Está en la página 1de 43

CASO DE ESTUDIO & ANALISIS DE

RIESGO
ELECCIONES PRESIDENCIALES EN PARAGUAY

PEDRO ARCE ANAYA


EDGAR JIMENEZ GARCIA
PEDRO MANJARREZ SERRANO
RAFAEL PEDROZA MANGA
CARLOS PEREZ MEZA

CASO DE ESTUDIO & ANALISIS DE RIESGO


ELECCIONES PRESIDENCIALES REPUBLICA DE PARAGUAY
SEGURIDAD Y AUDITORIA DE SISTEMAS

Presentado por:
Pedro Pablo Arce Anaya
Edgar Enrique Jimnez Garca
Pedro David Manjarres Serrano
Carlos Eduardo Prez Meza
Rafael Eduardo Pedroza Manga

Presentado a:
Profesor Humberto Caicedo Blanco

UNIVERSIDAD DE CARTAGENA
FACULTAD DE INGENIERA DE SISTEMAS
CARTAGENA D.T.C.
2014

Tabla de contenido
1. INTRODUCCION.......................................................................................... 4
2. OBJETIVOS.................................................................................................. 5
3. MISION........................................................................................................ 6
4. VISION......................................................................................................... 7
5. ELEMENTOS Y PROPIEDADES DEL SISTEMA..........................................8
5.1

EVENTO PROVEEDOR..........................................................................8

5.2

ENTRADAS DEL SISTEMA...................................................................9

5.3

PROCESOS............................................................................................ 9

5.4

SALIDAS.............................................................................................. 10

5.5

MEDIO AMBIENTE.............................................................................. 10

5.6

FRONTERA.......................................................................................... 11

5.7

CONTROLES........................................................................................ 11

5.8

EVENTOS CLIENTE............................................................................. 12

5.9

RETROALIMENTACION.......................................................................12

5.10 SUBSISTEMAS.................................................................................... 12
5.11 VARIABLES.......................................................................................... 14
5.12 PARAMETROS..................................................................................... 14
5.13 OPERADORES..................................................................................... 14
5.14 REALIMENTACION.............................................................................. 15
5.15 FEED BACK......................................................................................... 15
5.16 HOMEOSTASIS Y ENTROPIA.............................................................16
5.17 PERMEABILIDAD................................................................................ 16
5.18 INTEGRACION E INDEPENDENCIA...................................................16
5.19 CENTRALIZACION Y DESCENTRALIZACION....................................16
5.20 ADAPTABILIDAD................................................................................. 17
5.21 MANTENIBILIDAD.............................................................................. 17
5.22 ESTABILIDAD...................................................................................... 17
5.23 ARMONIA............................................................................................ 17
5.24 OPTIMIZACION Y SUBOPTIMIZACION.............................................17
5.25 EXITO.................................................................................................. 17
6. MODELO ENTIDAD RELACION..............................................................17
7. APLICACIN DE LA NORMA ISO 17799 2005....................................18
7.1 POLITICAS DE SEGURIDAD..................................................................18
2

7.2 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA


INFORMACION............................................................................................. 19
7.3 GESTION DE ACTIVOS..........................................................................20
7.4 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS..........................20
7.5 SEGURIDAD FISICA.............................................................................. 21
7.6 SEGURIDAD DEL ENTORNO.................................................................22
7.7 GESTION DE COMUNICACIONES Y OPERACIONES...........................22
7.8 CONTROL DE ACCESO..........................................................................23
7.9 DESARROLLO Y MANTENIMIENTO DE SISTEMAS.............................24
7.10 GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA
INFORMACIN............................................................................................. 24
7.11 ADMINISTRACIN DE LA CONTINUIDAD DE NEGOCIOS................25
7.12 CUMPLIMIENTO.................................................................................. 25
8. ANALISIS DE RIESGOS............................................................................. 26
8.1 ESCENARIO DE RIEGOS.......................................................................26
8.2 PROCESOS DEL SISTEMA....................................................................27
8.3 PRIORIZACIN DE PROCESOS DEL SISTEMA....................................27
8.4 CONCEPTUAR CADA PROCESO EN CADA SUBSISTEMA...................28
8.5 DESCRIPCIN DE LOS ESCENARIOS DE RIESGO..............................29
8.6 RIESGOS INHERENTES AL ESCENARIO..............................................30
8.7 DIAGRAMAS DE FLUJO.........................................................................30
8.8 CAUSAS DE RIESGO............................................................................. 36
8.9 AMENAZAS............................................................................................ 36
8.10 RIESGOS REALES Y POTENCIALES...................................................37
8.11 CONTROLES EXISTENTES ASOCIADOS............................................38
8.12 CONTROLES PROPUESTOS................................................................38
8.13 COSTOS............................................................................................... 38
9. CONCLUSION............................................................................................ 40
10.

BIBLIOGRAFIA....................................................................................... 41

1. INTRODUCCION
3

El presente desarrollo del caso de estudio y anlisis de riesgo


acerca de las elecciones presidenciales en Paraguay, tiene como
misin mostrar todos los elementos y las propiedades a tener en
cuenta para el desarrollo de una correcta campaa electoral, en
este caso las elecciones presidenciales de la Republica Paraguaya,
todo lo anterior realizado haciendo uso de los conocimientos e
informacin obtenida en seguridad y auditoria en sistemas.
Implementando las herramientas que nos brinda la teora general
de sistema y las NORMAS ISO, en esta caso la NORMA ISO 17799
2005, se pudieron obtener en su totalidad las especificaciones y
controles necesarios para realizar un ptimo desarrollo y
realizacin de los procesos en todos y cada uno de los sistemas.
Se hace de extrema importancia la implementacin de una
auditoria de sistemas, ya que esta permitir el anlisis del
impacto que generara las herramientas tecnolgicas que se
piensan implementar en dichas elecciones, todo esto con el fin de
observar que la nueva propuesta de implementacin de
tecnologas para las votaciones no afecte de manera negativa.

