos, aumento en los riesgos de perdida de información valiosa, riesgos tecnológicos, económicos, comerciales, legales, de sostenibilidad, de imagen, de crecimiento, entre otros. 1.18 CRONOGRAMA Las actividades y los tiempos de realización del cronograma se describen en el ANEXO B. Cronograma de actividades

26

2 ANÁLISIS DE REQUERIMIENTOS La necesidad de mejorar la infraestructura de red y debido a la situación económica actual, el Centro Radiológico Américas CRA, buscan optimizar los recursos con los que cuenta, entre ellos la infraestructura tecnológica y centralización de la información e integración del software asociado a sus aplicaciones. 2.1 ENTREVISTAS CON USUARIOS Y PERSONAL TÉCNICO Uno de los aspectos más importantes para conocer el estado actual y las necesidades de la empresa, es tener fuentes de información de primera mano que faciliten el levantamiento de información, por tal motivo, se realizaron varios encuentros con el personal de la empresa y se aplicaron diferentes instrumentos de recolección de información. Se establecieron grupos foco en todos los niveles organizacionales y se involucraron personas, procesos y equipos que, facilitaran la recolección de información relevante; uno de esos instrumentos fueron los cuestionarios, que permiten identificar controles en la organización y conocer el nivel de eficiencia de los procesos, estos, se componen de un conjunto sistemático de preguntas dirigidas a personas de la alta dirección y personal operativo especializado en las diferentes áreas del Centro Radiológico Américas CRA; por otro lado, con el fin de acceder a información que no se obtiene con los instrumentos mencionados, se realizaron entrevistas y visitas de campo para observar los procesos y personas directamente en la operación. La información recolectada, fue analizada, para poner en línea los objetivos de TI con los objetivos de negocio de la empresa, facilitando la implementación de las metodologías de los marcos de trabajo Top Down, NIST CSF y COBIT propuestas para este proyecto.

2.1.1 Entrevistas

Se realizan dos (2) entrevistas, la primera seguridad lógica de la red corporativa del Centro Radiológico Digital Américas CRA, y la segunda la para evaluar la seguridad física de la red. Se realizan al encargado de la oficina de TI con el objetivo de conocer acerca de la administración de esta. El formato de las entrevistas se encuentra en el ANEXO I. Formato Entrevistas Usuarios Para evaluar la seguridad física de la red de la organización se tienen en cuenta los siguientes controles:

• Utilización de los equipos de red y de comunicaciones

• Control equipos redes y comunicaciones.

• Control de la protección y tendido de cables y líneas de comunicación.

• Controles para perdida de la información y desastres.

27

En la entrevista a la seguridad física de la red, se obtuvieron los siguientes hallazgos:

• No hay mecanismo de control de acceso al área de sistemas y cualquier funcionario de la empresa puede ingresar.

• El servidor de imágenes no se encuentra en conjunto con los demás elementos de la red.

• No existen equipos para monitorización de la red en la empresa.

• El cableado UTP de la red no se encuentra etiquetado.

• El rack de comunicaciones no posee etiquetas para sus elementos y no se le ha organizado debidamente.

• No existen planes de contingencia en cuanto a fallas en las telecomunicaciones entre la sede, lo que puede afectar la continuidad del negocio, ya que la mayoría de los procesos del Centro Radiológico Digital Américas CRA, dependen del servicio de internet.

• Los equipos de red y cómputo no están protegidos en su totalidad sobre posibles amenazas físicas y ambientales.

En la entrevista aplicada a seguridad lógica de la red, se obtuvieron los siguientes hallazgos:

• No existen controles de errores para detectar fallas de transmisión en la red ya que no hay monitorización.

• No existen controles para asegurar que las transmisiones van solamente a usuarios autorizados.

• No existen ni se utilizan herramientas para mapeo de redes, monitorear tráfico de red y herramientas para administrar la seguridad de los servicios de red.

• Nunca se han ejecutado herramientas que permitan identificar vulnerabilidades en la red ya que nunca se han realizado auditorias de seguridad informática.

• No existen ni se utilizan herramientas de criptografía para el cifrado de datos.

• Existen controles de seguridad en la red como firewalls, estos son los que vienen por defecto configurados en los routers, pero son vulnerables a cualquier intrusión. Esto se demostró en la fase de ejecución de pruebas de penetración, en donde se logró escanear toda la subred de datos de la empresa.12

12 CORTES CAMACHO, Jesús German. auditoría a la seguridad de la red de datos de la empresa panavias s.a. [En Linea] Especialista en Seguridad Informática. Universidad Nacional Abierta y Distancia “UNAD” Facultad de ciencias Básicas e Ingeniería Especialización en Seguridad Informática San Juan de Pasto, Colombia 2016 [Consultado el 6 de febrero de 2019]. Disponible en

https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/11941/1/1085267906.pdf#page=74&zoom=100,0,608

28

2.2 RECOMENDACIONES ESTRATÉGICAS Actualmente las sedes cuentan con cableado 5E; para las adecuaciones propuestas, se utilizará cableado categoría 6A, tanto para la distribución de puntos de voz, como para la de datos. Es recomendable definir como proveedor de servicios de red, la empresa u operador que tenga mayor cobertura en Bogotá, de esta manera podemos minimizar amenazas de falla en la comunicación entre sedes. Es de suma importancia estandarizar los subsistemas basados en etiquetado, código y colores del cableado, para que se pueda identificar cada una de las redes, por medio de la implementación de la norma ANSI/EIA/TIA-606A se podría lograr este objetivo. Para el desarrollo del proyecto es vital cumplir con las normativas y estándares vigentes, y de esta manera el mantenimiento y usabilidad de la red estarán a la vanguardia de las nuevas tecnologías. 2.3 METAS DE NEGOCIO Los anuncios generales de logros dentro de la organización, para la mejora de la red corporativa (WAN y LAN) y los objetivos específicos, pasos o medidas que se tomaran para alcanzar estas metas propuestas. Las metas de negocio son de gran importancia para el Centro Radiológico Digital Américas CRA, ya que clarifican el propósito de la organización y ayudan a identificar las acciones necesarias, en nuestro caso la mejora de la red corporativa. Conociendo el contexto de la empresa, su actividad económica, su visión, misión y sus objetivos estratégicos, podemos establecer las metas de negocio que la empresa tiene en el marco de su proyección en el desarrollo de la misma. Identificando cuáles son las metas y desafíos que el centro radiológico digital Américas CRA, definió como prioritarias por el alto porcentaje de su cumplimiento para la mejora de la red corporativa se plantea en la tabla 1 Metas de Negocio. Buscando el logro de los objetivos del Centro Radiológico digital Américas CRA y de acuerdo con la estrategia planteada por las directivas de la organización, se establecen los pesos o porcentajes para cada uno de las metas y objetivos, cuya sumatoria debe ser igual a uno (1).

29

Tabla 1 Establecimiento de Prioridades

Fuente: Análisis de entrevista con la dirección del CRA

2.4 ANÁLISIS DE METAS TÉCNICAS Con base en la información obtenida del Centro Radiológico Américas CRA, se determinó la prioridad de las metas técnicas, estas incluyen servicios de uso en red, disponibilidad escalabilidad, seguridad, adaptabilidad y accesibilidad. La solución a los siguientes ítems se verá en el capítulo de diseño.

Meta – Objetivo Prioridad Cumplimiento

Mejorar la Infraestructura de la red

• Estableciendo una única red de Voz y Datos

• Garantizando proyección y crecimiento

• Interconexión de las Sedes Kennedy, Suba y Bosa

• Mayor cobertura de Servicios

35 %

95 %

Asegurar la Disponibilidad de la red

• Cubriendo el acceso desde cualquier punto de la compañía

• Cobertura inalámbrica 100%

25%

95 %

Mejorar la Seguridad de la red

• Garantizando que la información esté disponible cuando se necesita, que sea confiable con acceso seguro y autorizado.

20%

100 %

Meta – Objetivo Prioridad Cumplimiento

Operación

• Disminución de tiempos de respuesta en los procesos internos.

20%

90 %

Total Programación por Metas y Objetivos 100 %

30

Tabla 2 Metas técnicas

Aspecto Meta Prioridad Cumplimiento

Disponibilidad • Redundancia en Puertos y Conexiones entre todos los dispositivos de la red para garantizar que los servicios funcionen de manera permanente

• Mejorar la velocidad de conexión de la red para lograr sincronización de procesos de la compañía

• Tiempos de Respuestas y Recuperación a fallos al implementar una solución de alta Velocidad

35 % 95 %

Escalabilidad • Garantizar que se puedan incluir nuevos usuarios (estaciones de trabajo) a la red

• Implementar red inalámbrica en las 3 sedes para acceso de colaboradores y usuarios final.

25% 90 %

Seguridad

• Revisar y actualizar las actuales políticas de Seguridad e implementando las que falten, así como los controles

• Estructuración de niveles de seguridad para los accesos de control de los servicios de Datos, Voz, Multimedia

• Control y restricción de acceso de usuarios

• Control y restricción de información compartida

25% 90 %

31

Aspecto Meta Prioridad Cumplimiento

Soporte y Monitoreo

• Tolerancia a Fallos

• Soporte a la aplicación para la toma de Tomografías

• Soporte y Gestión de red

• Generación de Reportes

15% 95 %

Total Programación por Metas Técnicas 100 %

Fuente: Análisis de entrevista con la dirección del CRA

2.5 ANÁLISIS SISTEMA EXISTENTE El análisis se basa en la localización de los dispositivos más importante en la infraestructura de red; se realizará un esquema de la red actual de las tres sedes del Centro Radiológico Américas CRA, dejando evidenciar que, el diseño lógico de la red se mantiene en las tres sedes, aunque la obra civil es diferente, el diseño lógico. En cuanto a la parte eléctrica, se encuentra una instalación regulada por cada uno de los equipos primarios, se tiene la posibilidad de vincular los equipos que se incorporan en el diseño en una instalación regulada general. 2.6 SITUACIÓN DE LA RED ACTUAL La red actual del Centro Radiológico Américas CRA, cuenta con una topología física en estrella con direccionamiento IPv4 estático, en términos generales la red actual tiene un diseño plano como lo muestran las siguientes figuras.

32

Figura 2 Red lógica actual

Fuente: Elaboración propia

La red actual del Centro Radiológico Américas CRA, cuenta con una red física como lo muestra la siguiente figura.

33

Figura 3 Red física actual


2.6.1 Sede Kennedy

Las instalaciones del Centro Radiológico Digital Américas CRA Sede Kennedy cuentan con 2 pisos organizados de la siguiente manera, su infraestructura actual de red de datos está basada en: En el primer piso se ubica:

• Servicio al cliente con (15 Puntos),

• Call center (10 Puntos)

• Recepción (4 Puntos)

34

En el segundo piso se encuentra:

• Recursos Humanos con (15 Puntos)

• Comercial con (15 Puntos)

• Departamentos de Marketing y Publicidad (20 Puntos)

• Compras (5 Puntos)

• Contabilidad y cartera (8 Puntos)

• Sala de juntas (5 Puntos)

• TI (20 Puntos)

• 1 Switch TP-Link 24 ptos 10/100/1000 tl-sg1024d


• 1 Switch TP-Link Tl sf 1048 48 ptos 10/100,

• 1 Switch TP-Link de Sobremesa no administrado de 8 puertos a 10/100 Mbps Los servidores del panorámico se encuentran en el primer piso, los servidores del negocio son de tecnología Dell, ubicados en el segundo piso, los cuales contienen las aplicaciones administrativas y operativas de la organización, en estos servidores están los de archivos de la base de datos del equipo panorámico, con sistema operativo Windows XP SP3, sin soporte. Figura 4 Topología red actual sede Kennedy


35

2.6.2 Sede Bosa

Las instalaciones del Centro Radiológico Digital Américas CRA Sede Bosa cuenta

con 1 piso organizado de la siguiente manera, su infraestructura actual de la red de

datos sede bosa está basada en:

• Switch Tp-Link 24 ptos 10/100/1000 tl-sg1024d


• Switch Tp-Link Tl sf 1048 48 ptos 10/100, Switch Tp-Link de Sobremesa no

administrado de 8 puertos a 10/100 Mbps

Los servidores del Panorámico se encuentran en el primer piso, los servidores del

negocio son de tecnología Dell, los cuales contienen las aplicaciones

administrativas y operativas de la organización de la sede, en estos servidores están

los de archivos de la base de datos del equipo panorámico, con sistema operativo

Windows XP SP3, sin soporte.

En este piso se ubica el área servicio al cliente con (10 Puntos), Call center (5

Puntos) y la recepción (4 Puntos), comercial con (10 Puntos), Marketing y Publicidad

(5 Puntos), Compras (5 Puntos), contabilidad (4 Puntos), TI (20 Puntos).

Figura 5 Topología red actual sede Bosa


36

2.6.3 Sede Suba

Las instalaciones del Centro Radiológico Digital Américas CRA Sede Suba cuenta con 1 piso organizado de la siguiente manera, su infraestructura actual de la red de datos sede bosa está basada en:

• Switch TP-Link 24 ptos 10/100/1000 tl-sg1024d


• Switch Tp-Link Tl sf 1048 48 ptos 10/100, Switch Tp-Link de Sobremesa no administrado de 8 puertos a 10/100 Mbps

Los servidores del Panorámico se encuentran en el primer piso, los servidores del negocio son de tecnología Dell, los cuales contienen las aplicaciones administrativas y operativas de la organización de la sede, en estos servidores están los de archivos de la base de datos del equipo panorámico, con sistema operativo Windows XP SP3, sin soporte. En este piso se ubica el área servicio al cliente con (10 Puntos), Call center (5 Puntos) y la recepción (4 Puntos), comercial con (10 Puntos), Marketing y Publicidad (5 Puntos), Compras (5 Puntos), contabilidad (4 Puntos), TI (20 Puntos). Figura 6 Topología red actual sede Suba


37

2.7 TECNOLOGÍAS ACTUALES CRA

2.7.1 Ethernet

EL Centro Radiológico Digital Américas CRA sede administrativa, cuenta con los equipos de switching de piso 1, maneja velocidades de 10, 100 o 1000 megabit/seg, esta ganancia se pierde ya que maneja modos de trasmisión semi dúplex.

2.7.2 Cableado Estructurado

El diseño consta de un centro de cableado, compuesto por un gabinete para datos, con los siguientes elementos:

• Organizadores de cables

• Patch Panels de 24 puntos

• 2 ventiladores, para extracción de calor

• 1 Multi-Toma tipo hospitalaria

• 1 barra a tierra

• El Cableado para datos, incluidos Patch Panel, es categoría 5A. Todos los puntos se llevan a cajas a través de bandejas, por medio de una tubería Conduit tipo EMT, a partir de estas cajas se distribuirán los puntos de voz y datos, según se requiera, utilizando Patch Cords de 20m, cada caja tiene un Patch panel de 24 puntos. El centro de cableado no cuenta con la señalización adecuada, los Patch panel no cuentan con la correcta identificación por número de piso, número del Patch panel y el número del puerto, esto dificultaría la adecuada identificación. La situación actual del cableado del piso 1 al 2 esta sobre bandejas metálicas, se evidencia que el cableado se encuentra comprimido en la canal, con solo un 8% de espació libre, esta misma distribución de los centros de cableado se repite en las sedes de Bosa y Suba. 2.8 TRÁFICO DE LA RED Se despliegan diferentes pruebas para identificar posibles modelos de autosimilitud en el segmento de red; se evidencia que existe un estándar que se repite a sí mismo, al cambiar su escala de medida y las estadísticas del proceso no varían.

38

2.8.1 Análisis de rendimiento de la red LAN

Con la ayuda de la aplicación Nagios (Open Source), software para el análisis e identificación de problemas en redes de comunicaciones, se realiza el análisis en diferentes horas, para así obtener mayor información sobre el tráfico de la red, estos análisis son realizados en horas de la mañana y de la tarde, periodos donde se identifica el mayor tráfico de información. Se realiza la captura de paquetes con una duración de 5 minutos en 8 Dispositivos de la sede Kennedy. 2.8.1.1 Pruebas de tiempos respuestas hacia dispositivos Se realiza un levantamiento de información de tiempo de latencia para los equipos de comunicaciones y se crearon medidas de monitoreo para cada uno de estos equipos, se analizan los resultados al momento en que el tiempo de la respuesta sea mayor al límite establecido para la prueba. Se realiza el análisis de información de puertos de servicios (TCP UDP) que están trabajando en la red corporativa CRA, se crean parámetros de monitoreo para cada uno de los puertos de servicio y se probaron notificaciones al caer uno de los puertos. 2.8.1.2 Resultados análisis red corporativa CRA Figura 7 Análisis red Nagios Net A

39

Fuente: Analisis red Corporativa CRA, Herramienta Nagios Network Analyzer

Figura 8 Análisis red Nagios Net B

Fuente: Analisis red Corporativa CRA ,Herramienta Nagios XI

Figura 9 Análisis red Nagios Net C

Fuente: : Analisis red Corporativa CRA ,Herramienta Nagios XI

40

Figura 10 Estado servicio red

Fuente: : Analisis red Corporativa CRA, Herramienta Nagios XI

Después de haber realizado las pruebas y su respectivo análisis, se identificaron los problemas actuales en la red objeto de estudio. Los datos obtenidos en la recolección de datos con la aplicación Nagios (Open Source), permitieron llegar a las siguientes conclusiones: El porcentaje de uso comprobado, permite conocer el uso que los usuarios le dan al ancho de banda cuando acceden a sus diferentes sistemas y aplicativos, se visualizar el comportamiento de la red durante el tiempo que se realizaron las pruebas. Con el análisis de tráfico de la red corporativa del Centro Radiológico Digital Américas CRA, obtenido con la aplicación Nagios (Open Source), Figuras 7,8,9 y 10, se logra evidenciar que el rendimiento de la red corporativa se encuentra con altos niveles de saturación debido a las siguientes causas:

• Velocidad insuficiente del canal.

• Ausencia de estrategias QoS. Esto comprueba que la infraestructura tecnología de comunicación no cumple con el estándar adecuado de velocidad, adicional se detectaron posibles puntos vulnerables, de acuerdo a las siguientes causas:

41

• Falta de políticas de seguridad en la red interna, tales como, permisos y restricciones para los usuarios.

• No existe un servidor de autenticación para el acceso, control y administración de los usuarios.

• Acceso no controlado a los servicios de internet.

• Ausencia de mecanismos de control y administración en el almacenamiento de archivos.

• El Router del proveedor de Internet no cuenta con seguridad, ya que el mismo no es administrable.

Con base en el análisis de la situación actual de la red, se identifica que la red LAN del Centro Radiológico Digital Américas CRA, requiere implementar un diseño eficiente de red de datos, que garantice su rendimiento, disponibilidad y seguridad.

42

3 DISEÑO DE LA SOLUCIÓN En este capítulo se especifica y plantea una topología de red que satisface los requerimientos del Centro Radiológico Digital Américas CRA, para la mayoría de los casos, el modelo en estrella o estrella extendido y el protocolo CSMA/CD utilizado es el 802.3. La topología de red puede ser subdividida en 3 categorías del modelo OSI, este esquema es la base del diseño jerárquico de redes de área local que se propone. Diseño de capa 1 Esta capa es la que realiza el control, como la información es transmitida entre nodos por lo que el tipo y medio de topología que se utilice determina la cantidad de información que navegará en la red y la velocidad con la que puede ser transmitida.13 Diseño de la capa 2 Proveer un control sobre la información, detección de errores y corrección de los mismos así mismo busca mejorar la gestión de la red mediante el filtrado de paquetes, se puede encontrar los dispositivos de red como Routers y switches entre otros.14 Diseño de la capa 3 Los dispositivos que podemos encontrar en esta capa son los routers que pueden ser usados para crear segmentos únicos de red tanto físicos como lógicos y permiten la comunicación en los segmentos de red a través de direccionamientos IP. El router se encarga de realizar el enrutamiento de la información basándose en las direcciones IP de sus vecinos más próximos, el router es considerado un punto de

13 GAMEZ PRIETO, Daniel. Metodología para el análisis y diseño de redes fundamentados en Itil 4,

para empresas de servicio [En Línea]. Bogotá: Universidad Libre de Colombia, Facultad de Ingeniería, Ingeniería de Sistemas e Informática. 2012., 24 p. Disponible en https://www.academia.edu/30820270/METODOLOG%C3%8DA_PARA_EL_AN%C3%81LISIS_Y_DISE%C3%91O_DE_REDES_FUNDAMENTADOS_EN_ITIL_4_PARA_EMPRESAS_DE_SERVICIO

14 Ibid., p.29

https://www.academia.edu/30820270/METODOLOG%C3%8DA_PARA_EL_AN%C3%81LISIS_Y_DISE%C3%91O_DE_REDES_FUNDAMENTADOS_EN_ITIL_4_PARA_EMPRESAS_DE_SERVICIO



43

entrada o de salida de los dominios de difusión y retiene las difusiones para alcanzar otros segmentos de red remotos.15 3.1 DISEÑO LÓGICO Se deben establecer las interfaces existentes y que se hallan definido en cada uno de los routers, así mismo identificar las VLANs que se encuentran implementadas para determinar la segmentación de la red, de esta manera se identifica el tráfico de la red, y los permisos de red que contiene cada una de estas interfaces.16 3.2 DISEÑO DE TOPOLOGÍA LÓGICA El siguiente diagrama permite ver la forma como está distribuida la red del Centro Radiológico CRA de una manera general, se ilustran las tres sedes que la conforman, la sede de Kennedy (administrativa y comercial), esta cuenta con 117 puntos de datos, los cuales están distribuidos en 2 pisos, los servidores de aplicaciones corporativas (Intranet), donde se encuentran las BD de negocio y un centro de cableado de categoría 5E. Las sedes de Bosa y Suba, presentan la misma distribución en equipos e infraestructura, cuentan con un centro de cableado en el primer piso, en el cual se encuentra un Router de conexión a internet y un Switch de conexión con los equipos terminales. No existe comunicación entre las sedes, solo se realiza transferencia de archivos a través del correo electrónico y la información se procesa en cada sede para su actualización.

16 GAMEZ.Op. cit., p.59

44

Figura 11 Topología Lógica de las tres sedes


3.3 MODELO JERÁRQUICO Y REDUNDANTE Se propone diseñar una infraestructura de red de datos, que permitirá la fácil administración y rápida e identificación de los problemas, esta propuesta debe permitir:

• Optimizar los recursos disponibles.

• Segmentar lógicamente la red de datos, mediante VLANs basadas en las áreas de trabajo y sedes del Centro Radiológico CRA, para mejorar el rendimiento y seguridad.

• Monitorear el estado de la red de datos actual, haciendo uso de las herramientas tecnológicas disponibles, con la finalidad de conocer el estado de la red, ofrecer un soporte rápido, eficiente y oportuno si surgiera una falla que afecte su disponibilidad y rendimiento.

• Adquirir equipos de tecnología Mikrotik, necesarios para los enlaces entre las sedes, implementando canales PPTP (Point to Point Tunneling Protocol) para la conexión entre ellas.

El modelo jerárquico y redundante contempla un modelo de tres niveles o capas, en el cual, el tráfico se mantiene a nivel local y se canaliza a las partes de la red adecuadas.

45

• Capa de núcleo (Core): esta capa provee la interconexión de los dispositivos de la capa de distribución y conectan la red LAN a las redes externas, por ejemplo, Internet y la red WAN para la sede Bosa y Suba. Es en esta capa donde se encuentran los routers de borde. Para un buen rendimiento de la red, los equipos de la capa de núcleo deben proveer altas tasas de transferencia con latencias muy bajas, su función debe limitarse sólo al reenvío de paquetes, minimizando el procesamiento.

• Capa de distribución: en esta capa se interconectan los dispositivos de la capa de acceso y provee funcionalidades de ruteo entre las diferentes subredes de la red LAN, dividiendo los dominios de broadcast, usualmente, por medio de VLANs. En esta capa es posible encontrar routers y switches de capa 3 y también se realizan controles de seguridad por medio de reglas de filtrado.

• Capa de Acceso: en la capa de acceso se tiene los dispositivos finales conectados a los switches, access points y bridges, además, es la encargada de controlar qué dispositivos pueden conectarse a la red y cuáles no.

Figura 12 Modelo jerárquico, redundante y seguro general


46

La interconexión de las redes LAN (Redes de Área Local) de las sedes Kennedy, Bosa y Suba, se realizará por medio de una red WAN (Wide Área Network), para la comunicación entre los distintos puntos de la red WAN, se propone utilizar la tecnología IP/MPLS de Movistar Telefónica para las trasferencias de información entre las diferentes sedes. Sobre los canales de datos se puede establecer calidad de servicio, donde cada sede tendrá un segmento independiente. Figura 13 Conexión WAN


3.4 DIRECCIONAMIENTO IP Y NOMBRES

Existen varias clases de direcciones IP que, dependiendo de la situación, se puede

usar de forma eficaz, dependiendo de la exigencia de hosts por red, para nuestro

caso se propone utilizar la Clase B, que comprende las direcciones 128.0.0.0 a

191.255.255.255, cantidad de redes 16.384, cantidad de host 65.534 se aplica para

redes medianas.

47

En una dirección de Clase B, los dos primeros octetos son la parte de la red, así

que el ejemplo de Clase B en la Figura 14 tiene una dirección de red principal de

128.0.0.0 - 191.255.255.255. Los octetos 3 y 4 (16 bits) son para subredes locales

y hosts. Las direcciones de clase B se utilizan para redes que tienen entre 256 y

65534 hosts.

Una dirección IP de clase B, tiene los dos primeros bits del primer octeto de 10, es

decir:

1 0 0 0 0 0 0 0 1 0 1 1 1 1 1 1

128 191

Direcciones IP de Clase B rango de 128.0.x.x a 191.255.x.x. La máscara de subred predeterminada de la Clase B es 255.255.x.x. Clase B tiene 16384(214) direcciones de red y 65534 (216 -2) direcciones de host. Dirección IP de Clase B formato es: 10NNNNNN.NNNNNNNN.HHHHHHHH.HHHHHHHH

Para clase B, los dos primeros bit del primer octeto se reserva para ser los bits iniciales que identifica a la clase.

