ANALISIS DE RIESGOS

SISTEMAS - DIGESI
2010

Registro de Revisiones al Documento

Fecha

Descripcin

20/07/2010

Versin original
1.0

Hecho por:

Revisado
por:

Aprobado por:

INDICE

Pag
I.-

II.-

III.-

INTRODUCCION

1.1
1.2
1.3
1.4

6
6
6
6

Objetivo
Poltica
Finalidad
Alcance

IDENTIFICACION DE RIESGOS

2.1
2.2
2.3
2.4

7
7
8
8

Activos a proteger
Anlisis de amenazas
Anlisis de Vulnerabilidad
Polticas para controlar riesgos

IDENTIFICACIN DE RIESGOS MAS PROBABLES

3.1

Factores de Riesgo
3.1.1
3.1.2
3.1.3
3.1.4

Factores Naturales y/o Artificiales (FNA)

Factores de Servicios (FSE)
Factores de Sistemas (FSI)
Factores de Recursos Humanos (FHR)

3.2 Riesgos que afronta DIGESI

IV.-

11

CUANTIFICACION DE RIESGOS
4.1 Probabilidad de ocurrencia
4.2 Vulnerabilidad e Impacto
4.3 Nivel de Riesgo

11
11
11
11
11
13
13
13
13

V.-

CONCLUSIONES

15

VI.-

ANEXOS

16

ANEXO
ANEXO
ANEXO
ANEXO

I.- ANALISIS DE RIESGOS

II.- REPORTES DE ACTIVOS INFORMATICOS
III.- PLANIFICACIN DE CONTINUIDAD DE OPERACIONES
IV.- GLOSARIO DE TERMINOS

I .- INTRODUCCIN
A travs del tiempo las Tecnologas de la Informacin y Comunicaciones se han establecido
como un elemento fundamental de las operaciones del DIGESI. Actualmente los servicios
como acceso a Internet, correo electrnico, intranet, bases de datos, impresin y
almacenamiento de archivos y las comunicaciones, son crticos para el trabajo del personal
y marcha adecuada de toda la institucin. Esta dependencia se incrementar con el
desarrollo de aplicativos de Sistemas de Informacin y el desarrollo de la tecnologa
informacin y Comunicaciones (TICs).
El Anlisis de Riesgo se refiere a la estimacin de daos, prdidas y consecuencias que
pueden ocasionarse a raz de uno o varios escenarios de desastre, y trata de determinar la
probabilidad de ocurrencia y la magnitud de los daos por fenmenos naturales extremos
Un Anlisis de Riesgos es un procedimiento de ayuda a la decisin. Sus resultados
constituyen una gua para que la organizacin pueda tomar decisiones sobre si es necesario
implantar nuevos mecanismos de seguridad y que controles o procesos de seguridad sern
los ms adecuados.
Ante la permanente posibilidad de ocurrencia de eventos, tanto naturales como provocados
por el hombre, que daen o interrumpan los servicios informticos, se debe establecer
medidas de prevencin y procedimientos de recuperacin que reduzcan al mnimo la
interrupcin.
El nivel de riesgo al que est sometido DIGESI o cualquier organizacin nunca puede
erradicarse totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y
mecanismos que es preciso dedicar para minimizar estos riesgos y un cierto nivel de
confianza que se puede considerar suficiente (nivel de riesgo aceptable).
En el marco de gestin de los riesgos que afronta DIGESI, se procedi a identificar los
riesgos de DIGESI, creando una lista y categorizndolos en funcin al juicio de los
profesionales del ETS.
Posteriormente se paso a cuantificar el riesgo. Es decir a travs de contestar a preguntas
tales como: Cunto suma la prdida si esta ocurre? Es posible que la empresa absorba la
prdida sin problemas? Cul es el costo de proteccin? Cul es la posibilidad de que
ocurra?
As mismo se estableci una poltica para prevenir riesgos y dar cierto margen de seguridad
(Polticas Informticas de DIGESI), igualmente se cuenta con un plan o un mecanismo para
reducir el riesgo (Procedimientos y Plan de Contingencias).

Este Anlisis de Riesgos de DIGESI esta en diseado en cumplimiento de la

Norma ISO27001 a la cual DIGESI pretende calificar para obtener la cdrtificacion
pertinente.

Este documento se complementa con el Plan de Contingencias.