2. OBJETIVOS

Aplicar los conocimientos obtenidos de la norma ISO 17799


2005 y de la Teora General de Sistemas en el caso de
estudio
Detallar todos los componentes que hacen parte de los
procesos que componen el sistema de ELECCIONES
PRESIDENCIALES DE PARAGUAY.
Detallar los protocolos necesarios para la correcta ejecucin
de los procesos.
Describir cada uno de los procesos del sistema.
Realizar un anlisis de riesgo a la ejecucin de los procesos
para evitar y disminuir la probabilidad de ocurrencia.
Realizar un anlisis de costos para verificar si la relacin
entre la implementacin de las nuevas tecnologas y el
desarrollo de los procesos es viable.

3. MISION
Detallar las especificaciones y las normas necesarias que se deben
acatar para que al implementar el software diseado para las
elecciones presidenciales, estas no se
vean afectadas
negativamente y que por consiguiente esta nueva implementacin
genere una mejor actitud de los votantes frente al proceso
electoral, generando mayor confianza a la hora de votar y de
recibir resultados, y de esta manera motivando a que la poblacin
sea ms activa a la hora del voto y que se expanda este mtodo
como un medio de agilizacin y optimizacin de procesos.

4. VISION

Innovar en el rea de los procesos electorales, ganando reputacin


positiva a nivel internacional mediante la muestra de los
resultados obtenidos en los proyectos, de esta manera se podr
incentivar a todas las comunidades a que voten, permitiendo as
que la democracia gane fuerza y sea lo ms transparente posible.

5. ELEMENTOS Y PROPIEDADES DEL SISTEMA


5.1

EVENTO PROVEEDOR
Los departamentos, municipios, Provincias y Ciudades.
7

5.2

5.3

Los jurados de votacin.


Los postulados al cargo de presidente de la repblica.
Los partidos polticos.
Las Organizaciones como la ONU y la OEA.
El consejo nacional electoral del Paraguay.
Las entidades prestadoras de servicio de seguridad.
El Contratista del Software de Sistemas
La infraestructura designada para el lugar de votacin.
Los medios informativos.
La registradora nacional.
ENTRADAS DEL SISTEMA
Diseo del tarjetn electoral.
Logstica designada al conteo de los votos.
Logstica encargada de organizar todo lo que se encuentre
relacionado a la infraestructura designada para la votacin
como podran ser las sedes y las mesas de votacin.
Curules Polticas.
Logstica encargada de designar los jurados de votacin.
Logstica encargada de la diligenciaran del formato de
registro de votantes.
Logstica designada para la realizacin de las inscripciones
de los postulados a la presidencia de la repblica.
Logstica encargada de designar los puestos de votacin.
PROCESOS
Inscripcin de los candidatos: los aspirantes se postulan
para ser elegibles en las elecciones.
Designacin de sitios de votacin: se les de la
informacin a todos los votantes sobre el sitio donde deben
ir a votar.
Recopilacin y anlisis de informacin: se realiza una
comparacin entre los datos obtenidos en el pre-conteo
electoral y los obtenidos durante el escrutinio.
Logstica para la infraestructura: para las votaciones se
dispone de la infraestructura fsica necesaria para que el
proceso electoral se lleve a cabo en la fecha estipulada.
Eleccin de los jurados de votacin: se realiza la
designacin de los jurados que estarn en las mesas y que
participaran en el proceso electoral

5.4

Apertura de inscripciones: establecimiento de fechas y


actividades relacionadas al proceso electoral.
Verificacin de los votantes: se hace un chequeo en el
cual se determinar si el votante est en capacidad de
votar.
Votacin: los votantes ejercen su derecho al voto.
Pre-conteo: Realizacin de un conteo preliminar pero no
final.
Conteo de votos: Se inicia el escrutinio de los tarjetones
de votacin ya que se realice el cierre de las mesas de
votacin, de aqu se crean documentos con la informacin
recaudada en cada una de las mesas de votacin.
Divulgacin de los resultados: se otorgan los resultados
finales de la votacin.
Transmisin por medios electrnicos de los datos
electorales: Digitalizacin de todos los datos obtenidos
durante el proceso electoral.
Transmisin voz a voz: por va Radial y telefnica se
transmiten los datos de cada uno de los votos registrados.
Transmisin de informacin a los medios de
comunicacin: se transmite todo lo relacionado al proceso
electoral a travs de los medios de comunicacin usuales.
Consolidacin nacional: Se reciben todos los documentos
del proceso electoral a nivel departamental y regional.
SALIDAS
Resolucin de inicio de la campaa electoral.
Comunicados a los jurados de votacin electos.
Comunicados de los sitios de votacin habilitados.
Documentos E-14.
Certificados electorales.
Estadsticas electorales.
Actas de escrutinios.
Boletn de informacin electoral, en el cual se plasman los
resultados de la votacin.
Digitalizacin de la informacin.
Divulgacin de los datos electorales en los medios de
comunicacin.
Adaptacin del modelo electoral Colombiano al paraguayo.
Esto define las fechas, recursos y costos del proceso.

5.5

5.6

Asignacin de la logstica para la infraestructura fsica de las


votaciones.
Asignacin de las Capacidades individuales de un Humano,
para la realizacin de un proceso de votacin de manera
sistemtica.
MEDIO AMBIENTE
La presidencia de la repblica del Paraguay.
Divisin Financiera encargada de la Asignacin de costos.
Locales y construcciones elegidas como puntos de votacin.
Salas de Prensa.
Registraduria.
Puntos de entrada y salida en los lugares de votacin.
Departamento de servicios informticos de Paraguay
encargados de la infraestructura de redes y computacional.
Direccin administrativa de Paraguay encargada de
coordinar la logstica fsica.
La red de Internet.
FRONTERA

Esta se limita a travs de las interacciones entre los votantes que


suceden dentro del sistema, y se definen por las conexiones entre
los diferentes procesos. Este se representar por medio del
modelo E-R (Entidad - Relacin), y el diseo relacional de Base
de Datos.
5.7

CONTROLES
Fechas Inicio fin de proceso.
Fechas Inicio fin de Registro de las inscripciones de los
candidatos.
Designacin de recurso humano para organizar elecciones.
Constitucin Poltica de Paraguay (Ley N 834 del 17 de abril
de 1996)
Desarrollo de la Jornada electoral en la maana y en la
tarde.
Fecha final de cierre de inscripcin para los candidatos.
Fecha de desarrollo de las elecciones.
Verificacin de que los cdigos de los municipios existan en
la divisin poltico administrativa.
10

5.8

5.9

Solo se consolidan las actas que no presenten error.