Figura 14 Calculo Subnetting

Fuente: Herramienta Subneting calculadora redes

48

3.4.1 Explicación detallada

Es posible tener los 126 equipos por subred, porque hay suficientes bits a 0 en la máscara. Hay 11 bits a cero (y 211 - 2 es mayor igual a 126), como se puede observar en la mascará: 11111111.11111111.11111000.00000000 Para tener los equipos que se especificaron es necesario utilizar al menos 7 bits, porque 27-2=126 y este resultado es mayor o igual a 126 (que son el número de hosts especificados). Esos bits son los que se deben modificar para cambiar el número de hosts dentro de la misma subred, es decir, para asignarle una nueva dirección IP dentro de la misma subred a un equipo nuevo. Se expone la máscara origen indicando en azul los bits que serán utilizados para especificar (en la dirección ip) el número de host dentro de la misma subred.

11111111.11111111.11111000.00000000

Ahora, partiendo del calculo que se ha hecho en el paso de antes, calcular los bits reservados para el número de host, calculamos la máscara ampliada cambiando los ceros que no serán utilizados para hosts en unos, es decir, los bits que se han marcado como verdes debemos convertirlos en unos. Tal y como se indica a continuación: Mascara origen: 11111111.11111111.11111000.00000000(255.255.248.0) Mascara ampliada:11111111.11111111.11111111.10000000(255.255.255.128) A partir de ahora, todas las subredes que tengamos usarán esta máscara ampliada (todas la misma). Los unos en color verde de la máscara ampliada son los que tendremos que cambiar en la dirección IP para cambiar el número de subred. Como puedes observar, tenemos 4 bits reservados para la creación de subredes y esto nos permite tener 24 subredes, o lo que es lo mismo, 16 subredes. Ahora, la máscara ampliada nos indica que bits podemos cambiar en la dirección de red. La dirección de red para la dirección ip que has indicado es: 128.192.0.0, con lo que, según la máscara ampliada, los bits que modificaríamos serían: Máscara ampliada:11111111.11111111.11111111.10000000 255.255.255.128

Dirección de red: 10000000.11000000.00000000.00000000 128.192.0.0

49

A continuación, se muestran todas las subredes que se podrían crear con la configuración dada. Ten en cuenta que la dirección de subred indica el primer equipo de la subred y que la dirección de broadcast el ultimo equipo de dicha subred. Además, ten en cuenta que todas las subredes tienen la misma máscara ampliada (255.255.255.128)

3.4.2 Subredes CRA

En esta gráfica se observa el direccionamiento que tendrá el centro radiológico Américas CRA. Gráfica 1 Subredes

Fuente: Herramienta Subneting Lucerna calculadora redes disponible en linea http://148.245.159.60/calc/calcsubnet.html

Se observa que la única diferencia entre la dirección de red y la dirección de broadcast es que en la sección del número de host (los bits en azul), en la dirección de red son todos cero y en la dirección de broadcast son todo unos. Entre el rango comprendido entre la dirección de red y la de broadcast estarán todos los equipos de la subred.

50

3.5 DISEÑO FÍSICO DE LA RED En el diagrama físico de la red de datos del Centro Radiológico Américas CRA, se ve reflejada la distribución física de los dispositivos que componen la red, por cada una de las sedes.

3.5.1 Cableado a utilizar

La conexión principal (MC) y la conexión intermedia (IC), la cual se realiza con cables Interfaces de cobre al rack de piso 2 HC (cableado vertical), estos cables están en 10GBase-T (par trenzado Cat 6 A, 100m) a velocidad de 10 GB. En cada uno de los racks de piso, la conexión cruzada horizontal (HC), se hace con cables UTP en base T a velocidades de 10GB. La conexión entre los Smith de piso y dispositivos finales, como la conexión entre los switch de acceso a servidores de la organización, se realiza con Patch Core UTP AMP categoría 6A. La conexión principal (MC/IC), ubicada en el primer piso, provee salida a la WAN del operador ISP seleccionado, a través del cableado 10GBase-T par trenzado Cat 6A, 100m a velocidad de 10 GB.

3.5.2 Racks

Los sistemas de armarios rack permitirán al Centro Radiológico Digital Américas CRA en, en un espacio reducido, contar con todo conectado, como son: Servidores, UPS, electrónica, teléfono y cualquier otra herramienta que necesite. Rack tipo MC/IC en la sede Kennedy, el cual se ubica en el centro de cómputo del piso 1, este se conecta al rack tipo HC del piso 2 de la sede. En la sede Bosa y Suba, rack tipo conexión intermedia (IC / HC). La sala de telecomunicaciones primaria conexión cruzada principal (MC). La MC es el centro de la red. Es allí donde se origina todo el cableado y donde se encuentra la mayor parte del equipamiento. La conexión cruzada intermedia (IC) se conecta a la MC y puede albergar el equipamiento de un edificio en el campus. La conexión cruzada horizontal (HC) brinda la conexión cruzada entre los cables backbone y horizontales en un solo piso del edificio.17

17 PERALTA REYES, Alexandra, MARTIN SANDOVAL, Luis, VIVAS Juan, BELTRÁN MORENO Derly, MORA

VARELA, Medardo. AGUIRRE Marco, PEÑA, Jader. Cableado Estructurado [En Línea]. Bogotá: Servicio Nacional de Aprendizaje Sena. Centro de Electricidad, Electrónica y telecomunicaciones complejo sur 2014., Disponible en http://spartbeat.blogspot.com/2015/01/actividad-conceptos-sobre-cableado.html

51

Figura 15 Diagrama propuesto MC/IC KENNEDY


Figura 16 Diagrama propuesto HC sede Kennedy 2 piso


52

Figura 17 Diagrama propuesto general IC/HC sedes


3.6 PROPUESTA CABLEADO ESTRUCTURADO Mediante la instalación de cableado estructurado se busca crear una infraestructura que sea altamente confiable con capacidad de ofrecer servicios de telecomunicaciones, de acuerdo con los nuevos requerimientos para el manejo de la información. De acuerdo al análisis y entrevistas realizadas al Centro Radiológico Digital Américas CRA, se evidencia que la red necesita ser reemplazada por un sistema de cableado que cumpla con las exigencias y estándares requeridos para la transmisión de datos, se propone utilizar UTP Cat 6A. El Centro Radiológico Digital Américas CRA tienen instalado cable UTP Cat 5E y se ve la necesidad de cambiar el cableado UTP a categoría 6A, el cual es adecuado para dispositivos y aplicaciones de la sede principal y sucursales, incluidos puntos de acceso inalámbricos, datos, voz y vigilancia. Como cable horizontal de calidad para aplicaciones Ethernet de 1G.

53

3.6.1 Topología e infraestructura de la red

El sistema de cableado propuesto presenta una topología híbrida o topología mixta, en la cual, las redes pueden utilizar diversas topologías para conectarse, en esta topología, se combinan dos o más topologías para formar un diseño de red completo. 3.6.1.1 Ventajas de la Topología Hibrida

• Confiabilidad: Tienen mayor tolerancia a fallos que otras topologías. Una topología híbrida puede diagnosticar y aislar los fallos de manera eficiente. Un fallo de la red no afectará el rendimiento del resto de la red.

• Flexible: Las topologías híbridas son flexibles y están diseñadas para adaptarse a una variedad de entornos de red y necesidades18.

3.6.2 Cableado horizontal

Se estima que la “vida productiva” de un sistema de cableado para edificios comerciales debe ser de 15 a 25 años. En este período, las tecnologías de telecomunicaciones seguramente cambien varias veces. Es por esto que el diseño del cableado debe prever grandes anchos de banda, y ser adecuado tanto a las tecnologías actuales como a las futuras.19 El estándar ANSI/TIA/EIA-568 y sus recientes actualizaciones especifican los requerimientos de un sistema integral de cableado, independiente de las aplicaciones y de los proveedores, para los edificios comerciales. 20 Se propone el diseño de una estructura de cableado en estrella, y define una nueva nomenclatura a las diferentes etapas o sub sistemas del cableado. La distribución horizontal conecta las áreas de trabajo con los distribuidores o repetidores horizontales, ubicados en la sala de telecomunicaciones.

18 CORREA Luis. Las topologías [En Línea]. Ministerio de Educación Instituto Adventista Panameño.

2016. Disponible en http://chuckifutbolista.blogspot.com/ 19 JOSKOWICZ José. Cableado estructurado [En Línea]. Instituto de Ingeniería Eléctrica, Facultad

de Ingeniería Universidad de la República Montevideo, Uruguay. 2013., p 25. Disponible en https://iie.fing.edu.uy/ense/asign/ccu/material/docs/Cableado%20Estructurado.pdf

20 Ibid., p. 25.

http://chuckifutbolista.blogspot.com/

https://iie.fing.edu.uy/ense/asign/ccu/material/docs/Cableado%20Estructurado.pdf

54

Figura 18 Distribución de Cableado

Fuente: Güimi. Instalación de Cableado [imagen]. [Consultado: 2 de febrero de 2019]. Disponible en Internet: https://guimi.net/monograficos/G-Cableado_estructurado/G-CEnode14.html

3.6.2.1 Cálculo de cable horizontal UTP Cat 6ª Para calcular la longitud promedio de cable de los edificios y sucursales debemos

tener en cuenta:

• Determinar la ruta del cable y los conductos por donde pasa.

• Medir la distancia al punto más lejano (L)

• Medir la distancia al punto más cercano (C)

• Determinar la altura (A)

• Sumar y dividir en 2

• Multiplicar por los puntos a instalar (P)

• Añadir un 10% de holgura

Longitud promedio cable ((𝐿+𝐶+𝐴)

2) ∗ 𝑃

55

3.6.2.2 Cable vertical El Backbone de datos se implementará con cable UTP categoría 6A o con fibra

óptica Multimodo 12 Hilos OM3, se dispondrá de cables respectivamente desde

cada gabinete al gabinete seleccionado como centro de estrella.

3.7 DISEÑO DATA CENTER El objetivo del Data Center es ejecutar las aplicaciones centrales y almacenar datos operativos del centro Radiológico Américas CRA, además, ofrece medios de recuperación ante desastres (DR). El Data Center es el espacio donde se concentran los recursos necesarios para el procesamiento de la información de una organización. El estándar TIA 942A provee una serie de recomendaciones y guías o directrices, para el diseño e instalación de infraestructuras de Data Centers (centros de cómputo). La fibra multimodo se usa típicamente para la transmisión a corta distancia. Pero los alcances máximos varían en diferentes tipos de fibra multimodo. Además, debido a las diferentes velocidades de datos, las distancias de transmisión son diferentes. Sin embargo, la característica común es que OM1 siempre admite la distancia más corta, pero OM4 admite la más larga. Por ejemplo, basado en la misma velocidad de datos de 10 Gbps, el alcance máximo de OM1 es 33 m, OM2 es 82 m, OM3 es 300 m y OM4 es 550 m. Por lo tanto, si se requiere una transmisión de tamaño mediano, OM3 y OM4 son las mejores opciones.21 La utilización en los DC de fibras multimodo, queda reservada a los tipos OM3 y OM4 (50/125), y equipos con emisores LASER 850 nm, para los cableados de cobre, se recomienda el empleo de Cat 6 (mínimo) y Cat 6A apantallados. En este campo se coincide con ISO/IEC 24764, que reconoce únicamente enlaces Clase EA (Cat 6A), la selección de los conectores ópticos, queda reducida a los tipos LC Dúplex, para cables dúplex, y MPO para más de 12 fibras. Se propone usar arquitecturas centralizadas y jerárquicas, por ser más flexibles que los enlaces directos. Las áreas Funcionales de acuerdo con la TIA 942 en un centro de datos debe incluir las siguientes áreas funcionales: La fibra multimodo OM3 como la OM4 se pueden implementar en aplicaciones de 1GbE, 10GbE, 40GbE y 100GbE, aunque su distancia de transmisión cambia. En la

21 FOCC. Comparación de OM1, OM2, OM3 y OM4 En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en : http://www.fibresplitter.com/info/comparison-of-om1-om2-om3-om-37789606.html

56

Gráfica 2, se describen las respectivas distancias de transmisión máxima de OM3 y OM4 bajo distintas velocidades de transmisión. La distancia de fibra OM4 es mayor que la distancia de fibra OM3 basada en 10 Gb/s. Como regla general, se reconocen los 400m, pero todavía puede alcanzar hasta 500m, o incluso los 550m si se utiliza la fibra OM4 de ultra- alta calidad.22

• Una o más entradas al cuarto

• Área de distribución principal (MDA, Main Distribution Area)

• Una o más áreas de distribución horizontal (HDA, Horizontal Distribution

Area)

• Área de equipo de distribución

• Zona de distribución

• Cableado horizontal y el Backbone

Para el Centro Radiológico Américas CRA, es necesario implementar un data center Tier II - Centro de datos Redundante, el cual ofrece una disponibilidad del 99.741% con las siguientes características:

• Menos susceptible a interrupciones por actividades planeadas o no

planeadas.

• Componentes redundantes (N+1).

• Tiene suelos elevados, generadores auxiliares o UPS.

• Conectados a una única línea de distribución eléctrica y de refrigeración.

• Tiempo de implementación de 3 a 6 meses.

• El mantenimiento de esta línea de distribución o de otras partes de la

infraestructura requiere una interrupción del servicio. 23

22 FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en https://www.fs.com/mx/om3-vs-om4-multimode-fiber-which-one-to-choose-aid-935.html 23 GUILARTE María. ¿Qué es un Tier? [En Línea]. 2013. [Consultado el 5 de febrero de 2019].

Disponible en https://www.muycomputerpro.com/2013/03/14/que-es-un-tier

https://www.muycomputerpro.com/2013/03/14/que-es-un-tier

57

Gráfica 2 Distancias de transmisión OM3 y OM4

Fuente: FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? [imagen]. Consultado: 2 de febrero de 2019]. Disponible en https://www.fs.com/mx/om3-vs-om4-multimode-fiber-which-one-to-choose-aid-935.html

3.7.1 Seguridad en el data center

Debido al manejo de la información relacionada con imágenes diagnosticas del Centro Radiológico Américas CRA, se requiere establecer medidas de seguridad que protejan la infraestructura crítica de amenazas externas o intrusiones, que puedan atentar contra la información de la empresa, implementándolas en los siguientes aspectos: Seguridad perimetral Por la naturaleza de la empresa, no se requiere grandes medidas de seguridad como vidrios y paredes blindadas, pero si es necesario adoptar seguridad en las instalaciones que permitan restringir el acceso a personal no autorizado a las diferentes áreas de la empresa Seguridad Física Se debe restringir el acceso a las instalaciones, mediante tarjetas de acceso y control biométrico, contratando personal de vigilancia en el interior de las instalaciones, implementando sistemas de identificación y métodos de verificación que, dependiendo de los roles de cada empleado de la empresa, se permitirá asignar acceso a las diferentes áreas, instalación de circuitos cerrados de televisión CCTV permiten monitorear las partes internas del cuarto de servidores, sino, todas las áreas en general.

58

Es importante para el data center controlar los riesgos de incendios, mediante sistemas de detección, adicional a esto, se debe contar con una unidad de supresión de incendios y sistemas de extinción automáticos y manuales.

3.7.2 Sistema de enfriamiento de data center

El enfriamiento de los equipos es uno de los procesos más esenciales dentro de los DC, ya que los componentes TI liberan una cantidad elevada de energía, la que se convierte en calor el cual puede tener un impacto negativo en el rendimiento de los equipos TI, e incluso dañarlos. Los equipos en el centro de datos disipan demasiado calor, y se hace necesario crear una climatización estricta, tecnificada y especial, donde se logré la temperatura y humedad necesaria, para poder garantizar la integridad de los equipos y la información almacenada en ellos.

• Gestión optimizada del flujo de aire.

• Pasillos fríos y calientes.

• Refrigeración localizada.

• Máxima eficiencia con sistemas de agua fría. Un sistema de enfriamiento en DC tiene de 3 elementos fundamentales, un enfriador de agua, sistema de distribución y administración del aire (CRAC – Computer Room Air Conditioning, CRAH - Computer Room Air Handler) y una estrategia de enfriamiento por rack, por row, o por sala.24 ASHRAE es una organización encargada de liberar estándares respecto al enfriamiento de data centers, además de proponer temperaturas y humedades óptimas referenciales para el equipamiento TI. La Sociedad Americana de Ingenieros de Calefacción, Refrigeración y Aire Acondicionado Ingenieros ( ASHRAE / æ ʃ r eɪ / ASH -ray ) es una asociación americana profesional que buscan avanzar en la calefacción, ventilación, aire acondicionado y refrigeración (HVAC & R) el diseño y la construcción de sistemas.25

24 CARDENAS ZARATE, Simón Ernesto. Análisis de Arquitecturas Modernas de Data Center . [En Línea] Ingeniero Civil en Informática, Universidad Técnica Federico Santa María Departamento de Informática Valparaíso. [Consultado el 6 de febrero de 2019]. Disponible en: https://repositorio.usm.cl/bitstream/handle/11673/23408/3560900257190UTFSM.pdf?sequence=1&isAllowed=y#page=34&zoom=100,0,250 25 WIKIPEDIA, Ashrae [En Línea] [Consultado el 6 de febrero de 2019]. Disponible en: https://en.wikipedia.org/wiki/ASHRAE

59

3.8 INFRAESTRUCTURA ELÉCTRICA El sistema eléctrico de distribución planeado para el centro de datos del Centro Radiológico Américas CRA, será un alimentador trifásico que sale desde una fuente exterior provista por ENEL CODENSA, hacia a la empresa, por vía subterránea, llegando a un tablero eléctrico general.

3.8.1 Circuitos monofásicos

Estos serán instalados a partir del tablero principal hacia los racks, por medio de una escalerilla, la cual contará con un piso térmico, sus circuitos se extenderán desde su inicio hasta el pasillo central. Todos los circuitos terminarán en sus enchufes respectivos, en los cuales se conectarán a la toma múltiple de cada uno de sus módulos. Los conductores utilizados para alimentar los racks, son de tipo libre halógeno de 3*4 mm2.

3.8.2 Tierras físicas

Es importante contar con una conexión a tierra referencia a la norma técnica NTC colombiana 2050, código eléctrico colombiano, la cual debe tener una resistencia de cero a 0.5 Ohmios. Todas las acometidas cuentan con su respectiva canalización, de manera que el cable no sea afectado por un agente externo, ni afecte a los enlaces de telecomunicaciones, el cableado eléctrico también irá montado sobre una escalerilla metálica similar a la del cable UTP, todos los cables serán agrupados y sujetos de manera que este fijo a la escalerilla, de tal manera que se evite el movimiento. El sistema deberá contar con un sistema Ininterrumpido de Potencia Ups de 10 Kva. 3.9 SOLUCIÓN DE TELEFONÍA IP Se propone una solución telefónica IP a los requerimientos de comunicaciones de voz expuestos por el Centro Radiológico Américas CRA. Se propone la solución Grandstream Ucm6208, dedicada a la integración de soluciones de comunicación, la solución se basa en las plataformas de este fabricante.

60

3.9.1 Grandstream Ucm6208

Esta propuesta está diseñada para proporcionar una solución centralizada a las necesidades de comunicación del Centro Radiológico Américas CRA, el IP PBX de la serie UCM6200 combina funciones de voz, video, datos y movilidad para empresas en una solución fácil de manejar. Esta serie de IP PBX permitirá al Centro Radiológico Américas CRA, unificar múltiples tecnologías de comunicación, como voz, videollamada, videoconferencia (dependiendo las características técnicas de los teléfonos a instalar), herramientas de datos, opciones de movilidad y administración de acceso a las funciones en una red común que puede ser gestionada y/o accedida remotamente. La serie UCM6200 tiene características seguras y confiables ofrece funciones para empresas sin derechos de licencia, o algún costo por función o cargos recurrentes.26 3.9.1.1 Datos técnicos Grandstream Ucm6208

• Soporta hasta 800 usuarios, 50 cuentas troncales SIP, hasta 100 llamadas

simultáneas

• Aprovisionamiento sin configuración de terminales SIP Grandstream

• Máxima protección de seguridad posible usando cifrado SRTP, TLS y

HTTPS

• Dos puertos de red Gigabit con PoE integrado

• Soporta una IVR (Respuesta de Voz Interactiva) de hasta 5 niveles

• Servidor de grabación de llamadas integrado, acceso a grabaciones por

medio de la interfaz de usuario basada en la Web

• Soporta cola de llamadas para el manejo eficiente del volumen de llamadas

• Registro Detallado de llamadas (CDR) integrado para monitorear el uso de

teléfonos por línea, fecha, etc.

• Asistente automático de múltiples idiomas para manejar eficientemente las

llamadas entrantes

• Directorios telefónicos LDAP y XML integrados, plan de marcación flexible

• Soporta cualquier terminal de video SIP que emplee los códecs H.264,

H.263 o H.263+

• Soporta correo de voz y reenvío de fax a email27

26 GRANDSTREAM, Grandstream Ucm6208 Ip Pbx [En Línea]. 2019 [Consultado el 20 de Julio de 2019]. Disponible en https://es.grandstream.net/es/grandstream-ucm6208-ip-pbx.html 27 GRANDSTREAM, Op. cit.

61

Teléfonos GrandStream GPX1610

Los teléfonos IP GrandStream GPX1610 de mesa son los más utilizados en entornos profesionales. Hay una completa gama de telefonía IP que cubre desde terminales básicos con una línea y un puerto de red hasta los de gama alta con Bluetooth, pantalla a color, alimentación por PoE y gestión de múltiples líneas.28 3.10 PROVEEDOR DE VOZ El Centro Radiológico Américas CRA, para temas de telefonía IP, definió utilizar los servicios ofrecidos por Colombia Telecomunicaciones S.A. ESP (Telefónica Movistar). Se escogió como solución de telefonía, el servicio de Troncal SIP; dicho servicio es una solución integral que consiste de una red de comunicaciones corporativa donde se integran tanto la red de comunicaciones móviles, como la red transporte fija para la conexión de las comunicaciones hacia el PBX del Centro Radiológico Américas CRA, aportando eficiencia y mayor productividad a la empresa. Integración de llamadas a todo operador móvil desde las extensiones de la central telefónica. Para el producto estándar se define una llamada por una sesión de tal forma que se podrán realizar hasta 30 llamadas por cada 30 sesiones desde un único número móvil celular asociado a la central del cliente.

28 GRANDSTREAM, GRANDSTREAM GXP1610 HD IP pone. [En Línea]. 2019 [Consultado el 20 de Julio de 2019]. Disponible en https://es.grandstream.net/es/grandstream-gxp1610-hd-ip-phone.html?listtype=search&searchparam=GrandStream%20GPX1610

62

Figura 19 Solución de telefonía IP

Fuente: EXCALIBURCOMMS. MPLS-Network-Diagram (1) [imagen]. Consultado: 2 de febrero de 2019]. Disponible en https://www.excaliburcomms.co.uk/connectivity-solutions/mpls/mpls-network-diagram-1/

3.10.1 Planes Conexión Troncal SIP

Gráfica 3 Plan Móvil Bolsa de dinero

Fuente: Datos proporcionados por Movistar

https://www.excaliburcomms.co.uk/connectivity-solutions/mpls/mpls-network-diagram-1/

https://www.excaliburcomms.co.uk/connectivity-solutions/mpls/mpls-network-diagram-1/

63

Gráfica 4 Plan Móvil Todo destino

Fuente: Datos proporcionados por Movistar

Las centrales telefónicas del Centro Radiológico C.R.A se encuentran situadas en cada una de sus sedes, interconectadas. Regulan el tráfico entre las extensiones fijas. El acceso a la red de Movistar se realiza a través de un canal MPLS por el cual se transporta protocolo SIP que conecta PABX principal de Centro Radiológico Digital Américas CRA con la red telefónica. 3.11 SELECCIÓN TECNOLOGÍAS Y DISPOSITIVOS Dentro de la planeación estratégica del Centro Radiológico Américas CRA, se tienen principios estratégicos como: Garantizar la calidad del servicio, generar rentabilidad, garantizar la infraestructura, asegurar el crecimiento y desarrollo, mejorar la estructura de organización de la empresa, en los cuales se encuentra implícito la necesidad de minimizar costos, se seleccionaron dispositivos que ofrecieran características como: rentabilidad, calidad y economía; estos dispositivos debían cumplir con las necesidades de las tecnologías LAN y WAN, que permiten cumplir con los principios estratégicos y las metas técnicas definidas por la organización, de igual forma permiten dar alcance a los servicios de uso en red, disponibilidad, escalabilidad, seguridad, adaptabilidad y accesibilidad.

64

Estas tecnologías permiten interconectar las diferentes LAN del Centro Radiológico Digital Américas CRA, esto a través de la red WAN, la cual permite conexión de largo alcance, lo cual es apropiado para que las tres sedes de Bogotá estén conectadas; adicional, permite escalamiento de la red, en caso que la empresa requiera establecer una nueva sede, a continuación, se relacionan los detalles de los dispositivos que la dirección del Centro Radiológico Digital Américas CRA, desea implementar.

3.11.1 Estimación costos dispositivos

Gráfica 5 Dispositivos Lan y Telefonía IP Sede Kennedy

Fuente: Elaboración propia basada en investigación

65

Gráfica 6 Dispositivos LAN y Telefonía IP Sede Bosa


66

Gráfica 7 Dispositivos LAN y Telefonía IP Sede Suba


3.11.2 Referencias de dispositivos WAN

A continuación, se relaciona los dispositivos para la red WAN del Centro Radiológico Américas CRA, tabulando la referencia, la cantidad, la descripción del dispositivo y el valor en Colombia, estos dispositivos son ofrecidos por el proveedor de servicios de internet.