Este documento ser revisado y actualizado anualmente, la versin actual es la V 1.0. de Julio del
2010.

SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION EN DIGESI (SGSI) ***1.1

Objetivo
Gestionar el riesgo sobre la Plan
posibilidad de ocurrencia de siniestro de hardware, software,
informacin y de los equipos perifricos y hacerlo de conocimiento de todos los
involucrados.

PLANIFICACION

1.2

Poltica

Actuar En caso de interrupcin de todo o parte de los servicios informacin

Do
se utilizaran las medidas
disponibles para restituir la operatividad en el menor plazo, el cual se dar prioridad a la Alta

MANTENIMIENTO
IMPLEMENTACION
Gerencia y Sistemas a Nivel Nacional, pero antes que nada DIGESI
tiene una poltica de
gestionar el riesgo (Mitigndolo, Asumiendo y Transfiriendo).
MEJORA
Y OPERACION
1.3

FINALIDAD
Establecer los procedimientos que permitan gestionar el riesgo de siniestro de
cualquier ndole

1.4

Alcance

Check

MONITOREO Y

Las operaciones de DIGESI sede

de Juliaca u otras instalaciones que DIGESI determine..
EVALUACION

***
El ciclo PDCA, tambin conocido como "Crculo de Deming" (de Edwards Deming), es una
estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado
por Walter A. Shewhart. Tambin se denomina espiral de mejora continua. Es muy utilizado
por los SGSI.
Las siglas PDCA son el acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,
Actuar).

Amenazas para la Seguridad

Desastres Naturales

Humanas

Maliciosas
Externas

Internas

No Maliciosas
Empleados No
Capacitados

Tipos de Amenazas ms Comunes (DIGESI 2009)

Incendios
Inundaciones
Terremotos

II.- IDENTIFICACIN DE RIESGOS

2.1 Activos a proteger
Principalmente se proteger el Recurso Humano
Los activos Informticos principales a proteger son:

Activos

Hardware

Con una frecuencia

estimada
Servidores
explotan

GENERAN

Vulnerabilidades

Equipos de Usuarios

Impresoras

Equipos de Proteccin (UPS)

Software

Base Datos

Programas informticos (Aplicativos)

AMENAZAS

IMPACTO

Software Base (Sistemas Operativos, Programas de Ofimatica)

Documentos

Documentacin (Manuales,RIESGOS
Licencias, Contratos)

Archivos provenientes de Zonales

IMPLICA

Comunicaciones

Relacin de Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo

Equipos de Comunicaciones

Central Telefnica

Otros Activos Informticos

Mobiliario de apoyo

Para el anlisis de riesgos se ha seguidos dos pasos: Anlisis de Amenaza y un Anlisis de

Vulnerabilidad
2.2 Anlisis de la Amenazas:

Una amenaza es un evento o incidente provocado por una entidad hostil a

DIGESI (humana, natural o artificial ) que aprovecha una o varias
vulnerabilidades de un activo con el fin de agredir la confidenciabilidad,
integridad o disponibilidad de ese mismo activo o de otros activos de la
organizacin ( se dice que la amenaza explota la vulnerabilidad del activo).
Las amenazas pueden ser externas o internas a la organizacin y pueden
deliberadas o accidentales (por ejemplo un desastre natural o negligencia sin
intencin de dao por parte de personal de la organizacin).

Ejemplos:
Errores

Dao intencional /Ataque

Robo
Falla de equipo/software.
Desastre natural.
Identificacin del tipo de amenaza: Se realiz a travs del mtodo de anlisis
cualitativo y de los datos disponibles.
Identificacin y caracterizacin de las reas amenazados.
Identificacin y determinacin de la probabilidad de ocurrencia, usando escalas
ordinales (probabilidad alta mediana baja).
Estimacin o clculo de la magnitud/intensidad del fenmeno.
Identificacin de los factores que influyen en la amenaza (cambio climtico, destruccin
ambiental, degradacin de recursos naturales, infraestructuras grandes como diques.).
2-3 Anlisis de Vulnerabilidad:
Una vulnerabilidad es todo aquella circunstancia o caracterstica de un activo que
permite la consecucin de ataques que comprometen la confidenciabilidad, integridad o
disponibilidad de ese mismo activo o de otros activos de la organizacin.
Ejemplos :

Falta de conocimiento del usuario.

Falta de funcionalidad de la seguridad.