La suma de los votos, por partido, o por candidato, o por
mesa, no exceda al potencial de la mesa.
Las actas que presenten error, quedan a disposicin de los
delegados departamentales, dndoles a conocer el tipo de
error, para que decidan lo pertinente frente a estas actas.
El cdigo de la mesa debe corresponder al de una mesa
instalada: En caso de que haya necesidad de crear una
mesa, debe actualizarse con anterioridad en la divisin
poltica, tanto a nivel municipal como departamental.
El cdigo del candidato, lista y partido, sea vlido y
corresponde a la corporacin que se est grabando.
El cdigo de transmisin sea vlido y corresponde a la mesa
que se est grabando.
Se cumpla con la estructura de los registros de transmisin
por corporaciones a elegir y con la convencin de nombres
que se establezca.
Existencia de campos para registrar los votos blancos, votos
nulos y votos no marcados.
La mesa no se encuentre ya grabada, de lo contrario se
reporte el correspondiente mensaje de error e informe a los
delegados
departamentales
para
la
investigacin
pertinente.
La suma de los votos de un partido o candidato, no
disminuya de un boletn a otro.
EVENTOS CLIENTE
El Candidato.
El partido al que representa.
Estadsticas del proceso.
Seguimiento en tiempo real.
Actas detalladas.
La prensa.
Organismos internacionales como la ONU y la OEA.
RETROALIMENTACION
Anlisis de estadsticas de procesos anteriores para
organizar logstica de futuros procesos de elecciones.
Evaluacin de resultados del proceso, para verificar
confiabilidad.
11

Evaluar resultados, para reorganizar procesos.

5.10 SUBSISTEMAS

Tarjeta electoral: Documento en el cual el votante, en


ejercicio del derecho al voto, marca su preferencia electoral.
o Atributos: Candidatos, Partidos polticos, Nmero
representativo.

Mesa de votacin: Sitio habilitado por la Registraduria


donde el ciudadano debe votar.
o Atributos: Cdigo de mesa, jefe encargado,
asistentes

Votante: persona que realiza el acto de cumplir con un


sufragio o voto.
o Atributos: Nmero de identificacin, nombre, sexo,
edad.

Candidato electoral: Persona que se postula a ser elegida


para algn cargo pblico electo en unas elecciones,
normalmente incluido en unas listas electorales.
o Atributos: Cdigo de candidato, Nmero de
identificacin, nombre, edad, sexo, partido poltico,
ttulos profesionales.

Jurados de votacin: Ciudadano seleccionado mediante


sorteo, para atender la mesa de votacin, hacer los
escrutinios correspondientes y entregar los resultados de las
votaciones en los documentos electorales correspondientes.
o Atributos: Nmero de identificacin, nombre, sexo.

Puestos
de
votacin,
Instalaciones:
Lugares
seleccionados para la realizacin de los votos y la ubicacin
de las mesas de votacin.
o Atributos: Nombre del lugar, Direccin, nmero de
mesas.

Centros de procesamientos de datos: Instalaciones de


pre-conteo electorales, ubicados en la capital cabecera
municipal, encargada del recaudo de la votacin de esa
Zona del Pas
o Atributos: Nombre lugar, Direccin, telfono.
12

Puesto de transmisin: Un puesto de transmisin va


telefnica, ubicado en el mismo lugar de la votacin, donde
se leen los resultados.
o Atributos:
Cdigo
de
mesa,
protocolo
de
reconocimiento, nombre del lector.

Puesto de recepcin telefnica: Sitios de recepcin


encargados de recibir la transmisin voz a Voz y consignar
los datos en un Formato, recaudar los FRT y enviar la
informacin al puesto de digitalizacin.
o Atributos: Nombre lugar, Direccin, telfono.

Puestos o centros de digitalizacin: Sitios de recepcin


de informacin encargados de recibir la los datos del puesto
de recepcin, se procesan, verifican, consignan, almacenan
y transmiten los datos al centro de consolidacin Nacional.
o Atributos: Nombre lugar, Direccin, telfono.

Centro
de
consolidacin
Nacional:
Centro
de
procesamiento de datos, dedicado a recibir la votacin
individual de cada regin.
o Atributos: Nombre lugar, Direccin, telfono.

Salas de prensa: donde lo medios de comunicacin a


travs de periodistas, recaudan datos para
enviar
a
Noticieros de divulgacin Nacional.
o Atributos: Nombre lugar, Direccin, telfono.

Oficina de Divulgacin: Oficina encargada de tomar los


datos y publicar a travs de servicios WEB, la informacin a
Nivel Nacional.
o Atributos: Nombre lugar, Direccin, telfono.

5.11 VARIABLES

Mesas de votacin.
Candidatos.
Votantes.
Funcionarios pblicos.
Partidos polticos.
Jurados de votacin.
Terceros involucrados en el proceso de votacin.
Regiones.
13

La prensa.
Estado
de
las
comunicaciones
electricidad).
Resultados de las votaciones.

(lnea

telefnica,

5.12 PARAMETROS

Fecha y hora de apertura y cierre de las votaciones.


Precisin del votante (informacin proporcionada).
Asistencia de los jurados.
Cantidad de votantes.
Nmero de candidatos.
Nmero de partidos polticos.
Cantidad de equipos electrnicos necesarios.
Estndar de conteo de votos.

5.13 OPERADORES

Funcionarios pblicos y delegados.


Jurados de votacin.
Medios de comunicacin y periodistas.
Seleccin de la infraestructura para el proceso electoral.
Material electoral para las votaciones.
Centro de pre-conteo.
Cumplimiento de la normativa electoral.
Numero de tarjetones.
Numero de urnas.
Listas de registro de los votantes.
Suma de Votos.