Gráfica 8 Dispositivos Internet y WAN

Fuente: Elaboración propia basada en investigación centro de cableado CRA

67

3.12 SOLUCIÓN DE SEGURIDAD DE RED Todo el tráfico dirigido hacia internet será enrutador hasta el Router principal de la red de la sede principal Kennedy y posteriormente direccionarlo el firewall Fortinet donde están las políticas de acceso a internet y los servidores misionales de toda la empresa, finalmente pasa al Router de salida al operador de la WAN encargado de dar conexión de cada punto hacia internet. Las políticas de navegación se encuentran establecidas en el firewall Fortinet que tiene las rutas necesarias a las sedes de Bosa y Suba, este equipo debe ser administrado por una persona especializada en seguridad de la información, o por el área de tecnología que se llegase a implementar. Figura 20 Propuesta Zona de Seguridad


68

Figura 21 Comparativo Situaciones


3.12.1 Sistema CCTV

Se pretende con el sistema CCTV crear la necesidad de ofrecer seguridad, mediante tecnologías de video vigilancia. La instalación de cámaras en puntos estratégicos del Centro Radiológico Américas CRA, permitirá tener un monitoreo constante y en tiempo real, siendo la principal necesidad la seguridad de sus bienes y la advertencia oportuna en caso de ocurrir algún evento, este sistema está costeado en la propuesta del cableado estructurado. 3.13 ESTIMACIÓN COSTOS CABLEADO ESTRUCTURADO Se muestra los costos estimados con base en la compra de insumos, y accesorios que intervengan al momento de llevar acabo la implementación del cableado estructurado. Gráfica 9 Estimación Costos Cableado

69

70

Continuación Gráfica 8


71

3.14 GESTIÓN Y DESEMPEÑO DE LA RED Las aplicaciones de gestión del desempeño del servicio monitorean, analizaran y reportaran sobre el desempeño del servicio extremo a extremo. Estos pueden incluir informes en tiempo real, para asegurar que cada servicio prestado funcione correctamente y guarde un repositorio histórico de su desempeño. Top-Down define las siguientes áreas funcionales de gestión:

• Gestión de rendimiento

• Gestión de fallas

• Gestión de configuración

• Gestión de seguridad

• Gestión de contabilización Con la propuesta de actualización de la red corporativa del Centro Radiológico

Digital Américas CRA, se busca implementar medios tecnológicos que

interconecten las diferentes sedes del CRA y permitan dar alcance las diferentes

áreas de gestión propuestas por la metodología de Cisco.

72

4 VIRTUALIZACIÓN DE SERVIDORES Se realiza esta propuesta de virtualización de los servidores de almacenamiento de imágenes del Centro Radiológico Américas CRA, con el fin de facilitar los recursos y servicios dispuestos en los servidores físicos, tener menores costos de mantenimiento y soporte, mejorar el acceso y las políticas de gestión. La propuesta se limitará a trabajar con las herramientas de virtualización VMware y VMware ESXi, con el fin de limitar y definir la solución de virtualización, debido a la numerosa cantidad de soluciones que existen actualmente en el mercado, tales como: Hyper-V Server, Citrix XenServer, Xen Hypervisor, Proxmox, entre otros, por tal razón el enfoque principal se hallará relacionado principalmente a ESXi, el cual ofrece una base segura, flexible y potente para la agilidad del negocio, permitiendo acelerar la transformación digital hacia la nube híbrida. Con ESXi, se puede brindar compatibilidad con cargas de trabajo y casos de uso nuevos y, al mismo tiempo, se adapta a la complejidad y las necesidades crecientes de su infraestructura. ESXi es una plataforma de virtualización a nivel de centro de datos producido por VMware. Es el componente de su producto VMware Infraestructure que se encuentra al nivel inferior de la capa de virtualización, el hipervisor, aunque posee herramientas y servicios de gestión autónomos e independientes. Está compuesto de un sistema operativo autónomo que proporciona el entorno de gestión, administración y ejecución al software hipervisor, y los servicios y servidores que permiten la interacción con el software de gestión y administración y las máquinas virtuales.29 ESXi junto a vSphere son la base de un centro de datos definido por software (Software-Defined Data Center, SDDC) seguro, lo que permite proteger los datos, las aplicaciones, la infraestructura y el acceso. Las capacidades de seguridad avanzadas completamente integradas en el hipervisor y con tecnología de aprendizaje automático proporcionan mejor visibilidad, mayor protección y tiempo de respuesta más rápido para las incidencias de seguridad. Al finalizar esta propuesta se tendrá los conocimientos necesarios para la virtualización de los servidores de imágenes, según los requisitos y requerimientos del Centro Radiológico CRA, los cuales deberán poder agrupar todos los servicios y aplicaciones que se hallan instaladas y distribuidas entre las sedes, además de centralizar todos los servidores del Centro Radiológico Américas CRA. La propuesta a realizar estará dividida en los siguientes Fases:

29 WIKIPEDIA. VMware ESXi [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en

https://es.wikipedia.org/wiki/VMware_ESXi

73

Fase 1 Análisis de Requisitos

• Se analizará la situación actual de los servidores de imágenes, teniendo en cuenta cada uno de los servicios que tienen y se tendrá en cuenta los requisitos concretos de todos y cada uno de los distintos servidores. Se podrá dar una valoración sobre qué problemas se detectan en su modelo actual.

Fase 2 Diseño Lógico

• Ya conocido el funcionamiento, la situación actual y los requisitos, se presentará cual es el producto y diseño que mejor se adapte, exponiendo los porqués y conclusiones de esta decisión. También, se valorarán los posibles riesgos que se identifiquen con este cambio.

Fase 3 Diseño Físico

• Ya escogida la herramienta de virtualización que por sus características presenta la mejor opción para la virtualización de los servidores de imágenes del Centro Radiológico Américas C.R.A es preciso establecer las características del sistema, en base a los requerimientos.

4.1 FASE 1 ANÁLISIS REQUERIMIENTOS Con la distancia física, entre la sedes del Centro Radiológico Américas CRA, la infraestructura, el tipo de usuarios y teniendo en cuenta las necesidades de comunicación entre sus diferentes sedes, se considera que es necesario el cambio de arquitectura de los servidores de imágenes, ya que con la arquitectura actual con la que se trabaja y se procesa información en cada una de las sedes, es necesario tener un servidor de aplicaciones por cada servicio que se presta (Tomógrafo, Periapical). Esta propuesta traerá consigo nuevos costes, pero se eliminarán otros más, entre ellos el mantenimiento de equipos, soporte, infraestructura, etc. Para el levantamiento de la información se identificaron diferentes necesidades del Centro Radiológico Digital Américas CRA y de los usuarios, por medio de entrevistas y el estudio del entorno de trabajo y se realizaron observación de la operación a los distintos puestos de trabajo y las funciones que se realizan en ellos. Se realizaron consultas bibliográficas a catálogos de productos, planos de ubicación, manuales de organización y formularios entre otros, adicional se realizaron las siguientes actividades para la recolección de información:

74

• Entrevistas

• Cuestionarios

• Análisis de Información Documental

• Revisión y Análisis de la Información Suministrada Figura 22 Actividades Recolección de Información


Para este análisis se establecieron las siguientes etapas:

• Identificación procesos asociados con la actividad

• Posibles escenarios de riesgos

• Revisión del cumplimiento del escenario en cuestión

• Controles asociados

• Recomendaciones Figura 23 Etapas análisis requerimientos


75

4.1.1 Funciones, tareas y procesos de virtualización

La virtualización presenta facilidad en la integración de las funciones, tareas y procesos de los servidores de imágenes diagnosticas, ya estos se encuentran establecidos en las maquinas físicas. Figura 24 Mapa conceptual procesos virtualización


Se toma como base la información recolectada en el ANEXO C. Informe de auditoría al proceso de atención al cliente bajo la metodología COBIT 4.1.

4.1.2 Caracterización servidores existentes

Para la implementación de la solución de virtualización de los servidores del Centro Radiológico Américas CRA, se realizó un inventario de todos los servidores, sistemas y diagramas de red que contiene el Centro Radiológico Américas CRA; se determina el uso de cada servidor, para poder diseñar soluciones que admitan mejorar la eficiencia de la infraestructura, con lo cual, se determinan los ahorros posibles que soporta al implementar la solución. Para esto es necesario considerar en el análisis, los siguientes puntos estratégicos:

• Inventario de recursos

• Estudio en la infraestructura (apartado 2.5 Análisis Sistema Existente)

76

La recopilación de la información se evidencia en el ANEXO C. Informe de auditoría proceso de atención al cliente bajo la metodología COBIT 4.1.

4.1.3 Inventario de servidores actuales

En el Inventario de servidores físicos obtenido del Centro Radiológico Américas C.R.A, se especifican características de los equipos servidores y de PC de escritorio que cumplen con funciones de servidor, tales como procesador, disco duro, Memoria RAM, lo que constituye información importante, para el desarrollo del plan de virtualización de los servidores para el Centro de Cómputo del Centro Radiológico Américas. Tabla 3 Servidores actuales

CANT. APLICATIVO SERVIDOR PROCESADOR D.D RAM

2 Panorámico Dell PowerEdge

T320 Server 2.6GHz Dual-Core Pentium

1 Tera 8 GB

1 Periapical HP ProLiant ML115 G5 Tower Server

Dual-Core AMD 2.2GHz 2x

1 Tera 8 GB

1 Imágenes Dell Optiplex Intel Core I3-2120

3.3 Ghz 2 Teras 8 GB

1 Contabilidad Dell Optiplex Intel Core I3-2120

3.3 Ghz 2 Teras 12 GB

Fuente: Elaboración propia basada en investigación sede Kennedy

77

4.1.4 Situación actual de los servidores

El modelo y arquitectura de las aplicaciones que se utilizan en los servicios de los usuarios de imágenes, se evidencia que son aplicaciones diseñadas hace muchos años y fueron creadas específicamente para desempeñar una función específica, y de las cuales no se tiene pensado cambiarlas ya que son parte integral de los equipos de imágenes. En la infraestructura existente hay aplicaciones que están en ambiente Windows (XP) para escritorio y se encuentran en modo local en los equipos de los usuarios. Los equipos utilizados cuentan con antivirus, el cual se actualiza desde internet, cuentan con acceso hacia estos equipos, de forma que se puede utilizar asistencia remota para la conexión a los equipos y dar soporte. Se tienen que, al intercambiar contenido e información de las aplicaciones, los usuarios mantienen los archivos para evitar que se pierdan, el área de TI dispone de carpetas compartidas en las cuales se realizan copias de seguridad de forma manual y periódica, haciendo uso de las herramientas del sistema operativo Windows (XP). Figura 25 Situación Actual de los Servidores Lógica


78

Figura 26 Situación Actual de los Servidores Física


4.1.5 Metas y restricciones virtualización

Teniendo en cuenta el contexto de la empresa ya conocido, su actividad económica, su visión, misión y sus objetivos estratégicos, podemos establecer las metas de negocio que la empresa tiene en el marco de su proyección en el desarrollo de la virtualización de los servidores de almacenamiento de imágenes diagnosticas del Centro Radiológico Américas CRA. Tabla 4 Metas y restricciones virtualización

Meta – Objetivo Prioridad

Eliminar obstáculos en el intercambio y flujo de la información de los servidores de almacenamiento de imágenes diagnosticas:

• Centralizar todos los servidores físicos existentes, aplicaciones de imágenes diagnosticas.

• Reducir los costes de mantenimiento y las horas del mismo, consumo de energía, licenciamiento, caída inesperada de servicios entre otros.

40 %

79

Meta – Objetivo Prioridad

Brindar una nueva infraestructura centralizada para las aplicaciones y que los usuarios puedan ejecutarlas desde cualquier PC del entorno de trabajo, que las aplicaciones tengan disponibilidad sin problemas de rendimiento, disponibilidad o datos sin actualizar.

• Cubrir el acceso desde cualquier punto del Centro Radiológico Américas.

• Que exista ninguna aplicación corporativa instalada en los computadores de los usuarios, dichas aplicaciones deberán estar en los servidores.

90%

Mejorar la Seguridad de la red: Disponer la seguridad y protección de los datos y de los servicios ofrecidos, mediante copias de seguridad y de respaldo.

• Que se pueda recobrar la información eliminada, existente en los servidores.

• Garantizando que la información esté disponible cuando se necesita, que sea confiable con acceso seguro y autorizado

80%

Operación:

• Disminución de tiempos de respuesta en los procesos internos

70%

Continuacion Tabla 5 Fuente: Elaboración propia

El Centro Radiológico Digital Américas CRA tiene claro las implicaciones y los resultados que desea obtener para cualquier cambio que se realice, y que, no se contara con la ayuda ni colaboración de los usuarios, ya que tiene que ser transparente y no perturbar su labor diaria. Se puede identificar que la virtualización de la infraestructura de los servicios de imágenes, reducirá los servidores existentes para imágenes del centro radiológico américas CRA, y dará una solución para las aplicaciones a sus necesidades desde una única plataforma fácil de gestionar. La integración de los diferentes aspectos va a proporcionar a los usuarios la ventaja de trabajar desde cualquier lugar y a su vez se reducirán los costes de TI.

80

4.2 FASE 2 DISEÑO LÓGICO Se pretende ofrecer una solución que pueda unificar y centralizar todos los servidores de imágenes que tiene el Centro Radiológico Américas CRA, ya que de esta decisión se apoyará el acceso a las aplicaciones. Se parten de unas exigencias muy concretas, que son el conservar los datos e información dentro de la organización, eliminar al máximo el número de servidores físicos de imágenes de las diferentes sedes, ofrecer adaptabilidad, flexibilidad y escalabilidad, también se ahorrara en costes y, por último, tener una infraestructura centralizada que sea fácil de gestionar por el servicio de TI. El Centro Radiológico Américas CRA, tiene una estructura organizada de las imágenes diagnosticas, mediante servicios establecidos y realiza sus actividades de forma independiente. El Centro Radiológico Américas CRA, tiene una serie de ventajas, a nivel de enfoque, las cuales permiten orientar la solución de virtualización.

• Mantener sus aplicaciones actuales.

• Eliminar las fugas de información.

• Eliminar la redundancia en servidores

• Eliminar el sobre dimensionamiento de los equipos de cómputo.

4.2.1 Estructura VMware ESXi

Figura 27 VMware ESXi A

Fuente: WWW.T3S.COM.MX. dgrm_vcenterserver_vsphereclient_q209 [imagen]. [Consultado: 2 de febrero de 2019]. Disponible en http://www.t3s.com.mx/dgrm_vcenterserver_vsphereclient_q209/

http://www.t3s.com.mx/

81

Figura 28 VMware ESXi B

Fuente Mixta: RODRÍGUEZ FERNÁNDEZ, Daniel, Virtualización de servidores y aplicaciones en la administración pública, un ayuntamiento [en línea] 12 de Junio del 2017 [Consultado 5 de febrero de 2019]. Disponible en: http://openaccess.uoc.edu/webapps/o2/bitstream/10609/65506/6/drodriguezfernTFG0617memoria.pdf

Figura 29 Capas Hipervisor Tipo 1 y 2


82

Figura 30 Modelo Lógico Virtualización


4.3 FASE 3 DISEÑO FÍSICO VMware es, sin duda, la plataforma líder de la virtualización. Esta plataforma es la más avanzada del sector de la virtualización permitiendo virtualizar sistemas operativos localmente, como poder gestionarlos a través de la red como si se tratase de una nube.30 VMware agiliza el camino para que las organizaciones se conviertan en negocios digitales capaces de brindar mejores experiencias a sus clientes y de impulsar a los empleados a hacer su trabajo de la mejor manera posible. VMware es la mejor opción para los negocios digitales, por que acelera la transformación digital mediante un enfoque de negocios y de TI, definido por software, es el proveedor de plataforma confiable preferido de más de 500.000

30 VELASCO, Rubén. VMware vs VirtualBox. ¿Qué herramienta de virtualización elegir? [En Línea]. 2017 [Consultado el 2 de febrero de 2019]. Disponible en https://www.softzone.es/2017/03/14/comparativa-vmware-virtualbox/

83

clientes en todo el mundo, es el pionero en virtualización y un innovador en movilidad empresarial y de nube. Es un líder probado que le permite ejecutar, administrar, conectar y proteger aplicaciones en diferentes nubes y dispositivos en un entorno operativo común, lo que le otorga libertad y control.31

4.3.1 Ventajas de VMware

• Se aumenta significativamente la disponibilidad

• Mejor gestión de las políticas de backup (Copias).

• Se aprovechan los recursos hardware disponibles.

• Mejor eficiencia en el consumo energético.

• Ahorro de costes.

• Creación de ambientes de pruebas y ensayos.

• Mejor aislamiento y seguridad.

• Migración y clonación de sistemas en caliente.

• Centro de proceso de datos, ahorro de espacio

• Administración centralizada. Las actividades en los servidores, ofrece beneficios específicos dentro de las empresas, optimizando los espacios de almacenamiento y mejorando el rendimiento de las aplicaciones en los mismos, también disminuye el consumo energético y ofrece un menor costo de mantenimiento de los sistemas. El aislamiento de las máquinas virtuales en el evento de tener errores, permite la continuidad del negocio del Centro Radiológico Américas CRA.

4.3.2 VMware vSphere Essentials Plus Kit

VMware brinda las mejores alternativas y posibilidades a un bajo precio de licenciamiento, permitiendo la centralización y distribución de las aplicaciones de imágenes del Centro Radiológico Américas CRA, con los siguientes beneficios:

• Proporcionar continuidad de negocio y TI siempre disponible. • Reducir la huella de TI y simplificar la gestión. • Ahorra en costos de hardware de TI • Mejorar los niveles de servicio y la calidad de la aplicación. • Fortalecer la seguridad y protección de datos

31 VMWARE. ¿Por qué elegir VMware? [En Línea]. 2017 [Consultado el 2 de febrero de 2019]. Disponible en https://www.vmware.com/latam/company/why-choose-vmware.html

84

El kit incluye 6 licencias de CPU de vSphere Essentials Plus (para 3 servidores con hasta 2 procesadores cada uno) y 1 licencia para vCenter Server Essentials.32 El kit vSphere Essentials Plus

• vSphere Hypervisor (ESXi) • Essentials de vCenter Server • vSphere Data Protection • Alta disponibilidad de vSphere (HA) • vSphere vMotion • Cross Switch vMotion • vSphere vShield Endpoint • Replicación de vSphere

4.3.3 Dell Precision Rack 7920

El Dell Precision 7920 Rack ofrece el más alto nivel de acceso remoto seguro con rendimiento de workstation superior. A continuación, se referencia los dispositivos de Virtualización de servidores de imágenes diagnósticas para el Centro Radiológico Américas CRA. Tabla 5 Costos dispositivos virtualización

ÍTEM REFERENCIA CAN

T DESCRIPCIÓN

SUB TOTAL

TOTAL

1 VMware vSphere

Essentials Plus Kit 2

Herramientas de Virtualización

8.475.000 16.950.000

2 Dell Precision 7920

Rack 2 Servidor 11.522.099 23.044.198

$ 39.994.198


4.3.4 Guía de Implementación VMware vSphere

La documentación necesaria para realizar el paso a paso de la implementación de VMware vSphere, se encuentra en la página del proveedor y no se ve la necesidad

32 VMWARE. Op. Cit.,

85

de integrarla a esta propuesta, teniendo en cuenta que, los documentos son bastante robustos, a continuación, se relaciona las referencia a estos documentos.

• Guía de instalación y configuración de vSphere, disponible en: https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-installation-setup-guide.pdf

• Guía de actualización de vSphere, disponible en: https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-upgrade-guide.pdf

• Servidor vCenter y Guía de administración de host, disponible en: https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-host-management-guide.pdf

• Guía de administración de vSphere Virtual Machine, disponible en : https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-virtual-machine-admin-guide.pdf

• Guía de perfiles de host vSphere, disponible en: https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-551-host-profiles-guide.pdf

• Guía de red de vSphere, disponible en : https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-networking-guide.pdf

• Guía de almacenamiento de vSphere, disponible en: https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-storage-guide.pdf

• Guía de seguridad de vSphere, disponible en: https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-security-guide.pdf

• Guía de administración de VMware vSphere Single Host, disponible en: https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-551-single-host-management-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-installation-setup-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-installation-setup-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-upgrade-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-upgrade-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-host-management-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-host-management-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-virtual-machine-admin-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-virtual-machine-admin-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-551-host-profiles-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-551-host-profiles-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-networking-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-networking-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-storage-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-storage-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-security-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-vcenter-server-552-security-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-551-single-host-management-guide.pdf

https://docs.vmware.com/en/VMware-vSphere/5.5/vsphere-esxi-551-single-host-management-guide.pdf

86

5 SEGURIDAD DE LA INFORMACIÓN La tecnología es un músculo de progreso en las organizaciones y la seguridad de la información es una de las fibras fundamentales de ese músculo. Actualmente los riegos asociados a la falta de controles en los equipos y sistemas de comunicación son muy altos y las amenazas están en diferentes niveles, partiendo de esa premisa, es importante que todos los colaboradores en las organizaciones se apropien del conocimiento de los servicios, infraestructura, aplicaciones, competencias, principios y procesos que maneja cada empresa, lo anterior, con el fin de relacionar estos aspectos con la seguridad en general y en especial con la seguridad de la información. Para el Centro Radiológico Digital Américas CRA, es de gran importancia establecer o adoptar un marco de trabajo que se relacione con las actividades de TI como lo es COBIT 5, el cual, documenta guías detalladas que permiten abarcar de manera transversal la seguridad de la información en todos los niveles. 5.1 INTEGRACIÓN DEL CSF NIST CON COBIT 5 En el marco teórico se documentaron las generalidades y características del NIST CSF y COBIT 5, en este capítulo se mostrará cómo se complementan las dos metodologías para su implementación. El Framework de Ciberseguridad del NIST está basado y/o hace referencia a las directrices y mejores prácticas de COBIT, partiendo de esto, se revisará cómo sus iteraciones se homologan y brindan el soporte para cumplir con el objetivo del estudio de seguridad para el Centro Radiológico Digital Américas CRA. El Framework de Ciberseguridad del NIST, provee los pasos sistemáticos que determinan la implementación, esto combinado con los beneficios de COBIT 5, la integración conjunta permite la implantación de un sistema de gestión de seguridad. COBIT siendo una referencia documental de CSF del NIST, detalla cada una de esas iteraciones presentando las siguientes características:

• Aborda el modelo con una estructura sistémica

• Proporciona un enfoque holístico

• Permite la implementación gradual e iterativa. En la siguiente ilustración se muestra cómo se integran los nueve pasos del CSF del NIST con los siete pasos de implementación y los cinco principios de COBIT 5.

87

Figura 31 Alineación en la implementación del NIST CSF y COBIT 5


5.2 PROPUESTA DE ESTUDIO DE SEGURIDAD COBIT 5 La seguridad de la información, según la norma ISO 27001:2005, “consiste en la preservación de su confidencialidad, integridad y disponibilidad, además, puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y fiabilidad, adicional puede incluir los sistemas implicados en el tratamiento de la misma, dentro de una organización”.33 Teniendo en cuenta las características, la integración de las dos metodologías y, los procesos habilitadores de COBIT 5 que abordan la seguridad de la información, se

33 Instituto Colombiano de Normas Técnicas ICONTEC. NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27001-2013. [En línea], 2013. Disponible en: https://tienda.icontec.org/wp-content/uploads/pdfs/NTC-ISO-IEC27001.pdf

88

tiene una base para iniciar el estudio de seguridad para el Centro Radiológico Digital Américas CRA, siguiendo el Framework de Ciberseguridad del NIST.

5.2.1 Fases de implementación de Gobierno de TI

A continuación, se describirán los resultados del análisis realizado a los procesos establecidos por COBIT, para la seguridad de la información, los cuales dan alcance al modelo de gobierno de TI propuesto para el Centro Radiológico Digital Américas CRA, se identificarán los elementos para la gestión de la seguridad de la información, homologando los pasos y principios del NIST con COBIT, describiendo la implementación en cada una de las fases del ciclo de vida del framework. Con el fin de determinar el estado actual de seguridad de la información de la empresa, es necesario conocer si el personal cuenta con conocimientos en seguridad de la información, basados en las buenas prácticas establecidas en COBIT® 5. El desarrollo del estudio de seguridad de la información requiere:

• Evaluar los procesos del Centro Radiológico Digital Américas CRA, los cuales se atenderán de manera global

• Realizar una evaluación de alto nivel En la siguiente tabla, se muestra la estructura propuesta para la descripción de los pasos de implementación de COBIT 5, permitiendo validar la integración entre las dos metodologías, tal como se describió en la figura 31, alineación en la implementación del NIST CSF y COBIT 5. Se evaluará el estado organizacional, utilizando cada uno de los pasos del NIST y las fases del ciclo de vida propuesto por COBIT 5 (incluyendo sus principios) para realizar el estudio de seguridad de la información para el Centro Radiológico Digital Américas CRA. Para el desarrollo y documentación de cada fase, se establecerán los siguientes numerales que identifican los tres componentes interrelacionados del ciclo de vida propuesto por COBIT. A. Ciclo de vida de Mejora continua B. Habilitación del cambio C. Gestión del programa

89

Tabla 6 Alineación en la implementación del NIST CSF y COBIT 5

Pasos de implementación del

NIST CSF Pasos de implementación de

COBIT 5 Principios de COBIT 5

1 Priorización y definición

de alcance 1 ¿Cuáles son los motivos? 1

Satisfacer las Necesidades de las Partes Interesadas

2 Orientación 2 ¿Dónde estamos ahora? 2

Cubrir la Empresa Extremo a Extremo 3 Crear un perfil actual

4 Ejecutar un análisis de

riesgos 3 ¿Dónde queremos ir? 3 Aplicar un Marco de

Referencia Único Integrado 5 Crear un perfil objetivo

6 Determinar, analizar y priorizar las brechas

4 ¿Qué es preciso hacer? 3 Aplicar un Marco de

Referencia Único Integrado

7 Implementar el plan de

Acción 5

¿Cómo conseguiremos llegar?

4 Hacer posible un Enfoque

Holístico

8 Revisión del plan de

Acción 6

¿Hemos conseguido llegar?

9 Gestión del ciclo de vida 7 ¿Cómo mantenemos vivo

el impulso?

5 Separar el Gobierno de la

Gestión

Fuente: Implementing the NIST Cybersecurity Framework. ISACA 2016 – Adaptación Propia

5.2.1.1 Fase 1. ¿Cuáles son los motivos? A. Iniciar el programa Después de aplicar los instrumentos de recolección de información, tales como entrevistas, encuestas y visitas de campo, se les manifiesta a las directivas del Centro Radiológico Digital Américas CRA, la intención de realizar una propuesta de estudio de seguridad de la información, se expone la necesidad de que se debe determinar los diferentes actores y asignarles roles y responsabilidades, para la realización del presente estudio. Como la actual propuesta tiene el enfoque de seguridad de información, las directivas reconocen inicialmente la necesidad de levantar este documento, como punto de partida para que, en un futuro se estudie la posibilidad de la implementar un sistema de seguridad de la información, la participación de la alta dirección demuestra el compromiso de la empresa, frente al sistema de gestión de seguridad de la información.