Configuracin inadecuada del cortafuegos.

Eleccin deficiente de contrasea.

Tecnologa no probada.

Transmisin por comunicaciones no protegidas.

Inexistencia de sistema contra incendio.

Se consideraron tambin:
Identificacin de las personas/elementos potencialmente vulnerables.
Identificacin y anlisis de los factores (fsicos, sociales, econmicos y ambientales) que
influyen en la vulnerabilidad o que la generan.
Identificacin y desarrollo de los indicadores para la determinacin del grado de
vulnerabilidad.
Anlisis de las capacidades de autoproteccin /de preparacin.
Determinacin del riesgo aceptado y, por lo tanto, del riesgo residual.

2.1 Polticas para controlar los riesgos

Polticas para eliminar riesgos
Existen ciertos riesgos los cuales son causados por varios factores y si eliminamos uno
de ellos el siniestro no ocurre. As que el riesgo se elimina abandonando una
determinada actividad o no usando algn material o equipo. Por ejemplo, para evitar el

riesgo de explosin se puede abandonar el uso de gases inflamables, subcontratar a

otra empresa quien corre con el riesgo, etc.
Polticas de prevencin de riesgos
Estas polticas buscan evitar o disminuir la posibilidad de que aparezca el siniestro y as
crear cierto grado de seguridad. Por ejemplo, para prevenir accidentes (ya que no se
pueden eliminar) se dictan normas de seguridad e higiene industrial; para evitar robos
se crean sistemas de vigilancia electrnica y humana.
Polticas de Transferir Riesgos (seguros)
Cuando los riesgos no se pueden eliminar o no se puede prevenir debemos pensar en
transferir las consecuencias de riesgos a otras instituciones por medio del seguro.
Un seguro puede definirse como un mecanismo o instrumento mediante el cual se
puede sustituir la posibilidad de una prdida importante por el costo de pagar un cierto
monto o tarifa.
Polticas para reducir riesgos
Un aspecto importante para reducir riesgo empresarial es el ejercer de manera
adecuada una funcin de control, supervisin y prevencin. Pero, esa labor no puede
ser improvisada, ni mucho menos desordenada por el contrario, debe ser planificada y
programada como cualquier otra actividad administrativa.
Un caso especial de riesgo de carcter humano lo constituye el riesgo que asumen
muchas de instituciones, en las cuales el gerente, persona clave para la gestin, nunca
o casi nunca toma vacaciones. La tensin y el cansancio termina por hacer a estas
personas ineficientes, colricas e incluso sumamente impulsivas en su toma de
decisin, hechos estos que terminan por desmotivar al resto del personal, propiciar
malas relaciones con nuestros mejores clientes y en general deteriorar la imagen y los
resultados de nuestra empresa. Estos riesgos pocas veces son percibidos en nuestras
empresas, pero existen y debemos tomar conciencia de ellos.
Los cambios que ocurran en la infraestructura de Tecnologa de Informacin de la
Institucin debern reflejarse en el plan debe actualizarse en base a la travs del
proceso siguiente:

Conducir el anlisis de impacto en las operaciones

Identificar controles preventivos
Desarrollar estrategias de recuperacin
Revisar y formular la poltica del plan de contingencia
Conducir pruebas, entrenamiento y ejercicios

III--

IDENTIFICACIN DE RIESGOS MAS PROBABLES

Madurez Nivel 0.
Riesgo
se
define
como
la
probabilidad
de que la organizacin
sometida
No existe ningn proceso de evaluacin
del riesgo se
TI,veapor
tanto alaun
determinado
nivel
de
impacto
(determinado
a
su
vez
por
las
consecuencias
de la
organizacin no considera los impactos que se puedan producir en el negocio
agresin. Su estimacin se basa en la combinacin de dos factores:
por las vulnerabilidades existentes.
La frecuencia con que las amenazas
podra materializarse
(estimado la probabilidad de
Madurez
Nivel 1
que
amenazas
explotarad
lashoc.
vulnerabilidades
los activos).
Loslasriesgos
TI seconsideradas
consideran puedan
de una forma
A veces sede
hace

evaluacin de los riesgos, pero no de una forma sistemtica.

Nivel de impacto causado en el negocio en caso de que las amenazas consideradas se

hagan efectivas. Ejemplos: Perdida de un activo, Reduccin de eficiencia/desempeo
Nivel al2 personal, etc.
operativo, Violacin de confianza, Madurez
Poner en peligro

Repetible pero intuitiva. La evaluacin y gestin del riesgo TI se hace en

o cuando se detectan problemas.

