P á g i n a 1 COMPILACIÓN BIBLIOGRÁFICA ESTANDARES, ENFOQUES Y DIRECTRICES DE AUDITORIA DANIEL MAURICIO HERNANDEZ GARCIA COD:

Transcripción

1 P á g i n a 1 COMPILACIÓN BIBLIOGRÁFICA ESTANDARES, ENFOQUES Y DIRECTRICES DE AUDITORIA DANIEL MAURICIO HERNANDEZ GARCIA COD: UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍAS Programa de Ingeniería en Sistemas y Computación MANIZALES 2010

2 P á g i n a 2 COMPILACIÓN BIBLIOGRÁFICA ESTANDARES, ENFOQUES Y DIRECTRICES DE AUDITORIA DANIEL MAURICIO HERNANDEZ GARCIA COD: PROFESOR: ING. CARLOS HERNÁN GÓMEZ GÓMEZ ASIGNATURA: AUDITORÍA INFORMÁTICA UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍAS Programa de Ingeniería en Sistemas y Computación MANIZALES 2010

3 P á g i n a 3 Tabla de contenido INTRODUCCIÓN... 4 MARCO TEORICO... 5 IT MARK... 6 DESCRIPCIÓN... 7 GESTION GENERAL:... 7 SEGURIDAD DE LA INFORMACIÓN:... 8 LA MADUREZ DE PROCESOS DE SOFTWARE Y SISTEMAS:... 8 EVALUCION DE IT MARK... 9 NIVELES IT MARK I.T. Mark I.T. Mark Premium I.T. Mark Elite BENEFICIOS DE IT MARK COMPARATIVO IT MARK - COBIT SOA BENEFICIOS DE SOA ELEMENTOS IMPORTANTES DE SOA CAPA DE SOA GOBIERNO SOA COMPARATIVO SOA COBIT RESUMEN IT MARK SOA CONCLUSIONES Y OBSERVACIONES REFERNCIAS... 25

4 P á g i n a 4 INTRODUCCIÓN Las empresas que se desenvuelven en el mercado de TI para tener un buen rendimiento, deben garantizar que sus productos sean de muy buen calidad y tener reconocimiento en el mercado ya que esto genera confianza a los posibles clientes, que no quieren arriesgar sus negocios con el manejo de la información, lo cual los lleva a buscar empresas que demuestran su calidad y capacidad de respaldo. Por lo anterior en la actualidad las pequeñas y medianas empresas de TI se han visto obligadas apoyarse en mejores prácticas en el desarrollo de los procesos que llevan a cabo dentro de dichas empresas, por lo cual simple están en una constante búsqueda de calidad las cuales pueden soportar obteniendo acreditaciones acerca de sus productos y de los procesos que realizan, para poder estar en capacidad de ofrecer a los clientes productos seguros y confiables y así mismo ir adquiriendo una mayor reconocimiento en el mercado. La certificación del Modelo IT Mark ayuda a las PYMES a abrirse más mercado en el entorno que se desenvuelvan, ya que están en las capacidades demostrar que sus procesos son desarrollados con las mejores prácticas del entorno. Al igual en la actualidad para que las empresas de TI se encuentren altamente competitivas en el mercado deben estar enfocándose en SOA, que es la arquitectura orientada a servicio, ya que se ha venido popularizando en la última década gracias a la WEB.

5 P á g i n a 5 MARCO TEORICO European Software Institute (ESI), centro integrado en la Corporación Tecnológica TECNALIA, ha iniciado la comercialización internacional de I.T. Mark, certificado que acredita la calidad y madurez en sus procesos de aquellas PYMEs que se dedican a la producción y mantenimiento de Sistemas en el sector de las Tecnologías de la Información (T.I.). IT Mark tiene como objetivo mejorar la efectividad organizacional y el éxito en el mercado mediante la mejora de sus procesos. El servicio proporciona conocimiento sobre las capacidades técnicas y gerenciales de la organización a través de la identificación de fortalezas y debilidades, así como del descubrimiento áreas a mejorar de acuerdo con sus metas de negocio. El Certificado I.T. Mark permite a una PYME del Sector de T.I. demostrar a sus Clientes existentes y potenciales que una autoridad mundial independiente en Ingeniería del Software, como es European Software Institute, ha examinado sus procesos tanto de Gestión como Técnicos y los ha encontrado de calidad. SOA (Service Oriented Architecture) es un concepto de arquitectura de software que define la utilización de servicios para dar soporte a los requisitos del negocio. Permite la creación de sistemas altamente escalables que reflejan el negocio de la organización, a su vez brinda una forma bien definida de exposición e invocación de servicios (comúnmente pero no exclusivamente servicios web), lo cual facilita la interacción entre diferentes sistemas propios o de terceros. SOA es un marco de trabajo conceptual que permite a las organizaciones unir los objetivos de negocio con la infraestructura de TI integrando los datos y la lógica de negocio de sus sistemas separados. Desarrollada a finales de los 90, SOA establece un marco de trabajo para servicios de red o tareas comunes de negocios para identificar el uno al otro y comunicarlo.