90

B. Establecer el deseo de cambio Con la participación de gran variedad de stakeholders, se reconoce la necesidad de establecer un área responsable de la dirección y acciones de la división de TI, con base en el estudio y de sus resultados, los responsables de la empresa que participan en este estudio, comunicarán esta iniciativa al personal para motivarlo a la colaboración en la etapa de cambio, con el fin de lograr los objetivos estratégicos planteados a corto y largo plazo. C. Reconocer la necesidad de actuar Dada la naturaleza de la iniciativa y teniendo en cuenta que este documento es una propuesta, no se dará alcance de implementación hasta que no se validen los resultados del presente estudio, esta opción es viable, solo hasta que la empresa tenga el recurso financiero y con base en los resultados y recomendaciones del presente estudio, decidirá tomar acciones de implantación. En esta fase también es importante identificar la estrategia para dirigir los esfuerzos de TI, en la obtención de los objetivos estratégicos de la organización, esto se logra mediante la creación del PETI (Planeación estratégica de Tecnologías de Información), el cual determina que procesos de TI se deben implementar y mantener, para que el negocio alcance los objetivos estratégicos, esta metodología o técnica de cascada define los siguientes pasos: Figura 32 Visión general de la cascada de metas COBIT 5

Fuente: www.isaca.org /COBIT® 5 Framework-Spanish.pdf - Adaptación: Propia

91

Los siguientes objetivos estratégicos, se encuentran establecidos y coherentes con la política del Centro Radiológico Digital Américas CRA, los cuales serán revisados, ajustados periódicamente y muestran las metas a las que se quieren llegar, como parte de la mejora continua del sistema de gestión de calidad, a continuación, se mapea los objetivos del CRA vs los objetivos corporativos de COBIT. Tabla 7 Mapeo objetivos estratégicos con metas corporativas de COBIT 5

Objetivos Empresa Meta Corporativa de COBIT 5.0 Perspectiva Contar con el recurso humano

competente Personal motivado y capacitado

Aprendizaje y Crecimiento Desarrollar programas continuos

de investigación e innovación Cultura de innovación del producto

y del negocio

Garantizar la calidad del servicio Cultura de servicio orientada al

cliente Cliente

Generar rentabilidad Cartera de productos y servicios

competitivos Financiera

Asegurar el crecimiento y desarrollo de la empresa

Cartera de productos y servicios competitivos

Garantizar la infraestructura necesaria para prestar el servicio

Optimización de las funcionalidades de los procesos de negocio.

Interna Mejorar la estructura de

organización de la empresa Optimización de los costes de los

procesos de negocio


5.2.1.2 Fase 2: ¿Dónde estamos? A. Describir los problemas y oportunidades En la actualidad el Centro Radiológico Digital Américas CRA, presenta dificultades financieras, teniendo en cuenta que ha realizado una inversión considerable en su expansión, aunque reconoce que debe iniciar un proceso de cambio dentro de sus procesos e integrar un sistema de gestión de TI, la dirección es consciente de implantar el área de TI, que gestione la seguridad de la información, consecuente con la normativa vigente en Colombia para la protección de los derechos de los pacientes y las leyes de protección de datos, esto, alineado a la planeación estratégica de la organización. Es de prioridad velar por la seguridad de la información del paciente y brindar un valor agregado en la toma de los servicios del CRA, por tal razón se ve una oportunidad de crecimiento en adoptar los controles necesarios para la seguridad de la información.

92

Así mismo, se admite que las partes interesadas cumplen un papel clave en el alcance de los objetivos estratégicos de la empresa, y de esta manera existe una oportunidad para aportar con las regulaciones vigentes a nivel normativo, esto apoya el aprovechamiento de las oportunidades de acceder y crecer en tecnologías de información, permitiendo una mayor competitividad en el sector, como consecuencia, el plan a iniciar, es documentar esta propuesta, la cual servirá como punto de partida, para que en un futuro se determine la implementación del sistema de TI para la gestión de la seguridad de la información. B. Establecer el equipo de implementación Como se ha mencionado, el presente documento es una propuesta y del resultado del análisis de la misma, la dirección del Centro Radiológico Digital Américas CRA, tomará las decisiones pertinentes respecto a la implementación del gobierno de TI, decisiones que deben contemplar la pertinencia contar con personas idóneas, con experiencia y conocimiento sobre los principios del marco elegido, que para nuestro caso es COBIT 5, en caso que no desee tener personal directo de planta, determinar la opción de contratar una firma consultora que acompañe dicha implementación. Siendo consecuentes con el estudio, se sugiere que el grupo de personas que intervengan en una futura implementación, sean idóneas en diferentes especialidades, con el fin de garantizar el cumplimiento de los objetivos establecidos, este equipo de personas deben ser funcionarios que respondan por la información procesada en las tecnologías, personal de informática, con dominio de aspectos técnicos para la implementación de controles de seguridad en sus diferentes aspectos. C. Revisar el estado actual Se analiza el organigrama y el mapa de procesos del Centro Radiológico Digital Américas CRA, y, se identifica que el macroproceso Gestión operacional, contiene el proceso Gestión de la información, el cual facilita la mejora del enfoque de seguridad de información, sin embargo, su gestión es casi nula, ya que no cumple con las exigencias del marco de referencia aplicado para el caso estudio, el nivel de madurez de dicho proceso es incompleto. Con base en lo anterior, se debe analizar y validar los objetivos y estratégicas a seguir, con el fin de tener métricas y medidas para el proceso, y en un futuro revisar si alcanzó parte de los objetivos estratégicos planteados por la organización. Para tener un acercamiento al cumplimiento de lo establecido en la fase 2, se debe realizar control de activos, por lo cual, es indispensable levantar un inventario de activos de información, que represente un valor considerable para la dirección del CRA, dicho inventario debe contener elementos como: propiedad del activo,

93

clasificación de la información en cuanto a la confidencialidad, integridad y disponibilidad, el Anexo D. Inventario de activos y clasificación de la información, brinda elementos y características de cómo realizar un inventario de activos, también propone dos plantillas sencillas para realizar los inventarios de activos de información. 5.2.1.3 Fase 3: ¿Dónde Queremos Estar? A. Definir la hoja de ruta Alineando a los objetivos estratégicos del Centro Radiológico Digital Américas CRA, de la información de las entrevistas realizadas a la dirección y demás personal de la empresa, se genera la necesidad de documentar la situación de la empresa en cuanto a la seguridad de la información, por este motivo, se evalúan los resultados de la aplicación de la Fase 2: ¿Dónde estamos?, permitiendo tener como insumo, el inventario de activos de información de la organización, esto facilitará establecer tiempos y costos de la implementación del sistema de seguridad de la información, determinar los riesgos asociados a estos activos y las vulnerabilidades que se pueden presentar en los diferentes escenarios. Con base en el análisis anterior, se la dirección establecerá los mecanismos necesarios para alcanzar el nivel ideal de madurez de procesos, ajustando los criterios e implementando los controles de proceso se podrá escalar al nivel de proceso superior, y así, lograr identificar oportunidades de mejora continua de TI. COBIT presenta los modelos de capacidad de procesos, en los cuales un nivel de proceso no puede ser alcanzado hasta no cumplir con el rendimiento establecido en cada nivel, para lograrlo los procesos deben ser realizados con éxito y la organización obtendría los resultados esperados. B. Comunicar los resultados Es importante involucrar a todas las partes interesadas internas y externas, para cubrir todas las áreas y asignar tareas que permitan gobernar y gestionar la información en todos los niveles, se debe cubrir la información de extremo a extremo, comunicando la importancia de participar para lograr los resultados propuestos por la dirección del Centro Radiológico Digital Américas CRA. La gerencia delegará el personal encargado de documentar el sistema de seguridad de la información y tendrá tareas específicas como: divulgar y sensibilizar a la organización, el valor que tiene la adopción de un gobierno de TI, mostrar la problemática de la adaptación al cambio, los beneficios que se obtienen a corto y largo plazo al implementar un sistema de seguridad de información bajo el marco de trabajo NIST y COBIT 5, generar un plan de gestión de cultura de seguridad de la información, acompañamiento a la implementación y llevar un control de

94

indicadores de cubrimiento de dicho plan de comunicación, con el fin de realizar mejora continua. C. Definir el estado objetivo Determinadas las intenciones de la dirección del Centro Radiológico Digital Américas CRA, se desea llegar a un estado de madurez o nivel de capacidad de proceso Predecible-COBIT Adaptativo-NIST , el cual brinda los mecanismos para lograr los objetivos estratégicos, por medio de la implementación del sistema de gestión TI para la seguridad de la información, el enfoque u objetivo será la obtención de beneficios, optimización de los riesgos y recursos, la diferenciación de gobierno Corporativo y de TI. 5.2.1.4 Fase 4: ¿Qué es preciso hacer? A. Planificar el plan La dirección del Centro Radiológico Digital Américas CRA, debe establecer procedimientos para estructurar y clasificar la información, que permitan que los sistemas de información sean organizados y, establecer esquemas de clasificación que definan los niveles de criticidad y sensibilidad de la información en relación a: si es pública, confidencial y/o secreta, el Anexo D. Propuesta de inventario de activos y clasificación de la información, brinda elementos y características de cómo realizar una clasificación de la información teniendo en cuenta estos procedimientos. También se debe definir e implementar políticas y procedimientos que garanticen la integridad, confidencialidad y consistencia de los datos almacenados en formato electrónico, tales como: bases de datos, almacenes de datos y fuentes digitales, entre otros. Es de vital importancia realizar un análisis de riesgos que identifique: los activos o bienes a proteger, las amenazas que puedan actuar sobre estos, el nivel de impacto que pueden causar y la probabilidad de cuales amenazas, se pueden materializar sobre los bienes informáticos. El análisis de riesgos debe facilitar métodos de evaluación para su gestión, lo cual implica identificar, establecer controles para evitar, eliminar o reducir los riesgos y llevarlos a niveles aceptables para:

• Reducir la probabilidad de ocurrencia de amenazas

95

• Limitar el impacto en caso de materializarse

• Mitigar o eliminar vulnerabilidades

• Establecer mecanismos de recuperación del impacto y/o trasferir a terceros Es necesario la adopción de planes de infraestructura tecnológica consistentes para la gestión del riesgo, con el fin de evitar, reducir, retener y transferir el riesgo, esto, debe documentarse y socializase a todos los colaboradores de la organización, dando a conocer herramientas que apoyen el cumplimiento del plan estratégico corporativo y de TI, con enfoque en seguridad de la información. Con el fin de realizar un ejercicio de análisis de riesgos, se realizó una auditoría al proceso atención al cliente, con los lineamientos de la versión COBIT 4.1, la cual, se enfoca en el control óptimo que debe tener una empresa, el resultado de dicho informe se encuentra en el Anexo C. Informe de auditoría. B. Identificar el rol de los involucrados La dirección del Centro Radiológico Digital Américas CRA, identificará la lista de personas responsables de participar, gestionar, comunicar y sensibilizar a la organización los beneficios del estudio de seguridad, en caso de llegar a la etapa de implementación. C. Diseñar y construir mejoras Se identifican los principales beneficios del estudio de seguridad y la viabilidad de su ejecución en conjunto con la dirección del CRA, por lo cual, se evidencian las siguientes mejoras a seguir: Se debe enfocar el estudio de seguridad de la información, bajo los lineamientos del marco COBIT 5, siguiendo lo estipulado en la normatividad vigente. Con base en lo anterior, no se debe descartar la posibilidad de nombrar un oficial de seguridad de información, el cual realizaría tareas de seguimiento y gestión de las mejoras que se puedan implementar, como resultado del presente estudio, adicional, apoyaría el cumplimiento de las políticas que se desprendan a futuro, si se decide realizar un plan de implementación en la empresa. Para dar cumplimiento a esta fase, en el Anexo E. Propuesta de política de seguridad de la información, se establecen políticas de seguridad de la información, siendo un proceso técnico y administrativo, se realiza dicha propuesta con el apoyo de la alta dirección, esta política indica las directrices de la dirección del CRA, respeto a:

96

• La necesidad de proteger la información corporativa

• Definir la postura frente a requisitos de negocio, leyes y normas vigentes

• Comunicarse a toda la organización y demás partes interesadas

• Revisarse periódicamente para ajustarse a las necesidades del negocio.

• Ser un documento de apoyo para la gestión de TI y seguridad de la información

• Tener principios de neutralidad sin comprometerse con tecnologías especificas

• Permitir clasificar la información

• Debe ser vigente en el tiempo, ser clara y no generar nuevos problemas

5.2.1.5 Fase 5: ¿Cómo conseguiremos llegar? A. Ejecutar el plan Se deben establecer los detalles de los planes, en coordinación de la alta dirección, con el fin de lograr su ejecución en cortos plazos, estos detalles deben considerar los tiempos de ejecución, fechas de inicio, terminación de cada etapa, entregables de cada iteración o hitos, etc. Es pertinente dar a conocer informes de los avances de los proyectos o planes definidos, a las partes interesadas, con el fin de monitorear y garantizar el progreso, esto ayuda a mitigar los riesgos que se presenten en cada proyecto, de esta manera, se pueden tomar decisiones o acciones correctivas y en algunos casos re estructurar el proyecto o plan. Se deben establecer mediciones de los planes mediante la definición de metas y métricas que sugiere COBIT 5, con el fin de asegurar que están alineados a los planes estratégicos, y que todas las partes afectadas a nivel TI y de negocio tengan toda la responsabilidad y propiedad para su realización. B. Operar y usar Con el fin de sensibilizar a los colaboradores de la organización, de la implantación del gobierno de TI con enfoque de seguridad de información, se debe generar acciones o planes que permitan mitigar la resistencia al cambio, estos planes se han de diseñar en conjunto con la alta dirección de la empresa. Así mismo, se debe comunicar las funciones y responsabilidades de los planes de resistencia al cambio, esto debido a que la empresa puede cambiar en su estructura organizacional y se deben redefinir o crear nuevos roles o cargos, que permitan el

97

mantenimiento y continuidad del gobierno de TI bajo el enfoque de seguridad de información. C. Implementar mejoras Es indispensable implementar acciones de mejora en cada una de las iniciativas establecidas, integrando las medidas en el Balanced Scorecard de TI o cuadro de mando integral TI, con el fin de monitorear la implementación en la organización, y de esta manera lograr la mejora continua, y realizar la retroalimentación o feedback con los hallazgos del monitoreo y ajustar la iniciativas o proyectos. Posteriormente, tomar las salidas de la fase anterior, para complementar los documentos de implementación e identificar lo siguiente:

• Métodos de medición o indicadores para los objetivos estratégicos

• Métricas para los objetivos desde el cuadro de mando integral

• Identificar los procesos habilitadores que estén alineados con el enfoque de seguridad de la información.

Para dar cumplimiento a la fase 5, en el Anexo F. Propuesta de matriz de análisis de riesgos (pdf)34, se realizó el análisis de riesgos inherentes, con base en el inventario de activos, este análisis permite tener un panorama de donde se encuentran los problemas actuales y potenciales y así, determinar las acciones a tomar, para dar tratamiento a dichos riesgos con el fin de asegurar el sistema de seguridad de la información y lograr los objetivos marcados por la dirección. Dar tratamiento a los riesgos, previniéndolos y reduciéndolos, facilita la mejora continua y permite alcanzar el nivel de madurez deseado. Con el contexto anterior se pueden determinar los objetivos de control a seguir, COBIT 5 permite organizar y minimizar los factores de riesgo, mediante la administración adecuada de la seguridad de la información, facilitando controles para esta gestión, a continuación, se enunciarán los procesos de COBIT 5, que cubren la seguridad de información en el Centro Radiológico Digital Américas CRA. El marco establece dos áreas importantes con procesos que abordan la gestión de la seguridad de la información, estos procesos habilitadores se describen a

34 TAPIERO T., Hawin Andrei y SUAREZ R., Heiner. Modelo de Gestión de Riesgos de la Seguridad de la Información en Empresas del Sector Asegurador Utilizando la Norma ISO/IEC 27005. Trabajo de Grado Ingeniería en Telemática. Bogotá D.C. Universidad Distrital Francisco José de Caldas. Facultad tecnológica. 2017. Pag 100. [En línea], 2013. Disponible en: http://hdl.handle.net/11349/8322. Este documento se utilizó como fuente para la adaptación de la matriz de riesgos para el CRA.

98

continuación como parte del estudio de seguridad realizado para el CRA, estos habilitadores permiten definir, operar y monitorear un sistema de gestión de seguridad, en la siguiente gráfica se ilustran dichas áreas, sus dominios y procesos. Figura 32 Dominios, Procesos y prácticas de gestión de S.I. COBIT 5

Fuente: Elaboración Propia

Dominio: Alinear, Planear y Organizar (APO) Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI se alinea con los objetivos del negocio, este dominio proporciona la dirección para la entrega de soluciones y la entrega de servicios35. Los siguientes son los procesos que cubren la seguridad de la información.

35 ANONIMO. DOMINIOS Y PROCESOS DE COBIT. [En línea], 2017. Disponible en: http://cobitmmatiasc.blogspot.com/2017/03/dominios-y-procesos-de-cobit.html

99

• Gestionar la Seguridad

• Establecer y mantener un SGSI

• Definir y gestionar un plan de tratamiento del riesgo de SI

• Supervisar y revisar el SGSI

Dominio: Entrega, Servicio y Soporte (DSS) Este dominio involucra la ejecución de los planes estratégicos requeridos, estableciendo medios de control de incidentes, su objetivo es lograr que los servicios de TI se entreguen de acuerdo a las necesidades para alcanzar los objetivos de negocio y permitir que se implanten controles de forma correcta para asegurar la confidencialidad, la integridad y la disponibilidad36 de la información, los siguientes procesos y actividades permiten dar alcance la seguridad de la información.

• DSS04 Gestionar la Continuidad

▪ Definir la política de continuidad de negocio, objetivos y alcance. ▪ Mantener una estrategia de continuidad. ▪ Desarrollar e implementar una respuesta a la continuidad del negocio. ▪ Ejercitar, probar y revisar el BCP. ▪ Revisar, mantener y mejorar el plan de continuidad. ▪ Proporcionar formación en el plan de continuidad. ▪ Gestionar acuerdos de respaldo.

• DSS05 Gestionar Servicios de Seguridad

▪ Protección contra software malicioso ▪ Gestionar la seguridad de la red y las conexiones ▪ Gestionar la seguridad de los puestos de usuario finales ▪ Gestionar la identidad del usuario y el acceso lógico ▪ Gestionar el acceso físico a los activos de TI ▪ Gestionar documentos sensibles y dispositivos de salida ▪ Supervisar la infraestructura para detectar eventos relacionados con la

seguridad.

36 Ibidem.

100

5.2.1.6 Fase 6: ¿Hemos conseguido llegar? A. Obtener beneficios

Con base en la asignación de actividades y responsabilidades, debemos evaluar el nivel de logro alcanzado, validando si efectivamente se realizó un aporte positivo con la iniciativa, llegar a las personas que inciden con estos cambios y comparar si los resultados obtenidos están acordes a los objetivos estratégicos, esto definirá si la iniciativa fue satisfactoria o si se debe ajustar de manera que se alcance las metas propuestas B. Incorporar nuevos enfoques

Realizada las diferentes etapas metodológicas de la implantación de un sistema de seguridad de la información, se establecen iniciativas adicionales que generar nuevos enfoques. C. Operar y medir

Junto a las personas que designe la dirección del CRA, se debe proponer periodos de revisión para validar el cumplimiento de las iniciativas que se halan generado para el tratamiento de riesgos y el cumplimiento de la implementación del sistema de seguridad de la información, sin embargo, teniendo en cuenta el alcance de la propuesta y las brechas identificadas del estado actual, alineadas al estado ideal al que se quiere llegar, se recomienda que la evaluación se realice solo al final y después del análisis de este documento. Éstas son las métricas base para identificar los beneficios y la realidad de la organización frente a lo que pretende alcanzar. 5.2.1.7 Fase 7: ¿Cómo se mantiene la iniciativa? A. Revisar la efectividad

En esta etapa, se verifica que la propuesta se esté ejecutando, y que esté considerada en el contexto de la organización, se debe verificar que el marco de gobierno, que para nuestro caso es COBIT 5, este alineado a las políticas, objetivos de la empresa y marco de gobierno TI de la empresa, sin embargo, en este último punto el Centro Radiológico Digital Américas CRA, no tiene implementado alguno. Respecto al modelo propuesto, se cuenta con la colaboración de la empresa, aunque no sea una pasantía, se está realizado bajo el entorno de la organización y empleando información real.

101

En cuanto a la efectividad, como la organización no tiene en la actualidad todas las medidas para garantizar la seguridad de información y alineamiento con el marco propuesto, puede adaptarse a los cambios propuestos sin hablar de una implementación. B. Sostener

Para plantear metas o generar iniciativas futuras, se debe revisar el resultado de esta propuesta y contar con el aval de la alta dirección para:

• Generar capacitaciones y concientizar al personal respecto a estas iniciativas de gobierno y orientarlos a la adaptación al cambio.

• La contratación de una persona que realice la funciones de oficial y gestor de la seguridad de la información

• Para trabajos futuros se sugiere fortalecer la estructura organizacional, para la toma de decisiones

• Establecer desde ahora planes de cambio que sensibilicen a todas las partes interesadas sobre una cultura con enfoque de seguridad de la información en la empresa.

• Medir los niveles de madurez de los procesos después de comunicar esta propuesta con el fin de determinar si se deben ajustar a nuevos cambios dependiendo del entorno

• Reconocer las debilidades encontradas en el modelo de gobierno que tenía adaptado la organización.

• Trabajar en conjunto para alcanzar metas que generen beneficios que se alineen con los objetivos estratégicos y de TI cuando se adopte un sistema de gestión TI.

C. Supervisar y evaluar Con los resultados del monitoreo y evaluación de los procesos habilitadores, se debe reconocer cuáles son las necesidades de mejora para encaminar esta iniciativa de documentar el estudio de seguridad de la información, considerando lo siguiente:

• Fomentar un Sistema de gestión de riesgos en toda la organización

• Establecer estrategias de seguridad de información.

• Lograr subir al siguiente nivel de madurez de los procesos

• Proponer objetivos de gobierno de TI que se ajusten con las necesidades de la empresa

• Proponer un alcance más ambicioso para la iniciativa propuesta.

102

CONCLUSIONES

La implementación de redes LAN y WAN, en el Centro Radiológico Digital Américas CRA, es fundamental para el logro de los objetivos estratégicos, los cuales buscan el mejoramiento de sus procesos internos y externos, mayor competitividad y participación en licitaciones en el mercado, a nivel interno, los usuarios tendrán herramientas tecnológicas que ayudarán a la satisfacción del cliente, la optimización de tiempos y procesos, reflejándose en ahorro en costos de operación. La culminación de soporte de Microsoft para Windows XP exige que la empresa realice la implantación de la virtualización de los servidores de imágenes diagnosticas, teniendo en cuenta que estos activos resguardan gran información clave de los clientes, la adopción de estas herramientas ofrece servicios empresariales que catapultan a la transformación digital, dando valor al componente TI alineado a los objetivos corporativos. El establecimiento de una cultura de seguridad de la información permitirá el crecimiento sostenible del Centro Radiológico Digital Américas CRA y su priorización es vital para alcanzar los objetivos corporativos y TI, la adopción de este sistema de gestión de la seguridad de la información permite asegurar la empresa y proyectarse ante certificaciones que abren las oportunidades de mercado y dan un valor organizacional al momento de ofrecer productos y servicios. La propuesta presentada es una síntesis de las recomendaciones, planteamientos y buenas prácticas que ofrece los diferentes marcos de trabajo planteados para la implementación, tales como: Top Down, VMware, COBIT y NIST; su implementación requiere de un conocimiento muy amplio para el logro exitoso de los objetivos.

103

RECOMENDACIONES

Se sugiere que la dirección del Centro Radiológico Digital Américas CRA, establezca el gobierno de TI, el cual tomaría decisiones y evaluaría los procesos de TI, permitiendo impulsar las diferentes iniciativas propuestas, esto permitirá alcanzar los objetivos estratégicos planteados a corto y largo plazo. Se recomienda conformar un equipo interdisciplinario perteneciente a la empresa, que tenga conocimiento de las diferentes operaciones de la empresa, para que se integre con los consultores especializados en los marcos de trabajo planteados, para la implementación de las diferentes iniciativas. Es conveniente que se establezcan medios de comunicación y divulgación, que permitan sensibilizar a la organización para la transformación digital, concientizar al personal sobre los riesgos a los que está expuesta la información. Es necesario que, si la empresa no implementa un sistema de seguridad de la información, se deben adoptar políticas que se alinean a la ley, permitiendo minimizar los riesgos para proteger la información.

BIBLIOGRAFÍA

ANONIMO. DOMINIOS Y PROCESOS DE COBIT. [En línea], 2017. Disponible en: http://cobitmmatiasc.blogspot.com/2017/03/dominios-y-procesos-de-cobit.html

CARDENAS ZARATE, Simón Ernesto. Análisis de Arquitecturas Modernas de Data Center . [En Línea] Ingeniero Civil en Informática, Universidad Técnica Federico Santa María Departamento de Informática Valparaíso. [Consultado el 6 de febrero de 2019]. Disponible en: https://repositorio.usm.cl/bitstream/handle/11673/23408/3560900257190UTFSM.pdf?sequence=1&isAllowed=y#page=34&zoom=100,0,250

CENTRO RADIOLÓGICO AMÉRICAS CRA. Propuesta del Manual de Gestión de Calidad. Bogotá D.C. 2014.