3.1
Factores importantes
de Riesgo
proyectos
3.1.1

Factores Naturales y/o Artificiales (FNA)

Madurez Nivel 3
Son factores no controlables como sismos que ocurren por efecto de la
Proceso Definido y documentado. Existe un procedimiento documentado
naturaleza.
que establece
cuando y como se debe realizar la evaluacin del riesgo TI.
La gestin de los riesgos sigue estrictamente un proceso definido y
Se da (FSE)
formacin al personal sobre la gestin de los
3.1.2 documentado.
Factores de Servicios
riesgos. Existe una estructura organizativa responsable de la
Se deben a fallas en los servicios, tales como electricidad (incendios), agua
identificacin y gestin de los riesgos.
potable, desage (inundacin), Internet (corte).

Madurez Nivel 4
Medido y Gestionado. No slo existen procedimientos de identificacin y
3.1.3 Factores de Sistemas (FSI)
gestin del riesgo, si no que se efectan medidas y se controlan resultados.

Son debido a fallas en los sistemas informticos, programas de software,

Madurez
incluyendo software base,
antivirus,Nivel
etc. 5

Optimizacin.
Existen procedimientos documentados, se efectan medidas, se realizan
3.1.4 Factores de Recursos Humanos (FHR)
acciones
de mejora y optimizacin de los procesos de identificacin y
Sonlos
debido
a fallas
gestin de
riesgos
TI. humanas, susceptibles de preverse.
3.2

Riesgos que afronta DIGESI

Modelo
deconocidos
madurez los
para
la gestin
y evaluacin
dedecidir
los riesgos
TI .
Una vez
riesgos,
la organizacin
puede
que medidas
tomar
Fuente
: COBIT
. serie de factores (costes de la implantacin de controles que
dependiendo
de una
reduzcan
los riesgos
vs. Costes
derivados
deMadurez
las consecuencias
de la materializacin
DIGESI
trata
de ubicarse
en el
Nivel de
3.
de estos riesgos.

Mitigar el riesgo, mediante la implantacin y mantenimiento y mantenimiento de

controles de seguridad que minimicen estos riesgos y los mantengan a n nivel aceptable
(lo cual implica en muchos casos fuertes inversiones econmicos).
Asumir ciertos riesgos a los que est expuesta la organizacin ya que las
consecuencias acarrean un coste econmico y estratgico menor que el coste que sera
necesario aportar para reducir dichos riesgos.
Trasferir estos riesgos, bien a un prestador de seguros especializado mediante un
SLA (Un acuerdo de nivel de servicio o Service Level Agreement, tambin conocido por
las siglas ANS o SLA, es un contrato escrito entre un proveedor de servicio y su cliente
con objeto de fijar el nivel acordado para la calidad de dicho servicio. ) o bien mediante
la contratacin de una pliza de riesgo electrnico.

CODIGO

RIESGO IDENTIFICADO

RI01

CORTE DE ENERGA ELCTRICA

RI02

CORTE DE LNEA DE TRANSMISIN DE INTERNET

RI03

SISMO

RI04

INCENDIO

RI05

FALLA DE EQUIPOS (Hardware)

RI06

INUNDACIN

RI07

ATAQUE INFORMATICO EXTERNO(Virus-hackers)

RI08

ATAQUE INFORMATICO INTERNO (Negligencia-Trabajadores descontentos)

RI09

ERRORES HUMANOS-ACCESOS NO AUTORIZADOS O NO APROPIADOS

RI10

USO INDEBIDO DE LOS ACTIVOS INFORMTICOS

RI11

FALLA DE BACKUP

RI12

FALLA EN SOFTWARE

Cuadro de Riesgos a que esta sometido DIGESI.

(Consensuado en los procesionales de Sistemas).