6 P á g i n a 6 IT MARK Es el certificado de la calidad y madurez en los procesos que se realizan en PYMEs que se dedican a la producción y mantenimiento de Sistemas en el sector de las Tecnologías de la Información (T.I.). I.T.Mark fue diseñado por el European Software Institute y pensado específicamente para Pequeñas y Micro Empresas de T.I., además de basarse en modelos internacionalmente reconocidos y de gran peso en el mercado. IT Mark_ es el primer modelo de calidad internacional diseñado específicamente para las pequeñas y medianas empresas. Es un modelo escalable y muy adecuado para las Pequeñas y Micro Empresas del sector TIC. También tiene como objetivo mejorar la efectividad organizacional y el éxito en el mercado mediante la mejora de sus procesos. El servicio proporciona conocimiento sobre las capacidades técnicas y gerenciales de la organización a través de la identificación de fortalezas y debilidades, así como del descubrimiento áreas a mejorar de acuerdo con sus metas de negocio. El Certificado I.T. Mark permite a una PYME del Sector de T.I. demostrar a sus Clientes existentes y potenciales que una autoridad mundial independiente en Ingeniería del Software, como es European Software Institute, ha examinado sus procesos tanto de Gestión como Técnicos y los ha encontrado de calidad.

7 P á g i n a 7 DESCRIPCIÓN IT Mark se enfoca en 3 perspectivas de la empresa las cuales son: Gestión General. Seguridad de la Información. Madurez de sus Procesos de Software y Sistemas. GESTION GENERAL: Realiza el estudio basado en el modelo 10-squared el cual realiza un estudio de 10 categorías de procesos como son estratégica, comercial, financiera, definición de productos y servicios, conocimiento del mercado, marketing, etc, hasta obtener una visión exhaustiva de la empresa. La evaluación 10-squared cuenta con las siguientes características: Desarrollado por inversionistas de Capital de riesgo. Enfocado a valorar organizaciones. Auto evaluación por la empresa, soportada y conducido por el evaluador. Apuntando en la identificación de áreas claves de mejora y fortalezas en el negocio. Los diez puntos que evalúa se muestran en la siguiente lista. Mercadeo. Administración. Productos y servicios. Ventas, Mercadeo y Distribución.

8 P á g i n a 8 Asuntos Estratégicos. Análisis Financiero. Perfil del cliente y Análisis. Factores de inversión. Producción y Entrega. Industria y Macro entorno. Cada una de estas categorías tiene en cuenta diez elementos, entre los cuales existen algunos elementos críticos, en función del estado de desarrollo de la empresa: Semilla, Start-up, Desarrollo o Expansión. SEGURIDAD DE LA INFORMACIÓN: Se basada en la norma ISO-17799:2005, en la que I.T.Mark define varios niveles los cuales se muestran a continuación: Centrado en la organización de la Seguridad, responsabilidades, requisitos legales (LOPD), y Controles de Seguridad. Exige que la gestión de la seguridad se haya convertido en un proceso estandarizado en la organización. Mejora Continua del Sistema de Gestión de la Seguridad de la Información. LA MADUREZ DE PROCESOS DE SOFTWARE Y SISTEMAS: Esta perspectiva de evaluación se basa en el modelo CMMI (Modelo de capacidad y Madurez).

9 P á g i n a 9 El modelo CMMI no se ha reducido para aplicarlo más fácilmente en PYMEs, sino que se aplica en su totalidad, si bien bajo el modelo I.T.Mark los requisitos de CMMI se interpretan a la luz de las características de las PYMEs. Por la misma razón, las evaluaciones del cumplimiento del modelo son evaluaciones simplificadas de Clases B y C (en terminología CMMI) en lugar de la de Clase A utilizada en las evaluaciones CMMI oficiales. El Modelo IT Mark se compone de 5 partes importantes que son: 1. Sesiones de Conocimiento. 2. Proceso de Evaluación del Negocio. 3. Valoración en Administración de Seguridad de la Información. 4. Valoración en procesos de software y sistemas. 5. Presentación de resultados y oportunidades de mejora. EVALUCION DE IT MARK El proceso de evaluación IT Mark es realizado por medio de evaluadores experimentados y es basado en modelos mundialmente reconocidos. La empresa que este aspirante a la evaluación de IT Mark tiene como pre-requisito la asistencia al seminario IT Mark Overview. La metodología de certificación de IT Mark se compone de 5 aspectos básicos: 1. Evaluación inicial 2. Establecimiento del plan de mejora 3. Evaluación de certificación 4. Certificación 5. Revisión de certificación