CORREA Luis. Las topologías [En Línea]. Ministerio de Educación Instituto Adventista Panameño. 2016. Disponible en http://chuckifutbolista.blogspot.com/

CORTES CAMACHO, Jesús German. auditoría a la seguridad de la red de datos de la empresa panavias s.a. [En Linea] Especialista en Seguridad Informática. Universidad Nacional Abierta y Distancia “UNAD” Facultad de ciencias Básicas e Ingeniería Especialización en Seguridad Informática San Juan de Pasto, Colombia 2016 [Consultado el 6 de febrero de 2019]. Disponible en https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/11941/1/1085267906.pdf#page=74&zoom=100,0,608

FOCC. Comparación de OM1, OM2, OM3 y OM4 En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en : http://www.fibresplitter.com/info/comparison-of-om1-om2-om3-om-37789606.html

FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en https://www.fs.com/mx/om3-vs-om4-multimode-fiber-which-one-to-choose-aid-935.html

GAMEZ PRIETO, Daniel. Metodología para el análisis y diseño de redes fundamentados en Itil 4, para empresas de servicio [En Línea]. Bogotá: Universidad Libre de Colombia, Facultad de Ingeniería, Ingeniería de Sistemas e Informática. 2012. Disponible en https://www.academia.edu/30820270/METODOLOG%C3%8DA_PARA_EL_AN%C3%81LISIS_Y_DISE%C3%91O_DE_REDES_FUNDAMENTADOS_EN_ITIL_4_PARA_EMPRESAS_DE_SERVICIO

GRANDSTREAM, GRANDSTREAM GXP1610 HD IP pone. [En Línea]. 2019 [Consultado el 20 de Julio de 2019]. Disponible en

http://chuckifutbolista.blogspot.com/




https://es.grandstream.net/es/grandstream-gxp1610-hd-ip-phone.html?listtype=search&searchparam=GrandStream%20GPX1610

GRANDSTREAM, Grandstream Ucm6208 Ip Pbx [En Línea]. 2019 [Consultado el 20 de Julio de 2019]. Disponible en https://es.grandstream.net/es/grandstream-ucm6208-ip-pbx.html

GUILARTE María. ¿Qué es un Tier? [En Línea]. 2013. [Consultado el 5 de febrero de 2019]. Disponible en https://www.muycomputerpro.com/2013/03/14/que-es-un-tier

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS ICONTEC. NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27001-2013. [En línea], 2013. Disponible en: https://tienda.icontec.org/wp-content/uploads/pdfs/NTC-ISO-IEC27001.pdf

JOSKOWICZ José. Cableado estructurado [En Línea]. Instituto de Ingeniería Eléctrica, Facultad de Ingeniería Universidad de la República Montevideo, Uruguay. 2013., p 25. Disponible en https://iie.fing.edu.uy/ense/asign/ccu/material/docs/Cableado%20Estructurado.pdf

MENDOZA ORDÓÑEZ Mynor Geovanny, Análisis de los negocios y las limitaciones [en línea]. Universidad de San Carlos de Guatemala, Facultad de Ingeniería, Escuela de Ingeniería Mecánica Eléctrica Escuela de Vacaciones diciembre 2012. [Consultado: 5 de febrero de 2019]. Disponible en Internet: https://www.buenastareas.com/ensayos/Top-Down-Network-Desing/6938648.html

NAGIOS. Nagios Open Source [en línea]. [Consultado: 15 de febrero de 2019]. Disponible en Internet: https://www.openitnet.com/index.php/software/nagios/nagios-network-analyzer

NIST. Cybersecurity Framework [En Línea]. [Consultado: 5 de febrero de 2019]. Disponible en https://www.nist.gov/cyberframework

PERALTA REYES, Alexandra, MARTIN SANDOVAL, Luis, VIVAS Juan, BELTRÁN MORENO Derly, MORA VARELA, Medardo. AGUIRRE Marco, PEÑA, Jader. Cableado Estructurado [En Línea]. Bogotá: Servicio Nacional de Aprendizaje Sena. Centro de Electricidad, Electrónica y telecomunicaciones complejo sur 2014., Disponible en http://spartbeat.blogspot.com/2015/01/actividad-conceptos-sobre-cableado.html

TAPIERO T., Hawin Andrei y SUAREZ R., Heiner. Modelo de Gestión de Riesgos de la Seguridad de la Información en Empresas del Sector Asegurador Utilizando la Norma ISO/IEC 27005. Trabajo de Grado Ingeniería en Telemática. Bogotá D.C. Universidad Distrital Francisco José de Caldas. Facultad tecnológica. 2017. Disponible en: http://hdl.handle.net/11349/8322.

https://es.grandstream.net/es/grandstream-ucm6208-ip-pbx.html

https://es.grandstream.net/es/grandstream-ucm6208-ip-pbx.html



https://tienda.icontec.org/wp-content/uploads/pdfs/NTC-ISO-IEC27001.pdf

https://iie.fing.edu.uy/ense/asign/ccu/material/docs/Cableado%20Estructurado.pdf

http://spartbeat.blogspot.com/2015/01/actividad-conceptos-sobre-cableado.html

http://spartbeat.blogspot.com/2015/01/actividad-conceptos-sobre-cableado.html

VALDIVIA MIRANDA Carlos. Redes Telemáticas [en línea]. Ediciones Paraninfo, SA 1ª Edición, 2015. 122 p. [Consultado: 6 de febrero de 20196]. Disponible en Internet: https://es.scribd.com/document/391872308/Libro-Redes-Telema-ticas-Paraninfo

VELASCO, Rubén. VMware vs VirtualBox. ¿Qué herramienta de virtualización elegir? [En Línea]. 2017 [Consultado el 2 de febrero de 2019]. Disponible en https://www.softzone.es/2017/03/14/comparativa-vmware-virtualbox/

VMWARE. ¿Por qué elegir VMware? [En Línea]. 2017 [Consultado el 2 de febrero de 2019]. Disponible en https://www.vmware.com/latam/company/why-choose-vmware.html

WIKIPEDIA, Ashrae [En Línea] [Consultado el 6 de febrero de 2019]. Disponible en: https://en.wikipedia.org/wiki/ASHRAE

WIKIPEDIA. Cable de categoría 6 [En Línea]. 2019. [Consultado el 20 de Julio de 2019]. Disponible en https://es.wikipedia.org/wiki/Cable_de_categor%C3%ADa_6

WIKIPEDIA. COBIT [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas

WIKIPEDIA. VMware ESXi [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en https://es.wikipedia.org/wiki/VMware_ESXi

https://www.softzone.es/2017/03/14/comparativa-vmware-virtualbox/

https://www.vmware.com/latam/company/why-choose-vmware.html

https://www.vmware.com/latam/company/why-choose-vmware.html

https://es.wikipedia.org/wiki/Cable_de_categor%C3%ADa_6

https://es.wikipedia.org/wiki/VMware_ESXi

ANEXOS

ANEXO A

MARCO TEÓRICO Y ESTADO DEL ARTE

1 MARCO TEÓRICO Y ESTADO DEL ARTE

1.1 MARCO TEÓRICO El diseño e implementación de una red, permite facilitar la administración de una empresa, en la que los usuarios, a través de las más avanzadas tecnologías, son capaces de comunicarse entre sí y acceder a datos, servicios de procesamiento, aplicaciones y otros recursos, lo cual reduce drásticamente el costo de funcionamiento interno, tanto económicos como de tiempos de respuesta, adicional, mediante la implementación de estándares de aseguramiento de la información, permiten a las organizaciones tener un control de sus procesos y de la información. Para lograr esto, se requiere iniciar las fases de estudio mínimas, que, para nuestro caso, parte del análisis realizado a la organización, con el fin de recoger e identificar el conjunto de las necesidades más importantes, se realiza a través de la investigación sobre el uso y manejo que se hace de la información desde las diferentes áreas y departamentos y así definir el perfil de los usuarios, quienes finalmente son los que producen, utilizan y comparten dicha información. De esta manera se puede diseñar una propuesta de red funcional de acuerdo con los hábitos de manejo de la informacional de la organización. Cuando se planifica y se construye una red de computadores, la consideración de los requisitos de la red es de primordial importancia. Si el plan es una nueva instalación de red o una actualización de la infraestructura de red ya existente, las consideraciones para el diseño de la red son las necesidades previstas y el equipo necesario para satisfacer estas necesidades. Para tener éxito, el diseño del plan y lo mejor de la red requiere un análisis cuidadoso de estas características de la red, los pasos en la planificación de la red darán lugar a diferentes diseños para satisfacer las necesidades individuales de la red de computadores. La gestión de la seguridad de la información es de gran importancia en la actualidad y se realiza por proceso sistemáticos, documentados y que deben ser conocidos por toda la organización, para nuestro caso estudio adquiere una gran importancia y relevancia, dado el continuo desarrollo de la tecnología de toma de imágenes y la salvaguarda de la información, se convierte para la organización un objetivo que le facilitará ajustar o mitigar las fallas que se presentan en los procesos que operan y almacenan la información de la toma de imágenes. Seguridad informática: Es una disciplina que se basa en la protección de la integridad y la privacidad de la información, se encarga de diseñar normas,

procedimientos, métodos y técnicas, consiguiendo un sistema de información seguro y confiable. Integridad: Es necesario asegurar que los datos no sufran cambios no autorizados, la perdida de integridad puede acabar en fraudes, decisiones erróneas o como paso a otros ataques. El sistema contiene información que debe ser protegida de modificaciones imprevistas, no autorizadas o accidentales. Disponibilidad: Continuidad operativa de la entidad, la perdida de disponibilidad implica pérdida de productividad de la entidad. Confidencialidad: Protección de datos frente a la difusión no autorizada, la perdida de confidencialidad puede terminar en problemas legales, perdida del negocio o credibilidad. Vulnerabilidad Informática: Posibilidades del mismo ambiente en el cual, sus características proporcionan y se vuelven susceptible a una potencial amenaza, por lo tanto, se puede considerar como la capacidad de reaccionar ante la presencia de una amenaza o un daño. Amenazas Informática: Es la posibilidad de que algún tipo de evento se pueda presentar en cualquier instante de tiempo, en el cual existe un daño material o inmaterial, sobre los sistemas de información, Riesgos Informáticos: Son problemas potenciales que pueden afectar a los sistemas de información u ordenadores, si no se poseen las medidas adecuadas para salvaguardar los datos, dichos riesgos informáticos se pueden presentar por las vulnerabilidades y amenazas en cualquier momento.

1.2 TOP-DOWN DESIGN

El diseño de red Top-Down es una metodología para diseñar redes que comienza en las capas superiores del modelo de referencia de OSI antes de mover a las capas inferiores. Esto se concentra en aplicaciones, sesiones, y transporte de datos antes de la selección de routers, switches, y medios que funcionan en las capas inferiores37. Figura 1. Metodología TopDown

Fuente: SAAVEDRA, Juan Carlos. TopDown [imagen]. 24 diciembre de 2016 [Consultado: 2 de febrero de 2019]. Disponible en http://juancarlossaavedra.me/2015/01/diseno-de-red-con-top-down/topdown/

Top-Down permite iniciar desde los niveles superiores del diseño, transmitiendo los requerimientos y o especificaciones a los niveles inferiores, permitiendo establecer funciones específicas entre los diferentes componentes del diseño, esto permite realizar los ajustes en cada una de las etapas, brindando flexibilidad en el ciclo de vida del diseño de la red.

37 HUERTAS S, Marcos. Metodología Top Down [en línea]. es.scribd Octubre 13, 2014. [Consultado: 2 de

febrero de 2019]. Disponible en https://es.scribd.com/doc/242870887/2-Metodologia-Top-Down-espanol-pdf

Por otro lado, esta metodología permite trabajar en partes más pequeñas a medida que se avanza en el proyecto, lo que permite enfocarse productivamente en el cumplimiento de los objetivos, adicionalmente permite minimizar el impacto que pueda tener los cambios que aparezcan cronológicamente en el diseño, de esta manera se tiene una actualización del proyecto y su monitoreo continuo, ajustándose a los requerimientos iniciales o los que se puedan presentar en el ciclo de vida del proyecto. Para la propuesta descrita en este documento utilizaremos la metodología top-Down que propone cuatro Fases para el diseño de redes:

I. Fase1: Análisis de Negocios Objetivos y limitaciones II. Fase2: Diseño Lógico III. Fase3: Diseño Físico IV. Fase4: Pruebas, Optimización y Documentación de la red

Teniendo en cuenta la dimensión del proyecto como propuesta de actualización de la red corporativa del Centro Radiológico Digital Américas C.R.A., incluyendo estudio de seguridad de la información con el Framework NIST, no tiene alcance de implementación, trabajaremos hasta la etapa III, ya que Top-Down propone las etapas Fase 4: Pruebas, Optimización y Documentación de la red, Fase 5: Implementar y probar la red y Fase 6: Monitorear y Optimizar la Red, las cuales abarcan la implementación, la no tiene alcance para esta propuesta de actualización de la red corporativa del centro radiológico digital américas C.R.A., incluyendo estudio de seguridad de la información con el Framework NIST. Cisco nos propone un ciclo de vida de la red, ya que las organizaciones actualmente exigen el monitoreo constante en la implementación de un proyecto, esto con el fin de aprovechar al máximo cada uno de sus beneficios, para lograr este objetivo uno de los métodos que se puede utilizar es la versión que plantea Cisco del ciclo de vida de PPDIOO, que significa "Preparar, Planear, Diseñar, Implementar, Operar y Optimizar. 1.3 NIST CYBERSECURITY FRAMEWORK Este Marco voluntario consta de estándares, pautas y mejores prácticas para gestionar el riesgo relacionado con la ciberseguridad. El enfoque prioritario, flexible y rentable del Marco de Ciberseguridad ayuda a promover la protección y la resistencia de la infraestructura crítica y otros sectores importantes para la economía y la seguridad nacional.38

38 NIST. Cybersecurity Framework [En Línea]. [Consultado: 5 de febrero de 2019]. Disponible en

https://www.nist.gov/cyberframework

1.3.1 Historia y antecedentes

La seguridad nacional y económica de los Estados Unidos se ha visto afectada por las amenazas de muchas organizaciones y de fuentes informáticas, la seguridad nacional depende del funcionamiento confiable de la infraestructura crítica. Estos riesgos e incertidumbre, motivó al presidente Obama a emitir la Orden ejecutiva 13636 (EO), "Mejora de la ciberseguridad de la infraestructura crítica" (Executive Order 13636 Improving Critical Infrastructure Cybersecurity) el 12 de febrero, 2013, la cual sería responsabilidad del NIST (National Institute of Standards and Technology) para el desarrollo de un Framework de trabajo para la reducción de riesgos asociados con este tipo de entornos, con el respaldo del Gobierno, la industria y los usuarios. 1.3.2 ¿Cómo y cuándo se desarrolló el Cybersecurity Framework?

La versión 1.0 del Framework fue preparada por el Instituto Nacional de Estándares y Tecnología (NIST) con amplio aporte del sector privado y emitida en febrero de 2014. El Framework fue desarrollado en respuesta a la Orden Ejecutiva Presidencial (OE) 13636, Mejorando la Ciberseguridad de Infraestructura Crítica, que se emitió en 2013. El futuro papel del Framework del NIST se ve reforzado por la Ley de mejora de la seguridad cibernética de 2014 (Ley pública 113-274), que pide al NIST que facilite y respalde el desarrollo de estándares de ciberseguridad y mejores prácticas voluntarias para la infraestructura crítica. El segundo borrador de actualización a V1.0 se publicó para comentario público el 5 de diciembre de 2017 como borrador 2 de la versión 1.1 del Framework y se finalizará después de considerar los comentarios presentados antes del 19 de enero de 2018 fecha límite.

1.3.3 ¿Qué es el NIST Cybersecurity Framework?

Cybersecurity Framework es un conjunto de estándares de la industria y mejores prácticas para ayudar a las organizaciones a gestionar los riesgos de ciberseguridad. El Framework creado a través de la colaboración entre gobierno y el sector privado. El Framework se centra en el uso de impulsores de negocios para orientar las actividades de ciberseguridad y considerar los riesgos de ciberseguridad como parte de los procesos de gestión de riesgos de cada organización. 1.3.4 Versiones del Cybersecurity Framework

El NIST desarrolló el Framework voluntario de manera consistente con su misión de promover la innovación y la competitividad industrial de los Estados

Unidos. El Framework ha sido desarrollado y promovido a través del compromiso continuo con los interesados en el gobierno, la industria y el mundo académico.

• 12 de febrero de 2013 - Orden ejecutiva 13636

• 01 de julio de 2013 – Publicación preliminar

• 12 de febrero de 2014 - Lanzamiento Versión 1.0

• 18 de diciembre de 2014 - Ley de mejora

• 16 de abril de 2018 - Lanzamiento Versión 1.1

Figura 2 Evolución del Cybersecurity Framework

Fuente: BLOGDELCISO. SF-NIST una oportunidad para tiempos donde la ciberseguridad es difusa [imagen]. 2018 [Consultado: 26 de septiembre de 2016]. Disponible en https://www.blogdelciso.com/2018/06/21/csf-nist-una-oportunidad-para-tiempos-donde-la-ciberseguridad-es-difusa/

1.3.5 Componentes del Framework

El Framework consta de tres partes: el núcleo del Framework, Niveles de Implementación del Framework y perfiles del Framework Figura 3 Componentes del Cybersecurity Framework

Fuente: Adaptación Propia

1.3.6 Núcleo del Framework Es un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas, en términos de estándares de la industria, directrices y prácticas que permiten la comunicación de actividades de ciberseguridad y sus resultados a lo largo de la organización, desde el nivel ejecutivo hasta el nivel de implementación/operación. El núcleo es "un conjunto de actividades para lograr resultados de ciberseguridad específicos, y referencias de ejemplos de orientación para lograr esos resultados". Se divide en cuatro elementos:

• Funciones

• Categorías

• Subcategorías

• Referencias informativas

Figura 4 Estructura del Núcleo del Marco

Fuente: Instituto Nacional de Estándares y Tecnología. Marco para la mejora de la seguridad cibernética en infraestructuras críticas [imagen]. 2018. p. 6. [Consultado: 2 de febrero de 2019]. Disponible en https://www.nist.gov/sites/default/files/documents/2018/12/10/frameworkesmellrev_20181102mn_clean.pdf

Funciones: hay cinco funciones utilizadas para organizar los esfuerzos de seguridad cibernética en el nivel más básico: identificar, proteger, detectar, responder y recuperar. En conjunto, estas cinco funciones forman un enfoque de alto nivel para asegurar los sistemas y responder a las amenazas. Figura 5 Funciones Cybersecurity Framework

Fuente: ASSERTIVA. ¡Tómale una foto a la ciberseguridad de tu organización! [imagen]. 2019. [Consultado: 2 de abril de 2019]. Disponible en https://www.assertiva.biz/tomale-una-foto-a-la-ciberseguridad-de-tu-organizacion/

Figura 6 Funciones de implementación del Cybersecurity Framework

Fuente: Instituto Nacional de Estándares y Tecnología. Marco para la mejora de la seguridad cibernética en infraestructuras críticas [imagen]. 2018. p. 6. [Consultado: 2 de febrero de 2019]. Disponible en: https://www.nist.gov/sites/default/files/documents/2018/12/10/frameworkesmellrev_20181102mn_clean.pdf

A su vez, cada una de estas funciones cuenta con categorías y subcategorías con sus referencias informativas relacionadas (estándares, directrices y prácticas). Categorías: cada función contiene categorías utilizadas para identificar tareas o desafíos específicos dentro de ella. Por ejemplo, la función de protección podría incluir control de acceso, actualizaciones regulares de software y programas antimalware. Subcategorías: Estas son divisiones adicionales de categorías con objetivos específicos. La categoría regular de actualizaciones de software se puede dividir en tareas como asegurarse de que Wake on LAN esté activo, que las actualizaciones de Windows estén configuradas correctamente y actualizar manualmente las máquinas que se pierden. Referencias informativas: la documentación, los pasos para la ejecución, los estándares y otras directrices entrarían en esta categoría. Un buen ejemplo en la

categoría de actualización manual de Windows sería un documento que describa los pasos para actualizar manualmente las PC con Windows. 1.3.6.1 Niveles de Implementación

Existen cuatro niveles de implementación, y aunque los documentos de CSF no los consideran niveles de madurez, los niveles más altos se consideran una implementación más completa de los estándares de CSF. Figura 7 Niveles de implementación del Cybersecurity Framework

Fuente: BLOG.ISECAUDITORS. Guía rápida para entender el marco de trabajo de ciberseguridad del NIST [Consultado: 2 de febrero de 2019]. Disponible en https://blog.isecauditors.com/2016/12/guia-rapida-para-entender-marco-trabajo-de-ciberseguridad-del-NIST.html / Adaptación Propia

Nivel 1: llamada implementación parcial, las organizaciones en el Nivel 1 tienen una postura de ciberseguridad ad-hoc y reactiva. Tienen poca conciencia del riesgo de la organización y los planes implementados a menudo se hacen de manera inconsistente. Nivel 2: las organizaciones informadas por el riesgo pueden aprobar medidas de ciberseguridad, pero la implementación aún es fragmentaria. Son conscientes de los riesgos, tienen planes y cuentan con los recursos adecuados para protegerse, pero aún no han llegado a un punto proactivo. Nivel 3: El tercer nivel se llama repetible, lo que significa que una organización ha implementado los estándares de CSF en toda la empresa y puede responder repetidamente a las crisis. La política se aplica constantemente y los empleados están informados de los riesgos.

Nivel 4: llamado adaptable, este nivel indica la adopción total del CSF. Las organizaciones adaptables no solo están preparadas para responder a las amenazas: detectan de forma proactiva las amenazas y predicen problemas en función de las tendencias actuales y su arquitectura de TI. 1.3.6.2 Perfiles del Framework Los perfiles son tanto un resumen del estado de seguridad cibernética actual de una organización como hojas de ruta hacia los objetivos de CSF. NIST dijo que tener múltiples perfiles, tanto actuales como objetivos, puede ayudar a una organización a encontrar puntos débiles en sus implementaciones de seguridad cibernética y hacer que sea más fácil pasar de niveles más bajos a niveles más altos. Los perfiles también ayudan a conectar las funciones, categorías y subcategorías con los requisitos comerciales, la tolerancia al riesgo y los recursos de la organización más grande a la que atiende. Piense en los perfiles como un resumen ejecutivo de todo lo hecho con los tres elementos anteriores del CSF.

Figura 8 Arquitectura del marco de trabajo de ciberseguridad del NIST

Fuente: BLOG.ISECAUDITORS. Guía rápida para entender el marco de trabajo de ciberseguridad del NIST [Consultado: 2 de febrero de 2019]. Disponible en https://blog.isecauditors.com/2016/12/guia-rapida-para-entender-marco-trabajo-de-ciberseguridad-del-NIST.html

1.3.6.3 Implementación del Cybersecurity Framework La implementación de un programa de ciberseguridad basado en CSF consta de los siguientes pasos iterativos: Figura 9 Pasos para la implementación de un programa de ciberseguridad basado en el CSF

Fuente: Fuente: ISACA., Cobit 2019 Infographics and Videos [imagen]. [Consultado: 2 de septiembre de 2019]. Disponible en Internet: http://www.isaca.org/COBIT/Documents/COBIT-Timeline-2019_ifg_eng_1118.pdf

Paso 1: Priorización y definición de alcance: Mediante la identificación de los objetivos y misión del negocio y las prioridades de alto nivel en términos organizacionales, se decide de forma estratégica el entorno de aplicabilidad de los controles. Este entorno puede ser toda la organización, una línea de negocio en particular o un proceso, teniendo presente que cada uno de estos elementos puede tener diferentes niveles de tolerancia al riesgo. Paso 2: Orientación: Se identifican los sistemas, activos, requerimientos regulatorios, amenazas y vulnerabilidades vinculadas al entorno de aplicabilidad definido. Paso 3: Crear un perfil actual: A través de las funciones del Framework básico y empleando las categorías y subcategorías, se obtienen los resultados de implementación de controles en el entorno.

Paso 4: Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que permita determinar la probabilidad y el impacto de eventos de ciberseguridad en el entorno analizado. Paso 5: Crear un perfil objetivo: Se establecen los objetivos que en términos de ciberseguridad la organización pretende cubrir. Paso 6: Determinar, analizar y priorizar las brechas detectadas: Mediante el análisis diferencial entre el perfil actual y el perfil objetivo, se define un plan de acción priorizado en términos de coste/beneficio, que permita la determinación de recursos y acciones de mejora. Paso 7: Implementar el plan de acción: Se procede con la alineación de controles y despliegue de mejoras de forma paulatina y monitorizada. Todas estas acciones deben ser implementadas dentro de un entorno de mejora continua, permitiendo que de forma continua la organización optimice sus controles de seguridad y escale a niveles superiores dentro del Framework de trabajo. 1.3.7 Estándares, directrices y mejores prácticas en las que está basado el

Cybersecurity Framework

El CSF está basado y/o hace referencia a los siguientes estándares, directrices y mejores prácticas:

• Control Objectives for Information and Related Technology (COBIT)

• Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)

• ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program

• ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and Control Systems: System Security Requirements and Security Levels

• ISO/IEC 27001:2013, Information technology --Security techniques --Information security management systems --Requirements

• NIST SP 800-53 Rev. 4: NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations.

1.4 COBIT

1.4.1 Historia y antecedentes

Al mencionar COBIT, se relaciona directamente con ISACA (Information Systems Audit and Control Association), comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares—auditar controles en los sistemas computacionales que se estaban haciendo cada vez más críticos para las operaciones de sus respectivas organizaciones—se sentaron a discutir la necesidad de tener una fuente centralizada de información y guías en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor en el campo de gobierno y control de TI. Conocida previamente como la Information Systems Audit and Control Association (Asociación de Auditoría y Control en Sistemas de Información), ISACA ahora es solo un acrónimo, que refleja la amplia gama de profesionales en gobierno de TI a los que sirve hoy, los integrantes de ISACA – más de 115,000 en todo el mundo – se caracterizan por su diversidad. Los integrantes viven y trabajan en más de 180 países y cubren una variedad de puestos profesionales relacionados con TI – sólo por nombrar algunos ejemplos, auditor de SI, consultor, profesional de la educación, profesional de seguridad de SI, regulador, director ejecutivo de información (CIO) y auditor interno39. ISACA® (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de 140 000 profesionales en 180 países. ISACA también ofrece Cybersecurity Nexus TM (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio para gobernar la tecnología de la empresa. ISACA adicionalmente promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk and Information Systems Control™ (CRISC™). La asociación tiene más de 200 capítulos en todo el mundo40.