5.14 REALIMENTACION

Preparacin de infraestructura de acuerdo a la cantidad de


votantes
Anlisis estadstico de error a la hora de votar y cambiar
formas de votacin
Mejoramiento de la infraestructura tecnolgica en base a los
registros y control de tiempos de procesamiento.

14

Mejoramiento del proceso de escrutinio de votos en base a


la efectividad del proceso.
Simulacro electoral.
Auditoras externas.
Organismos de control como la procuradura.
Organismos internacionales

5.15 FEED BACK

La utilizacin del cdigo de transmisin del formulario en la


recepcin telefnica.
Procesos de interpretacin, verificacin y confirmacin
visuales en la digitalizacin.
Claridad del tarjetn de votacin.
Actualizar la informacin contenida en los archivos de la
divisin poltica administrativa y candidatos, con el fin de
corregir inconsistencias.
La parametrizacin del software
La implementacin de un mdulo de control de procesos
para los delegados departamentales.
Mecanismos de confiabilidad y certeza de los datos
ingresados al sistema.
Verificacin del contenido de los archivos a transmitir se
realice por reemplazo.

5.16 HOMEOSTASIS Y ENTROPIA

La implementacin de varios mecanismos de control y


verificacin para el correcto manejo, digitalizacin y
divulgacin de datos
Dejar rastros o pistas de auditora.
La visualizacin dinmica en la pantalla, del avance del
proceso de consolidacin de mesas, por puesto, zona,
municipio y departamento, facilitando la emisin de un
nuevo boletn.
Se utiliza informacin capturada por modalidad de
reconocimiento inteligente de caracteres (ICR) o el sistema
OCR Reconocimiento de Caracteres pticos que
sistematiza y agiliza el proceso de digitalizacin.

5.17 PERMEABILIDAD
15

Es un sistema parcialmente abierto, donde los jurados de


votacin no hacen como tal parte del sistema pero trabajan con
l, como si fuera un componente des-conectable y no tan
verificable, el sistema se vera ms afectado por cambios
exteriores al momento del proceso de votacin, despus de la
transmisin Voz o Voz de los formatos E14 el sistema se ve ms
aislado del medio y se vera menos afectado por otros sistemas.

5.18 INTEGRACION E INDEPENDENCIA


El Sistema est muy integrado, si alguna de sus partes falla
puede colapsar todo el proceso o se puede perder mucha
informacin, la integracin se va haciendo ms fuerte a medida
de que el proceso se concluye porque los datos se van
enviando a una entidad central que se encarga de la
divulgacin.

5.19 CENTRALIZACION Y DESCENTRALIZACION


Sera descentralizado, porque no existe un objeto dominante
como tal, sin embargo si se requiere al objeto anterior para la
activacin de cada parte subsiguiente.

5.20 ADAPTABILIDAD
El sistema es adaptable, al estar separado en mltiples partes,
estas pueden mejorar y hacer cambios individuales sin afectar
necesariamente a las dems, tambin la utilizacin de
herramientas cada vez ms especializadas, mejora el
desempeo de los sistemas para futuros usos.
5.21 MANTENIBILIDAD
Es completamente necesario la supervisin y el control de los
procesos, incluso a aquellos que ya estn sistematizados por
medio de herramientas electrnicas, sobre todo en las partes
iniciales y finales del sistema como lo es el proceso en las

16

mesas de votacin y al final en el proceso de divulgacin de


datos
5.22 ESTABILIDAD
Funcionalidad efectiva, recibe la informacin necesaria del
usuario, en este caso los votantes y responde positivamente
con la divulgacin de datos por los distintos medios.
5.23 ARMONIA
Es armonioso, por la compatibilidad que tiene con el contexto
ya que se modific, adapt y ajustar para responder
positivamente a un medio parecido como el anterior que era
Colombia.

5.24 OPTIMIZACION Y SUBOPTIMIZACION


El Sistema puede ser modificado y adaptado para responder
cada vez mejor a las necesidades de los usuarios y hacer las
tareas con mayor rapidez y eficiencia.

5.25 EXITO
Se llega a su cometido, con la divulgacin de la informacin
correcta en los diferentes medios despus de la verificacin, el
procesado de los votos y el almacenamiento de los resultados.

6. MODELO ENTIDAD RELACION

17

Figura 1. Modelo de entidad relacin (E-R), interpretado


como un modelo de base de datos relacional.

7. APLICACIN DE LA NORMA ISO 17799 2005


7.1 POLITICAS DE SEGURIDAD
Objetivos Generales de Seguridad

Proteccin de la informacin electoral es accesible slo para


aquellos autorizados a tener acceso.
Garanta de la exactitud y completitud de la informacin
electoral y de los mtodos de su procesamiento.
Los usuarios autorizados tendrn acceso cuando lo requieran a
la informacin electoral y sus activos asociados.

Valores de Seguridad

18

Habr valores especficos como la responsabilidad, y cumplimiento de


rdenes que jugaron un papel importante dentro de todo el
comportamiento de la organizacin.
Responsabilidades

Generales
o Cumplir normativas expuestas en el manual de Polticas
de seguridad interna.

Especficas
o El
funcionario
deber
mantener
la
informacin
confidencial y evitar el uso de esta divulgacin indebida.
o El funcionario debe mantener la integridad de la
informacin no es de ninguna manera cambiar sus
rdenes de tratamiento y gurdelo en su estado original.
o El funcionario garantizar la mxima disponibilidad de la
informacin cuando sea necesario y solicitado

7.2 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA


INFORMACION
Para que todos los subsistemas trabajen en armona y sin temor a
que se atente contra la confidencialidad o integridad de los
principales activos dentro de la ejecucin del proceso, son
necesarias las siguientes medidas:

La poltica de seguridad establecida debe ser aprobada


por el organismo de control en este caso para el sistema
electoral.
Designar encargados que acten como responsables
sobre la totalidad de procesos en la organizacin.
Contratar expertos en el tema de la seguridad interna
para el correcto control de esta.
Asignar las autorizaciones a terceras partes para la
ejecucin de tareas, de acuerdo al modelo establecido en
las normas de seguridad.
19

Tener adecuados controles de pre-conteo para que se


presente la manipulacin de votos.
Tener normas en el escrutinio, divulgacin y consolidacin
para evitar todo tipo de percance.