IV.- CUANTIFICACION DE

RIESGOS
4.1 Probabilidad de ocurrencia (Amenaza)
La probabilidad de ocurrencia del evento a analizar se ha cuantificado con un valor
de 0 a 1. Donde es cero es nulo o sea tenemos la certeza que no va ha ocurrir y 1
es la seguridad de ocurrencia del evento.
4.2 Vulnerabilidad e Impacto
Una vulnerabilidad es todo aquella circunstancia o caracterstica de un activo que
permite la consecucin de ataques que comprometen la confidenciabilidad,
integridad o disponibilidad de ese mismo activo o de otros activos de la
organizacin.
La Vulnerabilidad ante un desastre dado es la capacidad de respuesta ante el
fenmeno, es decir, que un objeto sea vulnerable a un fenmeno determinado es,
en primera instancia, que sea susceptible de sufrir daos por la accin de este
fenmeno; ahora bien, si se entiende como objeto cualquier objetivo social o
econmico, entonces la vulnerabilidad estar en dependencia de las caractersticas
especficas del fenmeno, as como del objeto cuya vulnerabilidad se desee
evaluar. La vulnerabilidad no es esttica, sino un proceso dinmico en dependencia
de las condiciones tanto naturales como sociales.
Ejemplo : Falta de conocimiento del usuario, Falta de funcionalidad de la
seguridad, Configuracin inadecuada del cortafuegos, Eleccin deficiente de
contraseas, Tecnologa no probada, Transmisin por comunicaciones no
protegidas, inexistencia de sistema contra incendio.
Impacto se define como la magnitud de las consecuencias que tiene para el
negocio el hecho de que uno o varios de los activos hayan visto comprometidos su
confidenciabilidad, integridad o disponibilidad debido a que una o varias amenazas
hayan explotado las vulnerabilidades de estos u otros activos. Al estimar un
determinado nivel de impacto es necesario considerar la criticidad de los activos
afectados.
El impacto se ha cuantificado el impacto en una escala de 1 al 5, donde 5 el
mximo impacto considerados para un sismo o un corte de energa elctrica.
4.3 Nivel de Riesgo

(Amenaza * Vulnerabilidad)

Es la resultantes de multiplicar la Probabilidad de Ocurrencia

(amenaza) por el Impacto (Vulnerabilidad) .

CDIGO

Factor de Riesgo

Factor /
Falla ***

Probabilidad de
Ocurrencia
(Amenaza)

Impacto
(Vulnerabilidad)

Nivel de Riesgo
=f(Amenaza *
Vulnerabilidad)

RI01

CORTE DE ENERGA
ELCTRICA

FNA

0,2

RI02

CORTE DE LNEA DE
TRANSMISIN DE
INTERNET

FNA

0,2

RI03

SISMO

FNA

0,2

RI04

INCENDIO

FNA

0,2

0,8

RI05

FALLA DE EQUIPOS
(Hardware)

FSE

0,4

1,6

FSI

0,3

0,9

FSI

0,4

1,2

RI06
RI07

INUNDACIN
ATAQUE INFORMATICO
EXTERNO(Virus-hackers)

RI08

ATAQUE INFORMATICO
INTERNO (NegligenciaTrabajadores descontentos) FRH

0,6

1,8

RI09

ERRORES HUMANOSACCESOS NO
AUTORIZADOS O NO
APROPIADOS

FRH

0,4

0,8

RI10

USO INDEBIDO DE LOS

ACTIVOS INFORMTICOS

FRH

0,4

0,8

RI11

FALLA DE BACKUP

FSE

0,2

RI12

FALLA EN SOFTWARE
FSI
Cuantificacin de Riesgo DIGESI

0,2

0,4

V.- CONCLUSIONES
Este trabajo es parte de un estudio integral que se desarrollo en
coordinacin con los tcnicos del DIGESI en base a lo que se denomina
juicio de expertos. Es susceptible a adiciones o nuevas versiones, pero su
importancia radica que es el punto de partida para nuevas versiones.
La mayor vulnerabilidad de DIGESI viene Ataque informtico Interno
(Negligencia o trabajadores descontentos), que puede ser por un robo
(robo de laptop por ejemplo, o perdida de un Mouse, o hacer publico
alguna informacin confidencial). Por ello es indispensable la capacitacin
y puesta en vigencia de las Polticas informticas.
As mismo en segundo nivel de vulnerabilidad est la falla de equipos
(hardware) que por su antigedad y obsolescencia podra ser susceptible
de fallas.
Resulta indispensable verificar constantemente el estado de los seguros
de los activos informticos, que estn al da y que incluyan a todos los que
deben estar.