39 ISACA. La Historia de ISACA [en línea]. [Consultado 2 de febrero de 2019]. Disponible en Internet:

http://www.isaca.org/about-isaca/history/espanol/pages/default.aspx?utm_referrer= 40 ISACABOGOTA. ¿Qué es ISACA? [en línea]. [Consultado 2 de febrero de 2019]. Disponible en Internet: https://www.isacabogota.org/preguntas-frecuentes/

https://www.isacabogota.org/preguntas-frecuentes/

1.4.2 Versiones de COBIT

Lanzado por primera vez en 1996, COBIT (Objetivos de control para la información y tecnologías relacionadas) se diseñó inicialmente como un conjunto de objetivos de control de TI para ayudar a la comunidad de auditoría financiera a navegar mejor en el crecimiento de los entornos de TI. En 1998, ISACA lanzó la versión 2, que amplió el marco para aplicar fuera de la comunidad de auditoría. Más tarde, en la década de 2000, ISACA desarrolló la versión 3, que trajo las técnicas de administración de TI y gobernanza de la información que se encuentran en el marco actual41. Figura 10 Línea de tiempo COBIT

Fuente: ISACA., Cobit 2019 Infographics and Videos [imagen]. [Consultado: 2 de febrero de 2019]. Disponible en Internet: http://www.isaca.org/COBIT/Documents/COBIT-Timeline-2019_ifg_eng_1118.pdf

COBIT 4 se lanzó en 2005, seguido por COBIT 4.1 en 2007. Estas actualizaciones incluyeron más información sobre la gobernanza en torno a la tecnología de información y comunicación. En 2012, se lanzó COBIT 5 y en 2013, ISACA lanzó un ‘add-on’ para COBIT 5, que incluía más información para las empresas en relación con la gestión de riesgos y la gobernanza de la información42. Para el 2019 ISACA lanza su versión COBIT 2019 denominado Gobierno de la Información y

41 NETWORKWORLD. ¿Qué es COBIT? Un marco para la alineación y la gobernanza [en línea]. [Consultado

5 de febrero de 2019]. Disponible en Internet: https://www.networkworld.es/archive/que-es-cobit-un-marco-para-la-alineacion-y-la-gobernanza 42 Ibid.,

http://www.isaca.org/COBIT/Documents/COBIT-Timeline-2019_ifg_eng_1118.pdf

http://www.isaca.org/COBIT/Documents/COBIT-Timeline-2019_ifg_eng_1118.pdf

Tecnología de las Empresas (EGIT). Con COBIT 2019, en esta versión se cambia el nombre y se enfatiza la importancia de la información en las organizaciones y la tecnología necesaria.

1.4.3 ¿Qué es COBIT?

COBIT (Control Objectives For Information And Related Technology - Objetivos de Control para la Información y Tecnologías Relacionadas), es un marco de trabajo que permite comprender el gobierno y la gestión de las tecnologías de información (TI) de una organización, así como evaluar el estado en que se encuentran las TI en las empresas. También se puede definir como un conjunto de herramientas de soporte empleadas por los gerentes para reducir la brecha entre los requerimientos de control, los temas técnicos y los riesgos del negocio. Mediante COBIT 5 se puede desarrollar una política clara que permite el control de las TI en la organización, la aplicación de este marco incide especialmente en el cumplimiento regulatorio y ayuda a incrementar el valor asociado al área de TI de la organización, desde su inicio, COBIT ha evolucionado desde su uso para la auditoría de TI, para luego pasar por el control, la gestión de TI, el gobierno de TI, llegando a su versión actual que es un enfoque holístico de gobierno corporativo de TI43. COBIT provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas, dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos. COBIT permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas internas y externas, COBIT es genérico y útil para empresas de todos los tamaños.

COBIT 5 acopla los 5 principios que admiten a la empresa desarrollar de forma segura el marco de Gobierno y Administración enfocado en una sucesión de 7 habilitadores que tienen relación, que perfeccionan el financiamiento en información

43 ESAN.EDU.PE. Los cinco principios de COBIT 5 [En Línea]. ISACA lanza Risk IT Framework para ayudar a

organizaciones a equilibrar los riesgos con los beneficios. [Consultado 5 de febrero de 2019]. Disponible en Internet: https://www.esan.edu.pe/apuntes-empresariales/2016/06/los-cinco-principios-de-cobit-5/

https://www.esan.edu.pe/

como también en tecnología mediante lo cual la utilización va en beneficio de los interesados.44 1.4.4 Principios de COBIT 5

COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de las TI empresariales, los cuales se ilustran en la siguiente figura: Figura 11 Principios de COBIT 5

Fuente: ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Linea]. 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 13. [Consultado: 6 de diciembre de 2016]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

1.4.4.1 Principio 1. Satisfacer las Necesidades de las Partes Interesadas Todas las empresas generan valor para sus partes interesadas, esta promesa de valor se ve reflejada dependiendo de la actividad económica y del campo de acción al cual este dedicada la organización, y se traducen en beneficios económicos de servicio o de fidelización, para lograr este principio debe existir un equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos, por la naturaleza de cada empresa, es indispensable que se ajusten sistemas que se acoplen y ayuden a cumplir con el gobierno en el contexto interno y externo.

44 www.isaca.org /COBIT® 5 Framework-Spanish.pdf

http://www.isaca.org/COBITuse

Figura 12 Creación de Valor

Fuente: ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Linea]. 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 17. [Consultado: 6 de febrero de 2019]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

Técnica de la cascada de Metas COBIT 5. Por medio de la metodología o técnica de la cascada propuesta por COBIT 5, se puede priorizar la implementación del marco durante la adopción de gobierno en el negocio. Las necesidades de las partes interesadas se ven reflejadas en la definición de las estrategias de Negocio alineadas a las de TI, esto permite establecer metas específicas en cada nivel y diferentes áreas de la organización. La metodología o técnica de la cascada define los siguientes pasos:

• Identificar las necesidades o requerimientos de las partes interesadas que apoyen la estrategia del negocio.

• Alinear las necesidades identificadas en el primer paso con uno o varios de los 17 objetivos corporativos genéricos clasificados según las perspectivas de Balanced Scorecard (CMI – Cuadro de Mando Integral).

• Alinear los objetivos corporativos genéricos identificados, con su correspondiente meta genérica de TI.

• Los objetivos relacionados con TI se pueden lograr mediante el uso óptimo y la ejecución de varios de los 7 facilitadores de COBIT.

A continuación, se muestra el flujo del proceso de la cascada de COBIT 5 Figura 13 cascada de Metas COBIT 5



1.4.4.2 Principio 2: Cubrir la Empresa extremo a extremo COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo, cubre todas las funciones y procesos dentro de la empresa, (personas y procesos internos y externos) no se enfoca sólo en la “función de TI”, trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa.


Figura 14 Gobierno y Gestión en COBIT


1.4.4.3 Principio 3: Aplicar un Marco de Referencia único integrado Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa.


Figura 15 Marco de Referencia único integrado


1.4.4.4 Principio 4: Hacer Posible un Enfoque Holístico Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Los catalizadores se definen en líneas generales como cualquier cosa que puede ayudar a conseguir las metas de la empresa. El marco de trabajo COBIT 5 define siete categorías de catalizadores, los cuales se muestran en la siguiente gráfica:


Figura 16 Catalizadores Corporativos COBIT

Fuente: ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Linea]. 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 25. [Consultado: 6 de febrero de 2019]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx / adaptación Propia

1.4.4.5 Principio 5: Separar el Gobierno de la Gestión El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes estructuras organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en esta distinción clave entre gobierno y gestión es: Gobierno El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas, estableciendo la dirección a través de la priorización y la toma de decisiones, y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.

1.Principios, Políticas y Marcos de

Trabajo

2.Procesos

3.Estructuras Organizativas

4.Cultura, Ética y Comportamiento

5.Información

6.Servicios, Infraestructuras y

Aplicaciones

7.Personas, Habilidades y Competencias

http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx%20%20/

Gestión La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales. Figura 17 Áreas claves de Gobierno y Gestión de COBIT


Las empresas pueden adecuar sus procesos para cubrir las metas de gobierno y gestión y dependiendo del campo de acción determinan que procesos pueden intervenir de los 37 procesos que propone COBIT, en la siguiente gráfica se muestran estos dominios.


Figura 18 Modelo de Referencia de Procesos de COBIT


1.4.4.6 Catalizadores Corporativos COBIT Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo funcionará – en este caso, el gobierno y la gestión de la empresa TI. Los catalizadores son guiados por la cascada de metas, es decir, objetivos de alto nivel relacionados con TI definen lo que los diferentes catalizadores deberían conseguir, el marco de referencia COBIT 5 describe siete categorías de catalizadores.45 1.4.4.7 Principios, políticas y marcos de referencia Son el vehículo para traducir el comportamiento deseado en guías prácticas para la gestión del día a día, tiene que ver con el direccionamiento estratégico de cada organización y se construye según la razón de ser de cada negocio. 1.4.4.8 Los procesos

45 ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Linea]. 2012

ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 27. [Consultado: 6 de febrero de 2019]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx


Describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados, estas salidas ayudan al logro de las metas generales relacionadas con TI. 1.4.4.9 Las estructuras organizativas Son las entidades de toma de decisiones clave en una organización, pueden ser internas o externas, incluyendo socios individuales, clientes, proveedores, etc. sus roles, adicional a toma de decisiones, pueden influenciar en las mismas y asesorar, algunos miembros pueden ser:

• CISO: Director de Seguridad de la información

• ERM: Comité de gestión de riesgos corporativos

• ISM: Gerente de seguridad de la información

• Administradores: dueños o custodios de la información

• RACI: Matriz para definir roles y responsabilidades 1.4.4.10 La Cultura, ética y comportamiento Son todos lo motivadores de los individuos y de la empresa, son a menudo subestimados como factor de éxito en las actividades de gobierno y gestión de las organizaciones, son los elementos de asuntos diarios que generan triunfo, valores y compromiso sobre la organización. 1.4.4.11 La información Todo lo relacionado a los datos generados y utilizados por la empresa, tienen alcance a toda la organización, es necesaria para mantener los procesos de la organización funcionando y permite ser bien gobernada, pero a nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma. 1.4.4.12 Los servicios, infraestructuras y aplicaciones Proveen la infraestructura, tecnología y aplicaciones necesarias para la empresa, es importante para los servicios y tecnologías de procesamiento de la información, permite la continuidad en la organización y la generación de información y valor en la empresa.

1.4.4.13 Las personas, habilidades y competencias Son la razón de ser de la gestión empresarial y son necesarias para lograr de manera exitosa todas las actividades y para la correcta toma de decisiones y de acciones correctivas, para tener claridad en las funciones de cada persona, COBIT tiene la matriz RACI, la cual sirve como base para el establecimiento de responsabilidades y funciones. 1.4.4.14 El modelo de capacidad de los procesos de COBIT 5 En COBIT 5, la evaluación de brechas entre procesos, es decir las diferencias de para alcanzar un nivel deseado, se realiza con base en la norma ISO / EC 15504 de Ingeniería de Software-Evaluación de procesos. Con este modelo se determinan los objetivos generales de evaluación de procesos y se identifican oportunidades de mejora de TI. COBIT 5 establece seis niveles de capacidad, para determinar el nivel de capacidad de un proceso, el cual se designa como “proceso incompleto” hasta “Proceso optimizado”, a continuación, se describen cada uno de los niveles: Nivel 0 Proceso incompleto: El proceso no está implementado o no alcanza su propósito, se evidencia muy poco o ningún logro sistemático del propósito del proceso. Nivel 1 Proceso ejecutado (un atributo): El proceso implementado alcanza su propósito. Nivel 2 Proceso gestionado (dos atributos): El proceso ejecutado descrito anteriormente está ya implementado de forma gestionada (planificado, supervisado y ajustado) y los resultados de su ejecución están establecidos, controlados y mantenidos apropiadamente. Nivel 3 Proceso establecido (dos atributos): El proceso gestionado descrito anteriormente está ahora implementado usando un proceso definido que es capaz de alcanzar sus resultados de proceso. Nivel 4 Proceso predecible (dos atributos): El proceso establecido descrito anteriormente ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso. Nivel 5 Proceso optimizado (dos atributos): El proceso predecible descrito anteriormente es mejorado de forma continua para cumplir con los metas empresariales presentes y futuros, cada nivel de capacidad puede ser alcanzado sólo cuando el nivel inferior se ha alcanzado por completo. Por ejemplo, un nivel 3

de capacidad de proceso (establecido) requiere que los atributos de definición y despliegue del proceso se hayan alcanzado ampliamente, sobre la consecución completa de los atributos del nivel 2 de madurez de procesos (proceso gestionado). Figura 19 Modelo de capacidad de Proceso COBIT 5


Los niveles de capacidad son alcanzados sólo cuando el nivel inferior se ha alcanzado por completo, esto requiere que los atributos de definición y despliegue del proceso se hayan alcanzado, COBIT 5 define los atributos En la norma ISO/IEC 15504 los niveles de capacidad se definen por un conjunto de nueve atributos de proceso. Estos atributos cubren algo del terreno cubierto por los atributos de madurez COBIT 4.1 y/o los controles de proceso, pero solo en cierta medida y de forma distinta46. El modelo de capacidad de procesos de COBIT 5, se ajustó de manera que cubriera cada proceso y se diferencia al modelo de madurez de COBIT 4.1, donde un proceso podía alcanzar un nivel 1 o 2 sin alcanzar completamente todos los

46 ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Línea]. 2012

ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 43. [Consultado: 6 de febrero de 2019]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

objetivos del proceso, lo cual no se logra con COBIT 5, ya que, para alcanzar el nivel superior se debe cumplir con los requisitos. Figura 20 Capacidad de los procesos Vs Modelo de madurez COBIT 4.1


En la siguiente grafica se muestran los atributos de proceso definidos por COBIT 5 - PAM (Process Assessment Model - Modelo de autoevaluación de procesos) los cuales están determinados según la norma ISO/IEC 15504.

http://www.isaca/

http://www/

Figura 21 Atributos de procesos

Fuente: ISACA, Cobit 5. Guía de autoevaluación Cobit 5, EE.UU., 2013 [En Línea]. ISACA. All rights reserved. For usage guidelines, [Consultado: 6 de febrero de 2019]. Disponible en Internet https://www.isaca.org/Journal/archives/2016/Volume-1/Pages/how-cobit-5-improves-the-work-process-capability-of-auditors-spanish.aspx?utm_referrer=

1.4.4.15 Fases de implementación COBIT 5 COBIT 5.0 proporciona un método para hacer frente a la complejidad y desafíos en la ejecución del Gobierno de TI. Existen tres componentes relacionados al ciclo de vida: 1. Ciclo de vida de Mejora continua – Este no es un proyecto único 2. Habilitación del cambio – Abordar los aspectos culturales y de comportamiento 3. Gestión del programa Este modelo enfatiza que las actividades no son tratadas una sola vez, sino son parte de un proceso continuo de implementación y mejora, los tres componentes del ciclo de vida son:

Figura 22 Las Siete Fases de la Implementación del Ciclo de Vida


1.5 ESTADO DEL ARTE El Cybersecurity Framework del NIST es un conjunto de buenas prácticas que actualmente no está definido como un estándar que pueda ser certificado, siendo un marco de referencia emergente y relativamente reciente, no hay registro de la cantidad de empresas u organizaciones que han implementado dichas prácticas, existen muchos estudios referentes a la implementación de Framework como se evidencia en las siguientes referencias, que, pueden tomarse como punto de partida para la implementación y adopción en nuestro caso estudio.

1.5.1 Propuesta de Implantación del Cyber Security Framework (CSF) del NIST, usando Cobit, en Honda del Perú (HDP)

La tesis propone implantar un Framework de ciberseguridad en Honda del Perú, empresa peruana, en la cual plantean determinar los tres componentes principales de la problemática identificada al implantar un framework de ciberseguridad, sugiere estrategias de solución a los tres principales problemas y propone un plan de acción para la gestión de la ciberseguridad en HDP. En la propuesta de investigación, aplicar el CSF a HDP involucró un desarrollo exhaustivo de los componentes principales de cada fase, para lo cual se hizo uso de los recursos y las herramientas de COBIT 5, utilizándose sus prácticas e instrumentos de gobierno y gestión más relevantes. También fue necesario crear herramientas particulares de análisis en la gestión de los riesgos, para adaptar la realidad y contexto actual de HDP, dentro de la metodología de trabajo de aplicación del CSF bajo COBIT47. 1.5.2 Diseño de un modelo de gobierno de TI utilizando el marco de trabajo

de COBIT 5 con enfoque en seguridad de la información.

Presenta el caso de estudio de una empresa privada administradora de fondo de pensiones, el proyecto propone diseñar un modelo de Gobierno de TI, utilizando el marco de trabajo COBIT 5, con enfoque en Seguridad de Información, para este proyecto se desarrolló cada uno de los cinco pilares del Gobierno de TI (Alineación estratégica, entrega de valor, gestión de riesgos, gestión de los recursos y medición del desempeño) siguiendo las buenas prácticas de gobierno de TI de COBIT 548.

47 AGUILAR ARAUJO, Carlos Eduardo, LAU ALAYO, Eduardo Roberto, OLIVERA KALINOWSKI, Sandro, POLANCO RAMOS, Cristian Arthur. Propuesta de implantación del «Cyber Security Framework (CSF)» del NIST, usando COBIT, en Honda del Perú [En Línea]. Magíster en Dirección de Tecnologías de Información. Lima, 10 de julio de 2017. Esan Business. [Consultado: 6 de febrero de 2019]. Disponible en http://repositorio.esan.edu.pe/bitstream/handle/ESAN/1200/madti20177_R.pdf?sequence=1&isAllowed=y 48 BEINGOLEA MANAVI, Henry Jhonatan. Diseño de un modelo de gobierno de ti utilizando el marco de trabajo de cobit 5 con enfoque en seguridad de la información. caso de estudio: una empresa privada administradora de fondo de pensiones. [En Línea]. Ingeniero Informático. Lima, octubre de 2015. Pontificia Universidad Católica

1.5.3 Implementación de COBIT – ECOPETROL S.A

En el año 2008, la DTI (Dirección de Tecnología de Información) de la empresa, decide adoptar COBIT, como marco para la implementación del sistema de gestión de tecnologías de información, integrando los esfuerzos de iniciativas en curso, relacionadas con el Diseño e implementación de Servicios (ITIL), la Gestión por Procesos, Control Interno y cumplimiento de regulaciones tales como la Ley Sarbanes Oxley. (Léon. A., 2012). DTI eligió COBIT como el marco de gobierno de TI adecuado para integrar un sistema de gestión de TI, basado en las características de COBIT (ISACA, 2016)49.

1.5.4 Curso Cybersecurity Nexus (CSX) ™

Ofertado por ISACA (Information Systems Audit and Control Association), es un curso que facilita el conocimiento, herramientas y la orientación a través del Cybersecurity Nexus (CSX) ™, el cual brinda:

• Comprender los objetivos del Marco de seguridad cibernética (CSF)

• Comprender y discutir el contenido del CSF y lo que significa alinearse a él.

• Comprender cada uno de los siete pasos de implementación de CSF

• Ser capaz de aplicar y evaluar los pasos de implementación usando COBIT5.

Adicional a los proyectos mencionados anteriormente, encontramos las referencias de la implementación del framework en las estructuras críticas del gobierno de EE. UU. las cuales están descritas en la página oficial de la NIST. En cuanto a la implementación de infraestructuras de redes, VoIP y redes inalámbricas, encontramos un gran número de proyectos que brindaron soluciones a las necesidades e inconvenientes de las empresas en las que fueron implementados, las siguientes son algunas referencias de los proyectos que evidencian estas soluciones.

del Perú Facultad de Ciencias e Ingeniería [Consultado: 6 de febrero de 2019]. Disponible en http://tesis.pucp.edu.pe/repositorio/handle/123456789/6390 49 OTERO, Nelson. 1.5.3 Implementación de Cobit Ecopetrol S.A [En Línea]. 9 junio, 2016. [Consultado 6 de febrero de 2019]. Disponible en https://nelsonotero.wordpress.com/2016/06/09/caso-exito-cobit-ecopetrol-s-a/ http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-Ecopetrol.aspx

1.5.5 Diseño de una infraestructura de red VoIP para la universidad de Cartagena utilizando la metodología Top-Down

Este proyecto describe el diseño lógico y físico de una infraestructura de red para la Universidad de Cartagena que soporte telefonía VoIP utilizando la metodología Top-Down, realizaron el diagnóstico de la red de datos existente para identificar necesidades y disponibilidad para soportar telefonía IP, el proyecto se llevó a cabo con las actividades referentes a la metodología Top Down Design50.

1.5.6 Diseño e implementación de virtualización de escritorios para el Fondo Nacional del Ahorro-FNA-seccional Bogotá

El proyecto documenta el diseño e implementación de virtualización de escritorios para el fondo Nacional del Ahorro seccional Bogotá, estableciendo las buenas prácticas que PMI incluye en su última edición del PMBOOK ® y en los conocimientos y habilidades adquiridas por los estudiantes en el proceso de formación profesional en la Universidad Piloto de Colombia51.

1.5.7 Diseño e implementación de virtualización con VSPHERE sobre servidores BLADE dentro de una zona desmilitarizada LINUX para ambiente de pruebas de software WEB en el departamento de desarrollo de la empresa Transoceánica C LTDA

Describe la implementación de la virtualización utilizando VSPHERE, para trabajar en ambiente de pruebas de software en el departamento de desarrollo de la empresa, mediante la creación de máquinas virtuales, con ambientes virtuales en sistemas operativos Windows, Linux52.

50 ESCAMILLA HERNANDEZ, Wesly David, HERNANDEZ CABRERA, Kelvin José. Diseño de una Infraestructura de red VOIP para la Universidad de Cartagena Utilizando la Metodología Topdown. [En Línea]. Universidad de Cartagena Facultad de Ingeniería Programa Ingeniería de Sistemas Cartagena de Indias d. t y c. 2015. [Consultado el 6 de febrero de 2019]. Disponible en http://repositorio.unicartagena.edu.co:8080/jspui/bitstream/11227/2927/1/DISE%C3%91O%20DE%20UNA%20INFRAESTRUCTURA%20DE%20RED%20VOIP%20PARA%20LA%20UNIVERSIDAD%20DE%20CARTAGENA%20UTILIZANDO%20TOPDOWN.pdf 51 BERROCAL CONDE, Claudia Patricia, MUÑOZ, Yadira Marcela. Proyecto Diseño e Implementación de Virtualización de Escritorios para el Fondo nacional del Ahorro-FNA-Seccional Bogotá. [En Línea]. Especialista en Gerencia de Proyectos. Bogotá, Colombia julio de 2015. [Consultado el 6 de febrero de 2019]. Disponible en http://polux.unipiloto.edu.co:8080/00002662.pdf 52 CABRERA ESPINOZA, Anthony Joel. Diseño e Implementación de Virtualización con Vsphere sobre Servidores Blade, Dentro de una Zona Desmilitarizada Linux para Ambientes de Pruebas de Software Web en el Departamento de Desarrollo de la Empresa Transoceánica c. Ltda. [En Línea]. Ingeniero de Sistemas. Guayaquil, septiembre del 2017. [Consultado el 6 de febrero de 2019]. Disponible en https://dspace.ups.edu.ec/handle/123456789/15005

ANEXO B CRONOGRAMA DE ACTIVIDADES (PDF)

ANEXO C INFORME DE AUDITORÍA

PROCESO DE ATENCIÓN AL CLIENTE BAJO LA METODOLOGÍA COBIT 4.1

1 MARCO REFERENCIAL DE AUDITORÍA. Para la presente propuesta hemos tomado como marco metodológico COBIT 4.1, la cual se enfoca en el control óptimo que debe tener una empresa, los aspectos, capítulos o temas a tener en cuenta en la auditoría fueron tomados de los dominios y procesos definidos por el marco. Figura 1. Procesos de TI definidos en los cuatro dominios de COBIT 4.1.

Fuente: ISACA. COBIT4.1 Spanish. [En línea], 2017. Disponible en Internet: http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf

1.1 FUENTES DE DATOS PARA LA AUDITORÍA Como parte del plan de auditoria, se realizaron las siguientes actividades para la recolección de información:

Figura 2. Actividades para obtener información


1.2 METODOLOGÍA DE AUDITORÍA Para el plan de auditoria se establecieron las siguientes etapas, las cuales describen las actividades realizadas: Figura 3. Metodología de Auditoría


1. Identificación Proceso

2. Selección Escenarios de

Riesgos

3.Revisión de Cumplimiento según

escenarios

5. Recomendaciones8. Controles críticos

asociados para mitigar riesgos

1.3 DEFINICIÓN DE AMENAZAS Se realiza un proceso de análisis de la información recolectada, se asigna una clasificación de escenarios, con sus respectivos riesgos, dando una calificación cualitativa al impacto y probabilidad de ocurrencia; esto genera una relación entre las dos calificaciones que nos facilita la matriz de riesgos. 1.4 NIVEL DE IMPACTO Durante la identificación se califica el nivel de impacto en una escala de uno (1) a cinco (5), asignando una escala numérica para establecer un proceso de calificación más intuitivo que permite disminuir los niveles de ambigüedad. Tabla 1 Escala de nivel de impacto

ESCALA SIGNIFICADO

1 MUY ALTO

2 ALTO

3 MODERADO

4 BAJO

5 MUY BAJO Fuente: Elaboración Propia

1.5 NIVEL DE PROBABILIDAD Al igual que el nivel de impacto, se clasificará el nivel de probabilidad de ocurrencia del riesgo, es decir que tan probable es que suceda el evento, con una escala de uno (1) a cinco (5).

Tabla 2 Escala de nivel de Probabilidad

ESCALA SIGNIFICADO

1 DEBIL

2 LEVE

3 MEDIO

4 IMPORATANTE

5 CATASTRÓFICO Fuente: Elaboración Propia

1.6 ZONAS DE RIESGO Las zonas de riesgo son determinadas por la relación de la probabilidad con el impacto, multiplicando la calificación cuantitativa de las dos, con escalas de riesgo inherente entre 1 y 25; siendo 25 el máximo de promedio de riesgo inherente, lo que indica que es crítico para los objetivos de negocio. Las siguientes son las zonas de riesgo y su notación gráfica y cualitativa: Tabla 3 Escala de Zona de Riesgo

ZONA DE RIESGO

SIGNIFICADO

CALIFICADOR

BAJA Asumir el riesgo

MODERADA Asumir o reducir el riesgo

ALTA Reducir, evitar, compartir o

transferir el riesgo

EXTREMA Evitar, reducir, compartir o

transferir el riesgo Fuente: Elaboración Propia

Se estableció un modelo que asocia los riesgos operacionales con los objetivos de negocio de TI los cuales comprende los siguientes procesos de análisis de la información, para obtener una matriz de riesgos; este modelo se puede evidenciar en el Anexo G. Matriz de escenarios, el cual identifica las siguientes actividades:

• Identificar los riesgos operacionales.

• Impacto y probabilidad de los riesgos operacionales, presentada en forma de una matriz de riesgos.

• Escenarios de riesgos asociados.

• Cuantificar la probabilidad de ocurrencia.