7.3 GESTION DE ACTIVOS


Acciones

Desde los puestos de votacin solo se manipular el material


dedicado por los encargados predeterminados de cada
instrumento.
El software pre-validacin de los datos por los ingenieros de
sistemas con el fin de asegurarse de que todo est en orden.
Se tomarn medidas informticas mediante softwares de
seguridad que ayuden a la correcta proteccin

7.4 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS


Se tendr contacto directo con el recurso humano, las siguientes
medidas sern implementadas y garantizarn la seguridad.

Las responsabilidades definidas de seguridad antes de


contratar con la descripcin del uso y las condiciones
apropiadas.
Todos los usuarios empleados, contratistas y terceros que se
proporcionarn un nivel apropiado de concienciacin,
educacin y formacin sobre los procedimientos de seguridad
y el uso adecuado de los recursos disponibles.
La responsabilidad de la proteccin de la informacin no se
detiene cuando un empleado regresa a su casa o sale de la
organizacin. Nos aseguramos de que, como organizacin que

20

est claramente documentado en la conciencia de los


materiales, los contratos de trabajo, etc.
Asegurar que las partes involucradas en el manejo del
software conozcan de primera mano las funciones que se
deben tener en cuenta para la correcta ejecucin control y
manejo de este.
Realizar capacitaciones peridicas y en materia de polticas y
procedimientos de la informacin.
Proteger los activos (equipos utilizados) contra el acceso,
modificacin, destruccin o interferencia no autorizada.
Asegurar que se asigne a la persona la responsabilidad
inicialmente encomendada (recoleccin de formularios E- 14,
digitalizacin etc.), exigiendo la debida autorizacin o
permisos.
Evitar que los empleados coloquen en riesgo la integridad de
la informacin, haciendo que estos firmen acuerdos de
confidencialidad.
Verificar el buen nombre de las personas que entraran en
contacto con el software a utilizar, de modo que se eviten
posibles riesgos relacionados a informacin sensible.
Se entregar al contratado, toda la documentacin y
materiales necesarios para ejercer sus labores, al dar por
sentada su contratacin.

7.5 SEGURIDAD FISICA


Teniendo en cuenta la descripcin de problema.

Se utilizarn servicios de energa de respaldo para proteger los


equipos de cmputo y la continuidad del proceso.
Se implementarn servicios de emergencias y rutas de
evacuacin en casos de extremo peligro
Se Impedir la salida de equipos informticos de las
instalaciones sin autorizacin escrita.
21

Se utilizar personal de seguridad alrededor de las


instalaciones que verifiquen que solo el personal autorizado
manipule informacin sensible
Los equipos utilizados deben ser protegidos contra fallas o
interrupciones en los servicios auxiliares o de soporte
necesarios para la ejecucin de los diferentes procesos.
Verificar que el cableado empleado en la trasmisin de los
datos o dan soporte a los servicios de informacin este
protegido contra la intercepcin o dao y contar con
mecanismos de soporte en caso de presentarse fallas en el
suministro elctrico (generador de respaldo).
Ubicar los equipos utilizados en lugares donde no se
encuentren amenazados por factores como robo, fuego, agua,
interferencias electromagnticas etc.
Los empleados solo deben acceder y salir de las instalaciones
en el horario establecido, las acciones de entrada y salida
deben ser registradas, exigiendo una identificacin visible.
Los cuartos utilizados para el recaudo, procesamiento y envi
de la informacin, deben ser discretos, mostrando el
sealamiento mnimo de su funcin
Se utilizarn Tarjetas de acceso.

7.6 SEGURIDAD DEL ENTORNO


Teniendo en cuenta los fundamentos de la organizacin de los votos y
teniendo en cuenta la situacin que se produce de vez en cuando, el
entorno de seguridad no es algo que trasciende el lugar fsico donde se
realice la votacin a las 4:00, sobre esta base, las siguientes directrices
son tomadas:

Personal de Seguridad y Sistemas de Monitoreo.


Instalar de sistemas de ventilacin.
Protecciones elctricas.
Sistemas de deteccin en casos de accidentes ambientales,
como fuego por ejemplo.
Proteccin ante Incendios y mtodos eficaces de evacuacin
guiados.

7.7 GESTION DE COMUNICACIONES Y OPERACIONES


Para la gestin de la comunicacin y la interoperabilidad entre votacin
e informacin voz a voz y medios viables para informar, por lo que se
tomaron las siguientes directrices.

Documentar todos los procedimientos de operacin realizados


en el proceso de recepcin.
22

Controlar los cambios en los medios y sistemas de


procesamiento de la informacin mediante protocolos
predefinidos.
Documentar la aprobacin de cambios en los equipos,
registrando toda la informacin relevante a estos.
Los formularios E -14 debern ser recaudados de cada mesa y
conducidos directamente a los puestos de transmisin va
telefnica.
Los documentos FRT deben ser escritos y posteriormente
digitalizados solo por el receptor telefnico.
Documentar
cambios
realizados
en
la
informacin
suministrada por una mesa en caso de error.
Permitir consultar y modificar los datos de la votacin, para
realizar esta accin se requiere autorizacin por los
escrutadores
Actualizar peridicamente la defensa de los equipos para la
deteccin virus que pongan en riesgo la integridad de la
informacin ingresada.
Requerir el uso de software que aporte confianza y plena
seguridad exigiendo la licencia del mismo.
Reportar y vigilar posibles intromisiones a la seguridad de la
informacin
a travs de correos electrnicos y archivos
descargados.
Establecer procedimientos detallados para el mantenimiento
de equipos y la informacin a travs de copias de seguridad,
manejo de correo y seguridad.
Establecer periodos para el resguardo de la informacin, en
caso de presentarse fallas en el sistema o equipos.
El envo de la informacin de los formularios E -14 debe estar
limitada a la verificacin del cdigo del formulario antes de
proceder a transferir la informacin utilizando el medio
criptogrfico de cdigo de barras.
Los boletines enviados al centro de consolidacin nacional
debern contar con la autorizacin de las personas
responsables de ello.