VI.- ANEXOS

ANEXO I
ANALISIS DE RIESGOS

ANEXO II
REPORTES DE ACTIVOS
INFORMATICOS

ANEXO III
Planificacin de Continuidad de
Operaciones

ANEXO IV
GLOSARIO DE TERMINOS
Amenaza(s) .-Peligro latente asociado con la probable ocurrencia de fenmenos fsicos
cuya existencia, intensidad o recurrencia se relacionan con procesos de degradacin
ambiental o de intervencin humana en los ecosistemas naturales. Ejemplos de stos
pueden encontrarse en inundaciones y o incendios.
Es un evento o incidente provocado por una entidad hostil a DIGESI (humana, natural o
artificial ) que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir
la confidenciabilidad, integridad o disponibilidad de ese mismo activo o de otros activos
de la organizacin ( se dice que la amenaza explota la vulnerabilidad del activo).
Las amenazas pueden ser externas o internas a la organizacin y pueden deliberadas o
accidentales (por ejemplo un desastre natural o negligencia sin intencin de dao por
parte de personal de la organizacin).
Ejemplo: Errores- Dao intencional /Ataque, Robo, Falla de equipo/software, Desastre
natural.
Vulnerabilidad.- Condiciones determinadas por factores o procesos fsicos, sociales,
econmicos, y ambientales, que aumentan la susceptibilidad de la institucin al impacto
de amenazas.
Una vulnerabilidad es todo aquella circunstancia o caracterstica de un activo que
permite la consecucin de ataques que comprometen la confidenciabilidad, integridad o
disponibilidad de ese mismo activo o de otros activos de la organizacin.
La Vulnerabilidad ante un desastre dado es la capacidad de respuesta ante el fenmeno,
es decir, que un objeto sea vulnerable a un fenmeno determinado es, en primera
instancia, que sea susceptible de sufrir daos por la accin de este fenmeno; ahora
bien, si se entiende como objeto cualquier objetivo social o econmico, entonces la
vulnerabilidad estar en dependencia de las caractersticas especficas del fenmeno, as
como del objeto cuya vulnerabilidad se desee evaluar. La vulnerabilidad no es esttica,
sino un proceso dinmico en dependencia de las condiciones tanto naturales como
sociales.
Ejemplo : Falta de conocimiento del usuario, Falta de funcionalidad de la seguridad,
Configuracin inadecuada del cortafuegos, Eleccin deficiente de contraseas,
Tecnologa no probada, Transmisin por comunicaciones no protegidas, inexistencia de
sistema contra incendio.

Riesgo.- El riesgo se puede definir desde varios puntos de vista y enfoques, es

conceptuado como "la probabilidad de que un evento adverso ocurra durante un periodo
determinado de tiempo, o resulte de una situacin particular. Es la probabilidad de que
ocurra o se presente un fenmeno natural o antropognico destructivo en el mbito de
un sistema afectable. Es considerado tambin como el resultado de un proceso mental.
El estmulo es el "peligro", o sea el objeto o actividad con el potencial de ocasionar un
perjuicio o causar un dao. Existen actualmente diversos enfoques sobre el concepto de
riesgo, el cual puede estudiarse desde el punto de vista ambiental, social, cultural, salud
pblica, econmico y poltico.
SLA .-Un acuerdo de nivel de servicio o Service Level Agreement, tambin conocido
por las siglas ANS o SLA, es un contrato escrito entre un proveedor de servicio y su
cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio. El ANS es
una herramienta que ayuda a ambas partes a llegar a un consenso en trminos del nivel
de calidad del servicio, en aspectos tales como tiempo de respuesta, disponibilidada
horaria, documentacin disponible, personal asignado al servicio, etc. Bsicamente el
ANS define la relacin entre ambas partes: proveedor y cliente. Un ANS identifica y
define las necesidades del cliente a la vez que controla sus expectativas de servicio en
relacin a la capacidad del proveedor, proporciona un marco de entendimiento,
simplifica asuntos complicados, reduce las reas de conflicto y favorece el dilogo ante
la disputa.
El ANS se caracteriza por ser un proceso estructurado, una metodologa homogenea que
promueve la convergencia organizacional. Suele incluir herramientas para hacer
benchmarking internos, y proporciona una visin multidimensional de las
interrelaciones entre los distintos servicios.
Tambin constituye un punto de referencia para el mejoramiento continuo, ya que el
poder medir adecuadamente los niveles de servicio es el primer paso para mejorarlos y
de esa forma aumentar los ndices de calidad.