1.7 MATRIZ DE RIESGOS Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño puede causar un mal procedimiento en el proceso auditado

Tabla 4. Matriz de riesgos

MATRIZ DE RIESGOS

PR

OB

AB

ILID

AD

ESCALA VALOR ZONAS DE RIESGO

MUY ALTO 5 Zona de Riesgo Alta

Reducir, evitar, compartir

o transferir el riesgo

Zona de Riesgo Alta

Reducir, evitar, compartir

o transferir el riesgo

Zona de Riesgo Extrema

Evitar, reducir, compartir o








ALTO 4 Zona de Riesgo Moderado

Asumir o reducir el riesgo

Zona de Riesgo Alta

Reducir, evitar, compartir o transferir el riesgo

Zona de Riesgo Alta



Evitar, reducir, compartir o transferir el riesgo



MODERADO 3 Zona de Riesgo Baja Asumir el riesgo

Zona de Riesgo Moderado


Zona de Riesgo Alta






BAJO 2 Zona de Riesgo Baja

Asumir el riesgo

Zona de Riesgo Baja

Asumir el riesgo

Zona de Riesgo Moderado Asumir o reducir el riesgo

Zona de Riesgo Alta Reducir, evitar, compartir o


Zona de Riesgo Extrema Evitar, reducir, compartir o


MUY BAJO 1 Zona de Riesgo Baja

Asumir el riesgo

Zona de Riesgo Baja

Asumir el riesgo

Zona de Riesgo Moderado






ESCALA DEBIL LEVE MEDIO IMPORTANTE CATASTROFICO

VALOR 1 2 3 4 5

IMPACTO


Entidad Auditada:

Centro Radiológico Digital C.R.A. Proceso atención al cliente

Distribuido a: Directivos de la empresa

Copia a:

Subdirector Operaciones Gerente General

Coordinador de proceso

Emitido y elaborado por:

Ovidio Castro Umaña Alexander Ávila Cárdenas

1 INFORME DE AUDITORÍA.

1.1 OBJETIVO AUDITORÍA Determinar el grado de madurez del sistema de control interno del proceso de Atención al Cliente para recepción de clientes, con el fin de valorar su estado en términos de riesgos y controles, considerando los siguientes objetivos:

a. Evaluar el cumplimiento de políticas TI b. Evaluar la efectividad de los controles automáticos y manuales asociados al

procedimiento, de modo que se minimice la probabilidad de materialización de los riesgos.

c. Evaluar la calidad de la información registrada en el sistema y su coherencia con los documentos físicos que evidencia el cumplimiento de los requisitos para proceso objeto de la auditoría.

1.2 ALCANCE DE LA AUDITORÍA Ventanillas de atención en la sede de Kennedy - Proceso de atención al cliente del C.R.A., la auditoría tendrá alcance a la infraestructura tecnológica en el punto de atención de esta sede. 1.3 NORMA APLICADA Para la presente propuesta hemos tomado como marco metodológico COBIT 4.1, sus iteraciones y aspectos; los capítulos o temas a tener en cuenta en la Auditoría fueron:

Figura 1 Iteraciones de Procesos COBT 4.1 para la Auditoría


1.4 CONTEXTUALIZACIÓN DE LA ORGANIZACIÓN El Centro Radiológico Digital Américas CRA, cuenta con tres sedes distribuidas estratégicamente en la ciudad para la prestación del servicio, Sede Kennedy, Sede Bosa, Sede Suba.

El Centro Radiológico Digital CRA, ha prestado sus servicios de Imágenes diagnósticas para el área de odontología desde su fundación, y dentro de sus planes corporativos ha participado en licitaciones para ser una Institución prestadora de Salud (IPS); partiendo de este punto, uno de los parámetros a evaluar y alineando a las políticas de gestión de algunas entidades para la participación en estos concursos, se debe tener certificado el sistema de gestión de la información. Actualmente no se realiza una gestión inteligente de la información y del conocimiento como factores claves de éxito ya que no se posee una infraestructura de red LAN estandarizada, y por tal motivo se están perdiendo oportunidades de participar como proveedores en algunas entidades del sector de la salud.

Monitorear y Evaluar (ME) ME1 Monitorear y Evaluar el Desempeño de TI

Entregar y Dar Soporte (DS) DS5 Garantizar la seguridad de los sistemas (DS12) Administración de instalaciones

Adquirir e Implementar (AI) AI2 Adquirir y mantener software aplicativo

AI3 Adquirir y mantener infraestructura tecnológica

Planear y Organizar (PO) PO1 Definir un Plan

Estratégico de TIPO3 Determinar la Dirección

TecnológicaPO9 Evaluar y Administrar

los Riesgos de TI

La implementación de infraestructuras tecnológicas da una ventaja competitiva, e integra el direccionamiento estratégico del Centro Radiológico Digital CRA con los objetivos de TI, lo cual se convierte de gran importancia para la gestión de la empresa y su mejora continua.

1.5 DIRECCIONAMIENTO ESTRATÉGICO Uno de los pilares de la organización es el Direccionamiento Estratégico, el cual inspira nuestra filosofía organizacional, el direccionamiento estratégico del Centro Radiológico Digital Américas CRA, se establece mediante el documento DOC- 001 DE-V-00153, el cual se determinada a través de los siguientes componentes: Figura 2. Direccionamiento Estratégico


1.5.1 Política de Calidad

La gestión del Centro Radiológico Digital Américas CRA, está enmarcada en el compromiso de satisfacer las necesidades de nuestros clientes, con estándares de calidad en nuestros procesos y con personal competente para mejorar nuestros servicios y desempeño profesional; incorporamos prácticas de gestión con referente mundial, como desarrollo integral de estrategias de operación, basados en los

53 Tomado de documento corporativo CRA - Sistema de Gestión de Calidad

DIRECCIONAMIENTO ESTRATÉGICO

POLITICA DE

CALIDAD

VISIÓN

VALORESOBJETIVO

S

MISIÓN

principios de honestidad, solidaridad, compromiso, liderazgo, desarrollo del recurso humano y mejora continua54. 1.5.2 Misión

Somos el centro de radiología experto en la generación de imágenes radiográficas y ayudas diagnosticas para el área de la salud oral y maxilofacial, brindamos satisfacción a nuestros clientes con calidad humana orientada al servicio, apoyados en innovación tecnología con profesionales competentes, generando rentabilidad con desarrollo sostenible55. 1.5.3 Visión

Consolidarnos al año 2022 como el centro de radiología oral y maxilofacial, con avanzada tecnología de punta, siendo reconocidos en el sector, por la amabilidad, cordialidad y calidad en el servicio; por ofrecer una amplia cobertura y siendo aliado estratégico de nuestros clientes, proveedores y colaboradores56. 1.5.4 Objetivos Estratégicos

Se encuentran establecidos, coherentes con nuestra política, estos serán revisados y ajustados anualmente como parte de nuestro sistema de gestión de calidad y mejora continua57.

• Contar con el recurso humano competente

• Garantizar la calidad del servicio

• Generar rentabilidad

• Garantizar la infraestructura necesaria para prestar el servicio

• Asegurar el crecimiento y desarrollo de la empresa

• Desarrollar programas continuos de investigación e innovación

• Mejorar la estructura de organización de la empresa

54 Tomado de documento corporativo CRA - Sistema de Gestión de Calidad 55 Ibid. 56 Ibid. 57 Ibid.

1.6 CONTEXTO DEL PROCESO DE ATENCIÓN AL CLIENTE

Uno de los procesos de la organización más importante es el de Atención a los clientes, el cual determina un momento de verdad con el cliente, quienes forman parte fundamental para la continuidad de negocio, por lo cual se debe monitorear que este proceso funcione con la máxima eficiencia posible, es por eso que se debe garantizar que cuente con la infraestructura tecnológica para su optima operación. 1.6.1 Sistemas de información que soportan la gestión del proceso

• Aplicación de registro de clientes:

Solución corporativa para la gestión electrónica para crear clientes o modificar sus datos básicos de manera fácil y ágil, así como también radicar documentación y registrar atenciones en forma dinámica, se integra con la aplicación de ingreso de pacientes para la toma de imágenes diagnosticas

• Aplicación de asignación de turno (Digiturno):

Solución corporativa para la gestión asignación de turnos de atención en las ventanillas.

• Aplicación de facturación:

Solución corporativa para la el registro contable y facturación de servicios.

1.6.2 Objetivo del Proceso:

Establecer una política clara para el ingreso y atención inicial de pacientes que asistan a Centro Radiológico Digital Américas CRA. 1.6.3 Responsables de las actividades del proceso

Gerente del Centro Radiológico Digital Américas CRA, Recepcionista y Auxiliares de Odontología.

1.6.4 Funciones y tareas del proceso auditado

• Recepción de pacientes (atención personal)

• Asignación de Digiturno para atención (ingreso en sistema)

• Registro de cliente en el sistema (aplicación de registro de pacientes)

• Apertura de historia clínica en aplicativo de registro de pacientes (en sistema)

• Recepción de imágenes diagnosticas (Si el cliente cuenta con ellas)

• Asignación de cita para toma de imagen diagnostica (ingreso en aplicativo de agendamiento tomas diagnósticas)

• Impresión de stickers de control con datos del paciente, para colocar manilla en la muñeca del paciente y en imágenes entregadas por el paciente.

• Entrega de orden de toma de imágenes a los auxiliares de Radiología para que el paciente sea llamado.

• Después de realizada las tomas de imágenes diagnosticas, el auxiliar de radiología entrega al colaborador de recepción, la remisión con registro de la toma de imágenes

• Se elaboran las fichas de fotografía de los paquetes que se deben enviar con un programa establecido para dicho fin. Luego de esto se le pasan los paquetes al profesional para que le realice en diagnóstico.

• El colaborador revisa la carpeta de historia clínica del paciente para revisar las imágenes tomadas por el técnico radiológico

• Validar que los datos del paciente coinciden con los registrados en la remisión para quemar el CD si son tomografías computarizadas, en caso de imágenes de ortodoncia o radiografías se imprimen

• Generación de factura en aplicativo de contabilidad

• Salida del paciente

1.7 PRUEBAS DE AUDITORÍA Tabla 1. Diagnóstico según procesos COBIT 4.1

Planear y Organizar (PO)

Proceso Detalle de la Prueba

(Hallazgo) Consecuencia Recomendación Riesgo

PO1 Definir un Plan

Estratégico de TI

No existen procesos para evaluar y monitorear el desempeño de la red de datos en la parte física, no hay políticas ni procedimientos para la adecuada de la arquitectura

Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red de datos ni los procedimientos que se realizaran por parte de los funcionarios.

Conformar un equipo de colaboradores para evaluar el desempeño, tomar decisiones, cumplir objetivos planteados, establecer políticas y procedimientos para la arquitectura y el diseño físico de la red de datos

PO3 Determinar la

Dirección Tecnológica

No se evidencia iniciativas ni documentación relacionada con el estudio para implementar nuevas tecnologías que mejoren la red de datos.

Se descarta la implementación de nuevas herramientas que permitan la optimización de los procesos de la red de datos. Al no existir documentación sobre estudios, se aumenta en alto grado la adaptación de implementación de nuevas tecnologías en el futuro

Crear políticas que motiven la búsqueda de adopten nuevas tecnologías que mejoren el desempeño del sistema de red de datos, llevar registro de estudios para la implementación de las mismas

PO9 Evaluar y

Administrar los Riesgos de TI

No existen políticas y procedimientos para el análisis y gestión del riesgo del en la infraestructura de red, no hay plan de contingencia para contrarrestar eventos que afecten la conexión física de la red de datos.

Pérdida de capacidad para actuar con inmediatez frente a las amenazas y aumenta el riesgo de toma de malas decisiones. Se aumenta el riesgo de tener mecanismos de plan de continuidad y contingencia que ayuden a recomponer y reactivar procesos importantes donde el desempeño de la red de datos es primordial.

Elaborar políticas y procedimientos para el análisis y la gestión del riesgo para el sistema físico de la red de datos en caso que si existen amenazas, se tomen decisiones oportunas y adecuadas que no llegue afectar la operación de la red de datos.

Adquirir e Implementar (AI)



(AI2) Adquirir y Mantener Software Aplicativo

No existen herramientas para monitorear la conexión de la red

de datos, debido al corto presupuesto del CRA no se tiene proyectado invertir a corto plazo

en este SW

Sin software para monitorear la conexión física de la red de datos se pierde el control de la conexión global de la red y con ello no se permite identificar errores de conexión, no hay manera de mejorar mecanismos de

reconexión

Adquirir software para monitorear la conexión física de la red de datos, tener

procesos de mantenimiento periódico de la red física de datos y así asegurar el óptimo

funcionamiento

(AI3) Adquirir y

Mantener la infraestructura

Tecnológica

No existe procedimientos ni conocimiento para adquisición de

hardware, por parte de la gran mayoría de funcionarios sobre las

políticas de adquisición de hardware.

No se lleva registros de del mantenimiento de los equipos que se van a revisar y reparar, no hay

personal de mantenimiento o funcionario que tenga

especialidad en la reparación los equipos.

No hay implementación adecuada del centro de cómputo, ni

mantenimiento para switches, servidores y routers, no se

evidencia planos de la infraestructura de red

No hay elementos de seguridad física, elementos contra incendio,

o desastres naturales

Al no contar con políticas de adquisición, se puede presentar mala administración del presupuesto de la empresa, al no contar con el registro de mantenimiento de los equipos de cómputo, se pierde la guía trazabilidad, la no elaboración de un documento por parte de la persona encargada de hacer la recepción de

equipos de cómputo para la respectiva revisión y reparación, se pierde guía de ejecución de este proceso y control de

antecedentes. El no tener personal de mantenimiento

especializado en reparación se estancan los procesos y se puede presentar gastos

mayores, no tener una adecuación correcta del centro de cómputo se atenta contra la normatividad y aspectos de seguridad. El

no tener planos del cableado estructurado de la red, carece de visión para decisiones

de escalamiento

Implementar proceso de adquisición de hardware con múltiples cotizaciones para proteger el presupuesto. Documentar el

mantenimiento de los equipos de cómputo y así facilitar el trabajo a la persona

encargada del proceso para la respectiva revisión, reparación y la recolección de

antecedentes, programar capacitaciones al personal del mantenimiento de equipos de

cómputo. Implementar el centro de cómputo con

características adecuadas y normatividad correspondiente para lograr optimización de procesos y seguridad de la información

que es vital para la entidad. Elaborar los planos del cableado

estructurado que se extiende por la entidad para tener poder analizar la

escalabilidad de la red

Entregar y dar soporte

(DS)



(DS12) Administración

de instalaciones

No se evidencia políticas de seguridad referente la

identificación, autenticación, autorización y requisas al

personal que entra y sale de las instalaciones, no hay vigilancia para controlar las acciones de

las personas en las instalaciones.

No existe políticas para brindar seguridad de las instalaciones

ante eventos naturales o ambientales, no existe la

instalación de dispositivos detectores humo, supresores

de fuego que permitan detectar y prevenir incendios. No hay instalación de cámaras

que permitan monitorear el interior de las instalaciones de

la empresa.

Al no existir políticas adecuadas de seguridad para el acceso y salida de las

instalaciones, identificación, autenticación y autorización de las

personas que ingresan a la empresa, se corre el riesgo de sufrir robos,

atentados o pérdida de información vital para la empresa, sin control sobre eventos naturales o ambientales, no se disminuye los riesgos de desastres que puedan afectar la operación del de la

red de datos.

El no contar con la instalación de dispositivos detectores de humo,

supresores de fuego en el cuarto de servidores se corre el riesgo de sufrir

un incendio. Sin la instalación de cámaras en el interior de la entidad no

se pueden registrar las actividades sospechosas que atenten contra la

entidad.

Crear políticas de seguridad para el acceso y salida a las instalaciones,

tener procedimientos de Identificación, autenticación y autorización de los individuos, contar con personal de vigilancia, cámaras de monitoreo, Instalar dispositivos detectores de

humo, supresores de fuego.

Implementar políticas de seguridad a las instalaciones ante cualquier evento natural o ambiental para disminuir los

riesgos de desastres que atenten contra el óptimo desempeño y el

aspecto físico en general de la red de datos y de la operación.

Monitorear y Evaluar

(ME)



(ME2) Evaluar lo

adecuado del control interno

No existen políticas ni procedimientos para

monitorear la seguridad del aspecto físico de la red de

datos, ni descripción detallada de cunado, quien y como se debe efectuar procesos de

monitoreo. No existe conocimiento del

personal encargado de administrar la red, no hay

auditorias de ningún tipo para evaluar el desempeño de la

parte eléctrica, ventilación del centro de cómputo y utilización

de normas de cableado estructurado.

Al no existir políticas ni procedimientos de monitoreo de la seguridad del

aspecto físico de la red de datos se pierde el seguimiento de la actividad,

se ocasiona perdida del seguimiento en tiempo adecuado y recomendado para

realizar ajustes correctivos y preventivos, se pierde información guía

que agilice, prevenga y corrija problemas con la red de datos.

Elaborar e implementar políticas, procedimientos y auditorías adecuadas para el seguimiento óptimo y preciso. Definir cuándo, quien debe realizar el monitoreo que optimice, prevenga y corrija el funcionamiento de la red de datos, priorizar la ejecución de estas

tareas permitirá saber quién responderá ante estas actividades, y

lograr lo correctivo y preventivo frente a las amenazas del sistema de red de

datos.


ZONA DE RIESGO

BAJA MODERADA ALTA EXTREMA

1.8 MODELO DE MADUREZ DEL SISTEMA DE CONTROL INTERNO En el desarrollo de la Auditoría, se observaron las siguientes fortalezas que realiza el proceso en la atención al cliente: Existe documentos que especifican las funciones a realizarse por el personal del proceso y su nivel de compromiso es muy alto, sin embargo, falta concientizar a la gerencia para realizar una alineación de los objetivos de negocio con los de TI, con el fin de tener los recursos que abastezcan las necesidades tecnológicas. Figura 3. Modelo de Madurez actual del CRA

Fuente: ISACA. COBIT4.1 Spanish. [En línea], 2017. Disponible en: http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf - Adaptación Propia

Como resultado de las pruebas de auditoría, identificamos que la administración de riesgos y el nivel de madurez del proceso de Atención al cliente en la infraestructura de red está en un nivel repetible. Debido a que falta definir un esquema para desplegar la administración de riesgos a lo largo del proceso, y esto solo se logra por medio procedimientos y proyectos de mejora. Además, la operatividad manual de los controles es clave para el aumento de los factores de riesgo. 1.9 CONCLUSIONES DE LA AUDITORÍA Se identifican asuntos significativos de falta de control, con debilidades y/o riesgos, en consecuencia, se debe diseñar una mejora del proceso para el control de riesgos, utilizando herramientas que faciliten esta tarea, y permitan a la alta gerencia analizar, detectar y monitorear las inconsistencias de la operación; esto con el fin de minimizar la corrección de errores, asociados con las siguientes situaciones que se identificaron:

✓ No existen procesos para evaluar y monitorear el desempeño de la red de datos en la parte física,

✓ No hay políticas ni procedimientos para la adecuada de la arquitectura

✓ No se evidencia iniciativas ni documentación relacionada con el estudio para implementar nuevas tecnologías que mejoren la red de datos.

✓ No existen políticas y procedimientos para el análisis y gestión del riesgo de la infraestructura de red,

✓ No hay planes de contingencia para contrarrestar eventos que afecten la conexión física de la red de datos.

✓ No existen herramientas para monitorear la conexión de la red de datos, debido al corto presupuesto del CRA

✓ No existe procedimientos ni conocimiento para adquisición de productos tecnológicos

✓ No se evidencia políticas de seguridad referente la identificación, autenticación, autorización y requisas al personal que entra y sale de las instalaciones,

✓ No hay vigilancia para controlar las acciones de las personas en las instalaciones.

✓ No existe políticas para brindar seguridad de las instalaciones ante eventos naturales o ambientales,

✓ no existe la instalación de dispositivos detectores humo, supresores de fuego que permitan detectar y prevenir incendios.

✓ No hay instalación de cámaras que permitan monitorear el interior de las instalaciones de la empresa.

✓ No hay implementación adecuada del centro de cómputo, ni una buena planeación de la infraestructura de red

El Centro Radiológico Digital Américas C.R.A., desde la gerencia hasta los niveles operativos, se han concientizado de las fallas que existen y que se evidencian en los resultados de la auditoria. Es importante mencionar que, debido a las limitaciones inherentes a cualquier estructura de control interno, pueden ocurrir errores o irregularidades que no sean detectados a través de nuestros procedimientos.

La gerencia de la empresa es responsable de establecer y mantener un sistema de control interno adecuado y de prevenir y detectar irregularidades que atenten con la continuidad de negocio. Con la auditoría realizada en el Centro Radiológico Digital Américas CRA, se facilitan herramientas que sirven de base para planear sus objetivos; el proceso de analizar y procesar la información, sirve como punto de partida para la implementación de un sistema de gestión de la información. Aun con las deficiencias tecnológicas que existen en la empresa, se destaca que el personal en general está comprometido con el logro de objetivos, y esto es un factor que ayuda a mitigar los riesgos de manera implícita, sin embargo, se debe establecer modelo de administración de riesgos más estructurados.

GLOSARIO DE TÉRMINOS

Alcance de la auditoría: El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditor: Persona que efectúa una auditoría. Auditoría: Examen de las operaciones de una empresa, realizado por especialistas ajenos a ella y con objetivos de evaluar la situación de la misma. Auditoría de sistema. Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad, con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema de procesamiento de información como parte de la evaluación de control interno; así como para identificar aspectos susceptibles de mejorarse o eliminarse. Alta gerencia: Está compuesta por una cantidad de personas comparativamente pequeña y es la responsable de administrar toda la organización. Estas personas reciben el nombre de ejecutivos. Establecen las políticas de las operaciones y dirigen la interacción de la organización con su entorno. Auditoría de tecnologías de la información: Consiste en el examen de las políticas, procedimientos y utilización de los recursos informáticos; confiabilidad y validez de la información, efectividad de los controles en las áreas, las aplicaciones, los sistemas de redes y otros vinculados a la actividad informática. Amenaza: Cualquier aspecto o escenario que pueda ocasionar que un riesgo se convierta en incidente, o sea, que llegue a realizarse. Informe de Auditoría: Es el producto final del Auditor de SI; constituye un medio formal de comunicar los objetivos de la auditoría, el cuerpo de las normas de auditoría que se utilizan, el alcance de auditoría y, los hallazgos, conclusiones y recomendaciones COBIT: Control Objectives for Information and related Technology (Objetivos de Control para Tecnología de la Información y Relacionadas) Eficacia: Capacidad de lograr el efecto que se desea o se espera. Eficiencia: Conjunto de atributos, que se refieren a las relaciones entre el nivel de rendimiento del software y, la cantidad de recursos utilizados bajo unas condiciones predefinidas

Estándar: Es toda regla aprobada o práctica requerida, para el control de la performance técnica y de los métodos utilizados por el personal involucrado en el Planeamiento y Análisis de los Sistemas de Información. Evaluación: Es el proceso de recolección y análisis de información y, a partir de ella, presentar las recomendaciones que facilitarán la toma de decisiones Evaluación de Riesgo: Es el proceso utilizado para identificar y evaluar riesgos y su impacto potencial. Evidencia: Es toda información que utiliza el AI, para determinar, si el ente o los datos auditados siguen los criterios u objetivos de la auditoría. Evidencia de auditoría: Son las pruebas que obtiene el auditor, durante la ejecución de la auditoría, que hace patente y manifiesta la certeza o convicción, sobre los hechos o hallazgos, que prueban y demuestran claramente éstos, con el objetivo de fundamentar y respaldar sus opiniones y conclusiones. Estándares: Es una especificación o modelos que regulan la realización de ciertos procesos o la fabricación de componentes para garantizar la interoperabilidad. Hallazgos: Son evidencias, como resultado de un proceso de recopilación y síntesis de información: la suma y la organización lógica de información, relacionada con la entidad, actividad, situación o asunto que se haya revisado o evaluado, para llegar a conclusiones al respecto o para cumplir alguno de los objetivos de la auditoría. Sirven de fundamento a las conclusiones del auditor y, a las recomendaciones que formula para que se adopten las medidas correctivas. Irregularidades: Son las violaciones intencionales a una política gerencial establecida, declaraciones falsas deliberadas u omisión de información del área auditada o de la organización. Riesgo. Posibilidad de que no puedan prevenirse o detectarse errores o irregularidades importantes.

• Riesgo inherente. Existe un error que es significativo y se puede combinar con otros errores cuando no hay control.

• Riesgo de control: Error que no puede ser evitado o detectado oportunamente por el sistema de control interno.

Escenario de riesgo: Es la descripción de un evento relacionado con TI que puede conllevar a un impacto en el negocio siempre y cuando ocurra.

Integridad: Asegurar que los datos no sufran cambios no autorizados, que estén protegidos de modificaciones imprevistas, no autorizadas o accidentales. Disponibilidad: Continuidad operativa de la entidad, la perdida de disponibilidad implica pérdida de productividad de la entidad. Confidencialidad: Protección de datos frente a la difusión no autorizada. Vulnerabilidad Informática: Posibilidades del mismo ambiente en el cual, sus características proporcionan y se vuelven susceptible a una potencial amenaza, por lo tanto, se puede considerar como la capacidad de reaccionar ante la presencia de una amenaza o un daño. Amenazas Informática: Es la posibilidad de que algún tipo de evento se pueda presentar en cualquier instante de tiempo, en el cual existe un daño material o inmaterial, sobre los sistemas de información, Riesgos Informáticos: Son problemas potenciales que pueden afectar a los sistemas de información u ordenadores, si no se poseen las medidas adecuadas para salvaguardar los datos, dichos riesgos informáticos se pueden presentar por las vulnerabilidades y amenazas en cualquier momento.