23

7.8 CONTROL DE ACCESO


Como todos sabemos todas las personas de todas las clases tienen
acceso al principal activo de la organizacin electoral sea la
informacin, por lo tanto, se deben tomar para el buen uso de esto y
evitar los problemas por parte de personas no autorizadas, como se
llevaron a cabo siguiendo las directrices:

Evitar accesos no autorizados a los sistemas de informacin.


Evitar el acceso de usuarios no autorizados.
Proteccin de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la informacin contenida en
los sistemas.
Detectar actividades no autorizadas.
Garantizar la seguridad de la informacin cuando se usan
dispositivos de informtica mvil y teletrabajo.

Cada persona deber someterse a su nivel de acceso, quien no lo haga


repercutir en consecuencias pre-establecidas.

7.9 DESARROLLO Y MANTENIMIENTO DE SISTEMAS


Desde que hacemos uso de un software especializado para el pre-conteo
de votos, que a su vez ser proporcionado por un contratista, en esta
zona slo debe definir dos tipos de componentes para ayudar al
funcionamiento del software a las necesidades de la organizacin.

Requisitos de Seguridad de Sistemas: Aqu se definen los


componentes en cuanto a la seguridad del sistema software.
o Solo los operativos tendrn acceso al sistema
o Se determinarn claves y usuarios de acceso

Seguridad de Sistemas de Aplicacin: Se implement un


sistema de aplicacin que mantenga el dinamismo y a
interaccin con el usuario, claro est, sin dejar de lado la
seguridad de la informacin.

24

7.10 GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA


INFORMACIN
Este campo slo se establecer para la correccin de errores y optimizar
el sistema debe ser comunicado a los superiores para tomar las medidas
previstas para los eventos.
Todo est en la comunicacin de eventos y debilidades de seguridad de
la informacin, gestin de incidentes y mejorar la seguridad de la
informacin.
Aspectos a tener en cuenta:

Reportar a los delegados departamentales la informacin


errada recolectada, para su posterior modificacin, o
correccin.
Reportar a los delegados departamentales los casos de
mesas ya grabadas que reaparecen o redundan en el
procesamiento de datos.
La mesa que presente inconsistencias en la votacin, podr
ser grabada pero no incluida en el cmputo de la votacin,
hasta ser verificada por los Delegados Departamentales.
Generar consultas detalladas y estadsticas que permitan
conocer el nmero de mesas que presentan error, en
cualquier momento del proceso de pre-conteo.

7.11 ADMINISTRACIN DE LA CONTINUIDAD DE NEGOCIOS


En esta rea, tenemos en cuenta el anlisis de todos los procesos y
recursos crticos de negocio, y las acciones y procedimientos a seguir en
caso de fallo o interrupcin de estos se definen, evitando la prdida de
datos y cancelacin de los procesos de produccin de las empresas.
El uso de los controles de seguridad contra desastres naturales, averas
y posibles brechas de seguridad promueven la continuidad de las
funciones de la organizacin.
Las fases que se estipulan para cuando sucede un evento fueron:
1)
2)
3)
4)
5)
6)

Anlisis y separacin de los distintos escenarios de desastres


Anlisis de impacto en la organizacin.
Desarrollo y eleccin de una estrategia de recuperacin.
Implementacin de la estrategia ms apropiada.
Documentacin del plan de recuperacin usado.
Mantenimiento del plan usado.
25

7.12 CUMPLIMIENTO
Objetivos

Evitar la violacin de la ley, estatuto, reglamento u obligaciones


y requisitos de seguridad contractuales.
Asegurar la alineacin de los sistemas con la poltica de
seguridad de la organizacin y las normas de los mismos.
Maximizar la eficacia y minimizar la interferencia o del proceso
de auditora del sistema.
Publicar la poltica formal de cumplimiento sobre el uso legal del
software utilizado y la informacin recibida por medio de este,
mediante la verificacin del convenio realizado con la republica
colombiana.
Dejar rastros o pistas de auditora, en aquellas transacciones que
afecten el archivo de votacin (inclusiones, correcciones,
eliminaciones), indicando nombre del usuario, fecha, hora y
transaccin.

Despus de ver los objetivos establecidos para esta rea, se decidi


adoptar las siguientes directrices a aplicar apropiadamente a la
organizacin.

Identificacin de la legislacin aplicable a los sistemas de


informacin empresarial (en nuestro caso, todo el software
dedicado a la obra del conteo de votos) estn debidamente
identificados e integrados en el sistema de informacin de la
organizacin y asegurar el cumplimiento de la seguridad.
Revisar peridicamente la seguridad de los medios de
comunicacin empleados, mediante mecanismos como pruebas
de penetracin realizadas por expertos contratados para este fin.
Garantizar que se lleven a cabo los procedimientos de seguridad
establecidos para todos los parmetros que involucra cada
proceso, mediante la revisin de cambios, adquisiciones y dems
factores que se puedan presentar en los procesos.
El plan de auditora interna se estableci en el primer dominio y
cuando se ejecuta correctamente, la deteccin de desviaciones
de la poltica de seguridad de la informacin est garantizada.

26

8. ANALISIS DE RIESGOS
8.1 ESCENARIO DE RIEGOS
Los siguientes son los escenarios de riesgo orientados al rea de
redes en los cuales se investigar para indagar acerca de los posibles
riesgos o vulnerabilidades durante la operacin:
Elecciones Presidenciales
Escenarios de Riesgos
1) Proceso de digitalizacin y envi de los Documentos E-14.
2) Proceso de digitalizacin y envi de los documentos FRT.
8.2 PROCESOS DEL SISTEMA
El sistema el cual se est analizando est conformado por los
siguientes subsistemas:

Documento E-14: Consignacin de los datos obtenidos en el


proceso electoral en los documentos E-14.
Documento FRT: gestin de los documentos FRT.
Equipos electrnicos: instalacin y gestin del equipamiento
usados en el sistema.
Suministros: documentos E-14, FRT, bolgrafos, etc.
Infraestructura: instalaciones fsicas usadas por el sistema.

8.3 PRIORIZACIN DE PROCESOS DEL SISTEMA


Documento E-14:
o Impresin de suficientes formatos E-14 para ejecucin
completa del sistema.
o Consignacin de los datos obtenidos de cada mesa en los
documentos E-14.
o Recoleccin y transmisin voz a voz de los documentos E14.
o Reseccin de transmisin voz a voz, verificacin y
digitalizacin de documento E-14.
Documento FRT:
27

o Impresin de suficientes formatos FRT para ejecucin


completa del sistema.
o Consignacin de los datos de los documentos E-14 en los
documentos FRT.
o Digitalizacin de los documentos FRT.
Equipos electrnicos:
o Establecer la forma de instalacin de los equipos
electrnicos.
o Designar personal para el uso de los equipos electrnicos.
o Tener un inventario de todo el equipamiento electrnico
(servidores, routers, switches, etc.).
o Reglas para el mantenimiento y reparacin del
equipamiento electrnico.

Suministros:
o Tener inventarios de suministros usados en las diferentes
partes del sistema.
o Establecer las cantidades necesarias de suministros que
el sistema usara para su completa ejecucin.
o Establecer el personal designado para gestin de los
suministros.
Infraestructura:
o Designar las instalaciones que sern usadas durante la
ejecucin del sistema.
o Establecer normas para el correcto uso de las
instalaciones.

8.4 CONCEPTUAR CADA PROCESO EN CADA SUBSISTEMA

Tarjeta electoral: Documento en el cual el votante, en


ejercicio del derecho al voto, marca su preferencia electoral.
Necesario para el proceso DOCUMENTO E-14.

Mesa de votacin: Sitio habilitado por la Registradura


donde el ciudadano debe votar. Necesario para el proceso
DOCUMENTO E-14.

Votante: persona que realiza el acto de cumplir con un


sufragio o voto. Necesario para el proceso DOCUMENTO E14.
28

Candidato electoral: Persona que se postula a ser elegida


para algn cargo pblico electo en unas elecciones,
normalmente incluido en unas listas electorales. Necesario
para el proceso DOCUMENTO E-14.

Jurados de votacin: Ciudadano seleccionado mediante


sorteo, para atender la mesa de votacin, hacer los
escrutinios correspondientes y entregar los resultados de las
votaciones en los documentos electorales correspondientes.
Necesario para el proceso DOCUMENTO E-14.

Puestos
de
votacin,
Instalaciones:
Lugares
seleccionados para la realizacin de los votos y la ubicacin
de las mesas de votacin. Necesario para el proceso
DOCUMENTO E-14 y SUMINISTROS.

Centros de procesamientos de datos: Instalaciones de


pre-conteo electorales, ubicados en la capital cabecera
municipal, encargada del recaudo de la votacin de esa
Zona del Pas. Necesario para el proceso DOCUMENTO
FRT.

Puesto de transmisin: Un puesto de transmisin va


telefnica, ubicado en el mismo lugar de la votacin, donde
se leen los resultados. Necesario para el proceso
DOCUMENTO E-14 y DOCUMENTO FRT.

Puesto de recepcin telefnica: Sitios de recepcin


encargados de recibir la transmisin voz a Voz y consignar
los datos en un Formato, recaudar los FRT y enviar la
informacin al puesto de digitalizacin. Necesario para el
proceso DOCUMENTO FRT y SUMINISTROS.

Puestos o centros de digitalizacin: Sitios de recepcin


de informacin encargados de recibir la los datos del puesto
de recepcin, se procesan, verifican, consignan, almacenan
y transmiten los datos al centro de consolidacin Nacional.
Necesario
para
el
proceso
DOCUMENTO
FRT,

29

INFRAESTRUCTURA,
ELECTRONICOS.

SUMINISTROS

EQUIPOS

Centro
de
consolidacin
Nacional:
Centro
de
procesamiento de datos, dedicado a recibir la votacin
individual de cada regin. Necesario para el proceso
SUMINISTROS,
EQUIPOS
ELECTRONICOS
e
INFRAESTRUCTURA

Salas de prensa: Donde lo medios de comunicacin a


travs de periodistas, recaudan datos para
enviar
a
Noticieros de divulgacin Nacional. Necesario para el
proceso
INFRAESTRUCTURA
y
EQUIPOS
ELECTRONICOS.

Oficina de Divulgacin: Oficina encargada de tomar los


datos y publicar a travs de servicios WEB, la informacin a
Nivel
Nacional.
Necesario
para
el
proceso
INFRAESTRUCTURA y EQUIPOS ELECTRONICOS.

8.5 DESCRIPCIN DE LOS ESCENARIOS DE RIESGO


Escenarios de Riesgos:

Proceso de digitalizacin y envi de los Documentos E-14.


o Digitalizacin de los documentos E-14.
o Envo de los documentos E-14.
Proceso de digitalizacin y envi de los Documentos FRT.
o Recepcin de la informacin.
o Digitalizacin de los documentos FRT.
o Envi de la informacin a servidores.

8.6 RIESGOS INHERENTES AL ESCENARIO


Transmisin errnea de la informacin.
Interrupciones en el flujo de energa de servidores.
Perdida de equipos por robo.
Dao de equipos.
Costo alto en la instalacin de las redes.

30

8.7 DIAGRAMAS DE FLUJO


Desarrollo de Documentos E-14.

31

Desarrollo Documentos FRT.

32

Implementacin de equipos Electrnicos.

33

Manejo de suministros

34

Manejo de instalaciones(Infraestructura)

35

8.8 CAUSAS DE RIESGO


Proceso: Documento E-14, Transmitir los documentos
o Fallas en el manejo del tamao de ancho de banda
interno necesario para la transmisin de documentos
36

Proceso: Documento FRT, gestin de los documentos FRT.


o No envo adecuado de los documentos
o Prdida de datos
o Red pobremente configurada y/o adecuada

Proceso: Equipos electrnicos, instalacin y gestin del


equipamiento usados en el sistema.
o Equipos defectuosos
o Daos por mal manejo
o Robo de equipos

Suministros: documentos E-14, FRT, bolgrafos, etc.


o Uso inadecuado de suministros
o Distribucin mal administrada de los suministros o
consumibles

Infraestructura, instalaciones fsicas usadas por el sistema.


o Fallas en el sistema elctrico
o Daos por mal manejo
o No seguimiento de los protocolos pertinentes para el
manejo de equipo
o Problemas en el cableado elctrico de las instalaciones
o Fallas en la instalacin de los equipos de red(mala
configuracin)
o Lugar Inadecuado o inseguro

8.9 AMENAZAS
Documentos E-14:
o
o

Extravo de documentos E -14.