ANEXO D INVENTARIO DE ACTIVOS Y CLASIFICACIÓN DE LA INFORMACIÓN

1. PROPUESTA DE ACTIVOS DE INFORMACIÓN. Los activos de información son los recursos que utiliza un Sistema de Gestión de Seguridad de la Información para que las organizaciones funcionen y consigan los objetivos que se han propuesto por la alta dirección. Los activos incluyen toda la información y soporte que la organización requiera para conducir el negocio58, es importante que los activos se deben agrupar en varios tipos según la función de tratamiento sobre la información, a continuación de realiza una clasificación de los diferentes tipos de activos de información. Organización: Grupos de personas que realizan actividades de soporte para la organización, así como terceros que le prestan servicios ya sea en forma contractual o no. Ejemplo: Departamentos que prestan servicios de soporte en la organización: recursos humanos, compras, administración, seguridad a oficinas y edificios, auditoria, finanzas, Servicios generales y de mantenimiento, proveedores de servicios y contratistas vinculados mediante contrato: consultorías, outsourcing, servicios informáticos, limpieza, vigilancia. Personal: Grupos de personas involucradas en el uso, mantenimiento, administración y toma de decisiones en los sistemas de información. Ejemplo: Usuarios. Desarrolladores y administrador de aplicaciones del negocio, de bases de datos, Administradores de servidores de aplicaciones, portales, directorios de usuarios, Oficiales de seguridad. Gerente de alto nivel, líder de proyectos. Software: Aplicaciones internas, software particular hacen posible la realización de tareas específicas informáticas dentro de la organización tanto para personal técnico como usuarios. Ejemplo: Sistemas Operativos, Software para tareas administrativas. Herramienta de diseño, desarrollo, mantenimiento y control de aplicaciones informáticas. Aplicaciones de negocio ya sean adquiridas o desarrolladas internamente, Servidor

58 SGSI Blog especializado en Sistemas de Gestión de Seguridad de la Información. ISO 27001: Los activos de información. [En línea], 2015. Disponible en: https://www.pmg-ssi.com/2015/03/iso-27001-los-activos-de-informacion/

y cliente de Correo electrónico, Antivirus, Antispam, filtrado de contenido web, software de telefonía. Hardware: Elementos físicos (equipos, accesorios, periféricos, etc.) que soportan el procesamiento de datos de la Organización. Ejemplo: Documentos físicos en papel, Servidores, Estaciones de trabajo, portátiles, tabletas, Impresoras, unidad de disco removibles, CD, DVD, discos duros removibles, memorias USB, cintas, documentación, fax, entre otros. Redes: Dispositivos físicos y sus protocolos de telecomunicaciones utilizados para interconectar diferentes equipos o sistemas de información. Ejemplo: Enrutadores, Switch, firewall, adaptadores de red, equipos de comunicaciones y telecomunicaciones, redes telefónicas, Ethernet, Protocolos de redes inalámbricas WiFi, bluetooth, Equipos. Ubicación: Lugares, servicios básicos, suministros para que las distintas instalaciones funcionen adecuadamente, con el objeto que los sistemas de información operen en condiciones normales. Ejemplo: Edificios, instalaciones, recintos, bodegas, oficinas, centros de procesamiento de datos, oficinas periféricas, zonas de seguridad, Suministro eléctrico, líneas telefónicas, suministro de agua, servicios y medios, tuberías de agua, aires acondicionados. A continuación, se realiza una escala de valoración de los diferentes tipos de activos de información. Tabla 1 Valoración Activos de Información

VALOR ACTIVO 01 Organización

02 Personal

03 Software

04 Hardware

05 Redes

06 Ubicación Fuente: Elaboración propia

1.1 CRITERIOS VALORACIÓN DE ACTIVOS A continuación, se describe los criterios tenidos en cuenta para la clasificación de los activos en cuanto a la importancia que tiene para la organización y su impacto en relación a los pilares de la información59. Tabla 2 Criterios Valoración de Activos

CRITERIO CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

ALTO

La divulgación no autorizada de la información tiene un efecto crítico para la organización. Administra o procesa información confidencial y su uso inadecuado puede generar graves consecuencias para la entidad (demandas, pérdidas económicas, de reputación o imagen, etc.)

La información que administra o procesa apoya la toma de decisiones estratégicas de la entidad. No se admiten errores, los errores deben ser solucionados de inmediato. La destrucción o modificación no autorizada de la información tiene un efecto severo para la organización.

Apoya los procesos críticos de la entidad y se requiere de una recuperación inmediata en caso de falla. La interrupción en el acceso a la información o los sistemas tiene un efecto severo para la organización.

MEDIO

Administra o procesa información interna y su uso inadecuado puede generar medianas consecuencias para la entidad (Reclamaciones de las áreas que soporta), tiene un efecto limitado para la organización

La información que administra o procesa apoya la toma de decisiones de las áreas de la entidad. Permite una brecha en los errores de la información. Los errores pueden ser solucionados a corto plazo. Tiene un efecto considerable para la organización.

Apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo no mayor a 2 días, tienen un efecto considerable para la organización.

BAJO

El activo administra o procesa información pública y su divulgación no le genera consecuencias negativas a la entidad, La divulgación de la información no tiene ningún efecto para la organización.

La información que administra o procesa apoya la toma de decisiones de las áreas de la compañía. Permite una brecha en los errores de la información. Los errores pueden ser solucionados a mediano plazo. Tiene efecto leve para la organización.

Apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo superior a 2 días, tienen un efecto mínimo para la organización.


59 Instituto Colombiano de Normas Técnicas ICONTEC. NORMA TÉCNICA NT-ISO/IEC COLOMBIANA 27001-2013. [En línea], 2013. Disponible en: https://tienda.icontec.org/wp-content/uploads/pdfs/NTC-ISO-IEC27001.pdf

1.2 LISTA DE ACTIVOS DE INFORMACIÓN En la siguiente tabla se describe los criterios tenidos en cuenta para realizar el listado de activos, dándole una valoración en relación a la importancia que tiene para clasificación de la información de la organización. Tabla 3 Activos de Información

Listado de activos Tipo Descripción Confidencia

lidad Integridad Disponibilidad

Valor del

Activo

Datos Digitales 1

Evidencias digitales, valor probatorio de la

información almacenada o transmitida en formato digital

Alto Alto Alto Alto

Base de Datos Clientes

2 Infraestructura

tecnológica compartida

Alto Alto Alto Alto

Copias de Seguridad

4 Alto Alto Alto Alto

Activos Tangibles Correo, Fax,

Libros, Informes Impresos

1 Evidencias Físicas Alto Alto Alto Alto

Activos Intangibles,

Conocimiento, Valor de la Imagen de Marca Patentes

1

Bienes que posee la empresa y que no

pueden ser percibidos físicamente

Alto Alto Alto Alto

Software Corporativo

3 Infraestructura

tecnológica compartida

Alto Alto Alto Alto

Canales de Comunicación

5 Información Dirigida a

Clientes Alto Alto Alto Alto


1.3 ACTIVOS FÍSICOS Los siguientes activos hacen referencia a todos aquellos componentes físicos de los sistemas de información que ayudan a recibir, transformar, producir o procesar la información. Tabla 4 Activos Físicos

Listado de Activos

Tipo Descripción Confidencialidad Integridad Disponibilidad Valor del

Activo

Infraestructura TI Estructuras

Físicas 6

Lugar donde se encuentra ubicada

la organización Medio Medio Medio Medio

Infraestructura TI

6 Lugar donde se

encuentra ubicado lo MC,

Alto Alto Alto Alto

Equipos Pasivos Red

LAN 5

Elementos que se utilizan para

interconectar los dispositivos de

una red de datos

Alto Alto Alto Alto

Equipos Activos Red

LAN 5

Dispositivos, los cuales se

interconectan con segmentos de

cable a las computadoras y servidores con el fin de pasar datos

y comunicar internamente o externamente a las personas de una compañía.

Alto Alto Alto Alto

Personal 2

Es el recurso más importante y

básico ya que son los que

desarrollan el trabajo de la

productividad de bienes o servicios.

Alto Alto Alto Alto


2. PROPUESTA DE CLASIFICACIÓN DE LA INFORMACIÓN Según la norma ISO27001 la información se puede clasificar según su valor, los requisitos legales, la sensibilidad y la criticidad de la empresa60. La norma ISO 27001 asegura un alto nivel de protección a los activos de información, la información tiene que clasificarse para indicar el grado de necesidad, de prioridad y de protección. La información tiene diferentes grados que varían según la sensibilidad y la criticidad. Existen diferentes elementos de información que necesitan un nivel más elevado de protección. Se tiene que utilizar un sistema de clasificación para definir los niveles de protección adecuados y comunicar la necesidad para tomar las medidas oportunas. Se debe clasificar la información para indicar la necesidad, prioridad y nivel de protección previsto para su tratamiento. La información tiene diversos grados de sensibilidad y criticidad. Algunos ítems podrían requerir niveles de protección adicionales o de un tratamiento especial. La guía de clasificación tiene que incluir una clasificación inicial y una reclasificación, que se realizará a través del tiempo, encontrándose en concordancia con las políticas de control determinadas por la organización en su Sistema de Gestión de Seguridad de la Información. La definición de la clasificación de los activos de información tiene que ser realizada por el responsable de dicho activo y ser revisada cada periódicamente para controlar que se encuentra actualizado al nivel de seguridad oportuno. Existen ciertas actividades de control del riesgo, que comprometen la seguridad de la información, estas actividades son:

• Directrices de clasificación: La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.

• Etiquetado y manipulado de la información: Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la organización.

• Manipulación de activos: Se deberían desarrollar e implantar procedimientos para la manipulación de los activos acordes con el esquema de clasificación de la información adoptado por la organización.

60 Ibid. Pag 4

2.1 PROCESO PARA CLASIFICAR LA INFORMACIÓN SEGÚN ISO 27001 La clasificación de activos de información tiene como objetivo asegurar que la información reciba los niveles de protección adecuados, ya que con base en su valor y de acuerdo a otras características particulares requiere un tipo de manejo especial. 2.1.1. Clasificación y valoración de la información de Acuerdo con la

Confidencialidad La confidencialidad hace referencia que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados, Esta se debe definir de acuerdo con las características de los activos que se manejan en la organización. Tabla 5 Clasificación de Acuerdo con la Confidencialidad

CONFIDENCIALIDAD DESCRIPCIÓN

RESERVADA (INF.R)

Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica

CLASIFICADA (INF.C)

Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario.

PÚBLICA (INF.P)

Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.

NO CLASIFICADA (INF.N.C)

Activos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados, deben ser tratados como activos de Información Reservada.


2.1.2. Clasificación y valoración de la información de acuerdo con la Integridad

La integridad hace referencia a la exactitud y completitud de la información esta propiedad es la que permite que la información sea precisa, coherente y completa desde su creación hasta su destrucción.

Tabla 6 Clasificación de Acuerdo con la Integridad

INTEGRIDAD DESCRIPCIÓN

ALTA (INT.A)

Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas de la entidad.

MEDIA (INT.M)

Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderado a funcionarios de la entidad.

BAJA (INT.B)

Información cuya pérdida de exactitud y completitud conlleva un impacto no significativo para la entidad o entes externos.

NO CLASIFICADA (INT.N.C)

Activos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados, deben ser tratados como activos de información de integridad ALTA.


2.1.3. Clasificación y valoración de la información de acuerdo con la

Disponibilidad La disponibilidad es la propiedad de la información que se refiere a que ésta debe ser accesible y utilizable por solicitud de una persona entidad o proceso autorizada cuando así lo requiera está, en el momento y en la forma que se requiere ahora y en el futuro, al igual que los recursos necesarios para su uso. Tabla 7 Clasificación de Acuerdo con la Disponibilidad

DISPONIBILIDAD DESCRIPCIÓN

ALTA (DIS.A)

Disponibilidad se refiere a la habilidad de la comunidad de usuarios para acceder al sistema Supone que la información pueda ser recuperada en el momento que se necesite, evitando su pérdida o bloqueo.

MEDIA (DIS.M) La Media disponibilidad de la información puede afectar la operación normal de la entidad o entes externos, pero no conlleva implicaciones legales, económicas o de pérdida de imagen.

BAJA (DIS.B) La Baja Disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderado de la entidad.

NO CLASIFICADA (DIS.N.C)

Activos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados, deben ser tratados como activos de información de disponibilidad ALTA.


En la siguiente tabla se muestra la valoración de la información respecto a los pilares de la seguridad de información. Tabla 8 Valoración de la Información

Activos Confidencialidad Integridad Disponibilidad Valor

1 ALTA ALTA ALTA ALTA

2 ALTA BAJO BAJO MEDIO

3 ALTA ALTO MEDIO ALTO

4 MEDIO ALTO BAJO MEDIO

5 MEDIO BAJO MEDIO MEDIO

6 BAJO BAJO MEDIO MEDIO


La guía No. 561 del Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia, brinda características y definiciones de cómo realizar un inventario de activos. Las siguientes tablas son plantillas de Inventario de Activos de Información de la secretaria General de la Alcaldía mayor de Bogotá62 utilizadas en su sistema integrado de gestión, estas plantillas son una base sencilla y completa, para realizar los inventarios de activos de información.

61 Ministerio de Tecnologías de la Información y las Comunicaciones MINTIC. Guía para la Gestión y Clasificación de Activos de Información. [En línea], 2013. Disponible en: https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf 62 Secretaría General de la Alcaldía Mayor De Bogotá. Inventario de Activos de Información. [En línea], 2013., p 25-26. Disponible en: https://secretariageneral.gov.co/sites/default/files/linemientos-distritales/L_11%20Inventario%20de%20Activos%20de%20Informaci%C3%B3n.pdf

Tabla 9 Plantilla Activos de información HW, SW y servicios

Fuente: Secretaría General de la Alcaldía Mayor De Bogotá. Inventario de Activos de Información. [En línea], 2013., p 25-26. Disponible en: https://secretariageneral.gov.co/sites/default/files/linemientos-distritales/L_11%20Inventario%20de%20Activos%20de%20Informaci%C3%B3n.pdf

Tabla 10 Plantilla Registro de activos de información

Fuente: Secretaría General de la Alcaldía Mayor De Bogotá. Inventario de Activos de Información. [En línea], 2013., p 25-26. Disponible en: https://secretariageneral.gov.co/sites/default/files/linemientos-distritales/L_11%20Inventario%20de%20Activos%20de%20Informaci%C3%B3n.pdf

ANEXO E PROPUESTA DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN La dirección del Centro Radiológico Digital Américas CRA, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información, buscando establecer un marco de confianza en el ejercicio de sus deberes con las partes interesadas en especial sus clientes, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la empresa. Objetivos

• Establecer las expectativas de la Dirección con respecto al correcto uso que el personal haga de los recursos de información del Centro Radiológico Digital Américas CRA, así como de las medidas que se deben adoptar para la protección de los mismos.

• Establecer para todo el personal de la organización la necesidad de la seguridad de la información y promover la comprensión de sus responsabilidades individuales.

• Determinar las medidas esenciales de seguridad de la información que el Centro Radiológico Digital Américas CRA debe adoptar, para protegerse apropiadamente contra amenazas que podrían afectar en alguna medida la confidencialidad, integridad y disponibilidad de la información, ocasionando alguna de las siguientes consecuencias:

▪ Pérdida o mal uso de los activos de información (datos, equipos, documentación impresa, etc.).

▪ Pérdida de imagen como organización respetable del sector de la toma de imágenes diagnosticas de la ciudad.

▪ Interrupción total o parcial de los procesos que soportan el negocio.

• Proporcionar a todo el personal del Centro Radiológico Digital Américas CRA, una herramienta que facilite la toma de decisiones apropiada, en situaciones relacionadas con la preservación de la seguridad de la información.

Para cumplir con estos objetivos el SGSI, se basa en la identificación de los activos de información involucrados en los procesos de negocios y en los procesos de

soporte de la empresa, lo cual implica llevar a cabo, junto a los responsables de los diferentes procesos de la empresa, las siguientes actividades esenciales:

• Identificar, para todos los procesos de negocio, los activos de información involucrados, catalogados como información física, información digital, personas e infraestructura.

• Para cada activo de información, identificar un responsable que vele por su disponibilidad, confidencialidad e integridad.

• Analizar el riesgo al cual están expuestos.

• Difundir en forma planificada entre todo el personal de la empresa el objetivo corporativo de preservación de la información, sus características y las responsabilidades individuales para lograrlo.

Para el Centro Radiológico Digital Américas CRA, la protección de la información busca la disminución del impacto generado sobre sus activos, por los riesgos identificados de manera sistemática, con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados. De acuerdo con lo anterior, esta política aplica a la empresa según lo defina el alcance, sus funcionarios, terceros, aprendices, practicantes, proveedores y las partes interesadas en general, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del SGSI, estarán determinadas por las siguientes premisas:

• Minimizar el riesgo en las funciones más importantes de la empresa.

• Cumplir con los principios de seguridad de la información.

• Mantener la confianza de sus clientes, socios y empleados.

• Apoyar la innovación tecnológica.

• Proteger los activos tecnológicos.

• Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.

• Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes, clientes y partes interesadas del Centro Radiológico Digital Américas CRA.

• Garantizar la continuidad del negocio frente a incidentes.

• El CRA, ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a los requerimientos regulatorios.

La política de seguridad y privacidad de la Información, es la declaración general que representa la posición de la dirección del Centro Radiológico Digital Américas CRA frente a la protección de los activos de información (funcionarios, contratistas,

terceros, información, procesos, tecnologías de información, hardware y software), que soportan los procesos de la empresa y que apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información.

1.1 ALCANCE Y APLICABILIDAD Esta política aplica a toda la empresa, sus funcionarios, contratistas y las partes interesadas en general del Centro Radiológico Digital Américas CRA. También es aplicable a todo activo de información que la organización posea en la actualidad o en el futuro, de manera que la no inclusión explícita en el presente documento, no constituye argumento para no proteger estos activos de información. La política cubre toda la información tanto, impresa o escrita en papel, almacenada electrónicamente, trasmitida por correo o de uso en medios electrónicos, mostrada en películas o hablada en una conversación. La gestión de la seguridad de la información se realizará mediante un proceso sistemático, documentado y conocido por toda la organización basándose en metodologías de mejoramiento continuo. Este proceso de gestión deberá ser aplicado a todos los procesos de negocio de la organización.

1.2 NIVEL DE CUMPLIMIENTO Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento en su totalidad de la política; a continuación, se establecen las 12 políticas de seguridad que soportan el SGSI del Centro Radiológico Digital Américas CRA :

• EL CRA ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros, alineados a las necesidades del negocio, y a los requerimientos regulatorios que le aplican a su naturaleza.

• Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, contratistas, terceros o partes interesadas.

• Protegerá la información generada, procesada o resguardada por los procesos de negocio y activos de información, que hagan parte de los mismos.

• Protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.

• Protegerá su información de las amenazas originadas por parte del personal.

• Protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.

• Controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.

• Implementará control de acceso a la información, sistemas y recursos de red.

• Garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.

• Garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.

• Garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basado en el impacto que pueden generar los eventos.

• Garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

ANEXO F

PROPUESTA DE MATRIZ DE ANÁLISIS DE RIESGOS (PDF)

ANEXO G

MATRIZ DE ESCENARIOS (PDF)

ANEXO H

PLANOS CENTRO RADIOLÓGICO CRA Plano 1 Piso Kennedy

Fuente: Elaboración Propia Plano 2 Piso Kennedy


Plano Bosa

Fuente: Elaboración Propia Plano Suba


ANEXO I

FORMATO ENTREVISTAS USUARIOS

ENTREVISTAS USUARIOS CUESTIONARIO GENERAL

Versión 1.0

ÁREA

RED DE DATOS CENTRO RADIOLÓGICO DIGITAL AMÉRICAS CRA

EVALUACIÓN DE LA SEGURIDAD FÍSICA DE LA RED DE DATOS

Objetivo

Conocer la situación actual y actividades de la red de datos del Centro Radiológico Digital Américas CRA.

Indicación: Se deberá subrayar la respuesta que considere que se adecua más a la situación que se está preguntando. Se deberá llenar las preguntas que no poseen opciones múltiples en el espacio proporcionado. ¿Cómo considera usted, el servicio proporcionado por el área de Sistemas o TI? A. Deficiente B. Aceptable C. Satisfactoria D. Excelente ¿Por qué? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Qué piensa de la atención que brinda el personal de informática o TI, a los demás integrantes del Centro Radiológico Digital Américas CRA? A. Insatisfactoria B. Satisfactoria C. Excelente ¿Por qué? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Se cubren las necesidades del manejo de información? A. No las cubre B. Parcialmente C. La mayor parte D. Todas ¿Por qué? ______________________________________________________________________________________________________________________________________________________________________________________________________ ____________________________________________________________________________________________________________________________________

¿Cómo considera la calidad del servicio que se proporciona los equipos de cómputo? A. Deficiente B. Aceptable C. Satisfactoria D. Excelente ¿Por qué? ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ¿Qué piensa de la seguridad en el manejo de la información del Centro Radiológico

Digital Américas CRA, proporcionada para el área de Sistema o TI?

A. nula B. Riesgosa C. Satisfactoria D. Excelente E. Lo desconoce ¿Por qué?

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

ENTREVISTAS USUARIOS ADMINISTRATIVOS TI

Versión 1.0

ÁREA


EVALUACIÓN DE LA SEGURIDAD FÍSICA DE LA RED DE DATOS

Objetivo

Conocer la situación actual y actividades de la red de datos del Centro Radiológico Digital Américas CRA.

Indicación: Se deberá subrayar la respuesta que considere que se adecua más a la situación que se está preguntando. Se deberá llenar las preguntas que no poseen opciones múltiples en el espacio proporcionado.

Control de áreas para los equipos de redes y comunicaciones, previniendo accesos inadecuados

SI NO N/A

¿Para el ingreso al centro de datos cuenta con identificación, como código de huella, carnet?

¿Se tienen lugares de acceso restringido?

¿Los equipos de red y comunicaciones se mantienen en habitación cerrada con acceso únicamente del personal autorizado?

¿Conoce métodos o actividades para el control de acceso al área de equipos de la red?

¿Se tiene un registro de las personas que ingresan a las instalaciones?

¿Se cuenta actualmente con un inventario de todos los dispositivos de red?

¿Si tiene alguna plantilla o tabla de registro de Fallas en los Equipos de Red?

¿Se cuenta con servicio de mantenimiento preventivo y correctivo de los equipos de red?

¿Se tienen tiempos establecidos para el mantenimiento de los equipos de red?

¿Se tienen los espacios adecuados para el mantenimiento de los equipos de red?

Utilización de los equipos de red y de comunicaciones

¿Conoce cómo se distribuyen los equipos de red? (cableado, Reuters, servidor, etc.

¿Existen equipos de monitorización en la red? Cuales

¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos de red?

¿Existe un administrador de sistemas que controle las cuentas de los usuarios?

¿Se cuenta con un proceso para dar mantenimiento preventivo y/o correctivo al software?

Seguridad de la Información

¿Existen métodos de respaldo de información?

¿Se realizan copias de seguridad de la información periódicamente?

¿Se crean contraseñas pares el uso de los equipos de cómputo?

¿Cuenta con antivirus instalados en los equipos de cómputo? Cual?

¿Los antivirus están Actualizados? ¿Por qué?

¿Se tienen licencias de los programas que utiliza?

En caso de pérdida de la información, ¿el Centro Radiológico Digital Américas CRA, cuenta con respaldos ?, de ser afirmativo, ¿qué mecanismos utiliza la organización para realizar los respaldos de la información?

Controles para la protección y tendido adecuado de cables y líneas de comunicaciones

SI NO N/A

¿El cableado de red se encuentra debidamente protegido, etiquetado?

¿En el Data Center, los armarios, distribuidores, se encuentran etiquetados o marcados?

¿Se realiza una revisión periódicamente de las líneas de comunicaciones? de ser afirmativo, ¿con que frecuencia se realiza?

¿El cableado de datos (UTP) va en la misma bandeja del cableado eléctrico?

¿Se tiene UPS de suministro adecuadas ante posibles cortes de luz inesperados?, de ser afirmativo, ¿qué tipo de instalaciones utiliza?

¿Los equipos de red y comunicaciones se encuentran protegidos sobre posibles amenazas físicas y ambientales?

¿Existen estrategias para mitigar desastres que solo afecten a las comunicaciones del Centro Radiológico Digital Américas CRA? de ser afirmativo ¿Cuáles?

¿Podría mencionar que metodología o procedimientos se tienen para manejar la

implementación, mantenimiento y seguridad de los equipos de red el Centro

Radiológico Digital Américas CRA? ¿Por qué?

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

¿Existen normas para el manejo de las redes de comunicaciones, sistemas

operativos, aplicaciones, entre otros?

SI NO ¿Cuál?

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

¿Existe alguna norma para el manejo de la seguridad en los dispositivos de red?

SI NO ¿Cuál?

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

¿Existen métodos secundarios de transmisión de la información entre las diferentes

sedes del Centro Radiológico Digital Américas CRA?

SI NO ¿Cuál?

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

¿Existe alguna forma para reducir el mal uso accidental o deliberado de los

Sistemas de Cómputo y comunicaciones?

__________________________________________________________________

__________________________________________________________________

ENTREVISTAS USUARIOS ADMINISTRATIVOS TI

Versión 1.0

ÁREA


EVALUACIÓN DE LA SEGURIDAD LÓGICA DE LA RED DE DATOS

Objetivo

Crear planes estratégicos para proteger la red y evitar daños internos

Indicación: Se deberá subrayar la respuesta que considere que se adecua más a la situación que se está preguntando. Se deberá llenar las preguntas que no poseen opciones múltiples en el espacio proporcionado. ¿Se tienen configuraciones seguras para hardware y software? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Se realiza evaluación continua de la vulnerabilidad y remediación? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Existe uso controlado de privilegios administrativos? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Existen actividades de protecciones de correo electrónico y navegador web? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________

¿Se tienen defensas de malware? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Se realiza limitación y control de los puertos de red? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Existen configuraciones seguras para dispositivos de red? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Existen procesos o procedimientos para la protección de datos? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Se tiene control de acceso inalámbrico? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Hay procedimientos para Control y supervisión de cuentas? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________ ¿Ser tiene respuesta y gestión de incidentes? SI NO ¿Cuáles? ______________________________________________________________________________________________________________________________________________________________________________________________________

Seguridad en los Datos SI NO N/A

¿El Centro Radiológico Digital Américas CRA tiene un sistema de gestión de la información?

¿ El servidor e imágenes diagnosticas en funcional?

¿Las bases de datos guardan la información necesaria y adecuada para el Centro Radiológico Digital Américas CRA?

¿Existen copia (backups) y se guardan en lugares seguros y adecuados para tal fin?

¿Existen procesos y procedimientos de copias de seguridad y de recuperación de datos?

¿Hay controles para el acceso físico a las copias de seguridad del Centro Radiológico Digital Américas CRA?

¿Existen procesos o procedimientos de asignación y distribución de contraseñas?

El Centro Radiológico Digital Américas CRA asigna dinámicamente direcciones usando DHCP

¿Se utilizan los certificados del cliente para validar y autenticar los sistemas antes de conectarse a la red privada?

¿Se tiene lista de software autorizado y la versión que se requiere en el Centro Radiológico Digital Américas CRA, para cada tipo de sistema?

¿Se utilizan listas blancas de aplicaciones que permite que los sistemas ejecuten software?