Destruccin de documentos E -14.

o No uso de los protocolos establecidos para transmisin de


los documentos E-14.
o No uso de los protocolos establecidos para digitalizacin
de los documentos E-14.
o Perdida de informacin en la transmisin de los
documentos E-14.
o Perdida de informacin en la digitalizacin de los
documentos E-14.

Documentos FRT:
o
o

Extravo de documentos FRT.


Destruccin de documentos FRT.
37

o No uso de los protocolos establecidos para transmisin de


los documentos FRT.
o No uso de los protocolos establecidos para digitalizacin
de los documentos FRT.
o Perdida de informacin en la transmisin de los
documentos FRT.
o Perdida de informacin en la digitalizacin de los
documentos FRT.
Infraestructura:
o Energa elctrica con un fluido diferente.
o Robo del cableado de las redes.
o Interceptacin de los paquetes que transitan por la red
hacia los servidores.
Equipos electrnicos:
o Daos en el fluido que afectaran los servidores.
o Sobrecarga de trabajo en los diferentes dispositivos de
red (servidores, switches, routers y etc.).
o Lag en las redes (retraso).

8.10 RIESGOS REALES Y POTENCIALES


Documentos E-14:
o Perdida de informacin.
o Errores y omisiones
o Problemas en la transmisin de los documentos E-14.
o Problemas con las redes.
Documentos FRT:
o Perdida de informacin
o Problemas con los servidores.
o Errores y omisiones.
o Problemas con la digitalizacin.
o Problemas con las redes.
Equipos Electrnicos:
o Perdida de los dispositivos (equipos pertenecientes a la
red).
o Interrupcin en la comunicacin de los servidores y los
puntos de acceso al sistema (pcs).
o Baja credibilidad.

38

8.11 CONTROLES EXISTENTES ASOCIADOS


Back-up de los servidores.
Utilizacin de plantas elctricas y UPS.
Validacin del funcionamiento de canales de comunicaciones.
Pruebas de los canales y procesos de transmisin.
Control de acceso a los servidores con Usuario y contraseas

robustas.
Protocolos de identificacin y autenticacin entre transmisores y
receptores.
Implementacin de protocolos de seguridad.
Contratacin de proveedores de servicios confiables (internet,
telefona).
Utilizacin de hardware ptimo para el sistema.
Utilizacin de hardware actualizado en el sistema.

8.12 CONTROLES PROPUESTOS


Toma de datos necesarios para la realizacin de back-ups de
seguridad para impedir la perdida de informacin.
Establecer medidas de prevencin como el uso de plantas
elctricas y UPS en caso de problemas elctricos o faltas de
suministros
Revisin de las instalaciones para verificar que cumpla con
todas las normas establecidas para una correcta instalacin de
un cableado de redes.
Realizacin de simulacros, para preparar al personal en caso de
problemas.
Validacin de Versiones del aplicativo y su configuracin, con el
fin de mejorar el equipo y su rendimiento, adquiriendo antivirus
con licencia original, todo esto previniendo que se generen
filtraciones en la red.
Protocolos de identificacin y autenticacin entre transmisores
y receptores, utilizando mtodos como la encriptacin para
mantener segura la red.

8.13 COSTOS
Costos Fsicos

Conexin a internet 31 Mbs (Proveedor Claro o Une) = 300.000


pesos
2000 metros de clave RJ45 = 2.000.000 pesos
39

8 Cisco Router 1.325.988 cada uno = 10.607.908 pesos


28 Cisco Switches 331.262 cada uno = 9.275.362 pesos
12 Cabinas para equipos de red pequea = 3.478.260 pesos
4 Cabinas Grandes = 4.886.128 pesos
Estimados 675 Computadores de 1.500.000 = 1.012.500.000
pesos
4 Cerraduras Biomtricas de Huella para proteccin de cabinas
= 1.325.051 pesos

Costos Lgicos

Antivirus ESET Smart Security 2014 Edition - 3 Users =


21.849.173 pesos
Sistemas operativos Windows para 675 Computadores
145.041.322 pesos
Bases de datos Oracle 82.644.628 pesos
Sistemas operativos de servidores 1.859.504 pesos

40

9. CONCLUSION
Mediante este trabajo pudimos observar detalladamente el
proceso de una auditoria de sistemas, pudimos presenciar todos
los factores que juegan parte importante en el correcto desarrollo
de un caso de estudio y un anlisis de riesgo, vimos la importancia
de usar normas como la norma ISO 17799 2005 para establecer
los dominios y as tener una mejor comprensin del sistema y
desarrollarlo de una manera ms eficaz, se observ la importancia
que tiene el estar a la vanguardia con la tecnologa y como esta
nos puede facilitar en los procesos que vivimos, en este caso las
elecciones presidenciales de la republica de Paraguay.

41

10.

BIBLIOGRAFIA

Elecciones presidenciales de Paraguay - [Consultado 14 -10


-2014] [En lnea]
http://www.eleccionesparaguay.com/eleccionespresidenciales-paraguay.php
Desarrollo de un caso de estudio [Consultado 15-10-2014] [
En lnea] https://explorable.com/es/diseno-de-investigacionde-un-estudio-de-caso
Metodologa anlisis de riesgo [Consultado 16-10-2014] [En
lnea] http://www.sisteseg.com/files/Microsoft_Word__METODOLOGIA_DE_ANALISIS_DE_RIESGO.pdf
Estudio de redes [Consultado 16-10-2014] [En lnea]
http://www.areatecnologia.com/redes-informaticas.htm

42