10 P á g i n a 10 La evaluación de tiene una duración de 3 días en la Empresa en la cual se realizan las actividades mostradas en la siguiente tabla. DIA 1 DIA 2 DIA 3 MAÑANA Evaluación negocio. del Dirección de la Empresa. Evaluación del Personal de Producción (S/W y sistemas) Preparación informe Final. Solo consultores del TARDE Evaluación Seguridad de Presentación resultados de Responsables Seguridad de Dirección + Producción. Una vez implantadas las mejoras recomendadas, se llevará a cabo una evaluación final que resolverá si la Pyme cumple los requisitos necesarios que acreditan la calidad de sus procesos. La Pyme que alcance el nivel establecido por el modelo IT Mark Standard será acreedora de la certificación IT Mark. Las empresas que en el momento de la evaluación cumplan con los requerimientos de los niveles de IT Mark obtendrán su certificación. La misma se podrá realizar en una segunda ocasión en las empresas que así lo soliciten al término de la implementación de mejora de procesos. Luego de esta evaluación, la casa certificadora se toma 3 meses para verificar posibles cambios y consecuencias de su implementación. Después de las evaluaciones realizadas la casa certificadora determina con qué nivel I.T. Mark debe ser certificada la empresa aspirante.

11 P á g i n a 11 NIVELES IT MARK El esquema I.T. Mark distingue tres niveles posibles, y progresivamente más exigentes, en función de la Madurez demostrada en los procesos de cada PYME. Así: I.T. Mark Acredita a una empresa que es consciente de los problemas relacionados con la gestión técnica, de seguridad y del negocio, y que los mantiene habitualmente bajo control. Para ello se admite que algunas de las áreas de proceso puedan no estar suficientemente elaboradas, trabajándose en el caso particular de los Procesos Técnicos sobre CMMI Nivel 2 y por medio de evaluaciones rápidas orientadas fundamentalmente a la identificación de debilidades (de Clase C). I.T. Mark Premium Acredita a una empresa que ha conseguido una Buena Madurez en sus procesos de trabajo técnico, seguridad y del negocio. En este caso los niveles necesarios son considerablemente superiores a los descritos anteriormente, exigiéndose que todos los procesos evaluados desde los tres puntos de vista están razonablemente desarrollados. Por ejemplo, en el caso de CMMI se utiliza una evaluación bastante detallada de Clase B sobre CMMI Nivel 2, que una vez superada nos facilita una confianza grande de poder superar con un trabajo relativamente escaso la Evaluación Oficial CMMI de Clase A.

12 P á g i n a 12 I.T. Mark Elite Acredita a una empresa que ha conseguido un nivel Superior en la Definición e Institucionalización de sus procesos de trabajo técnico, de seguridad y de negocio, por lo que se confía en que la calidad de sus productos sea buena, debido a la madurez de sus procesos y a la mejora continua. En el caso de Elite, los niveles de exigencia son proporcionalmente superiores, y en caso de CMMI se trabaja sobre el Nivel 3. I.T.Mark está diseñado de forma que define un Camino de Mejora Continua incluso para Micro Empresas, que es totalmente compatible y alineado con el modelo CMMI (como se ve en la figura adjunta), y que ayuda a las empresas en su permanente búsqueda de competitividad en el mercado.

13 P á g i n a 13 BENEFICIOS DE IT MARK Mejorar el desempeño del negocio (desde el punto de vista técnico y administrativo). Ganar reconocimiento en el mercado en cuanto a capacidades de TI. Lograr un diferenciador de mercado por medio de un sello de excelencia: Visibilidad al interior de sus propias capacidades de desarrollo de TI, identificando fortalezas y debilidades, así como oportunidades de mejora. Ruta de mejora a través de los grados sucesivos de madurez y su compatibilidad y complementariedad con otros modelos existentes. Económico, rápido y rentable. El programa incluye valoraciones en Gestión del Negocio y en Seguridad Informática, ignoradas por otros modelos, por encima de los procesos de Software y Sistemas. Basado en modelos reconocidos mundialmente y solidas metodologías probadas, repetibles, confiables y útiles para compararse competitivamente. Un buen mecanismo para avanzar luego hacia una valoración integral de CMMI.

14 P á g i n a 14 COMPARATIVO IT MARK - COBIT IT Mark es una certificación para pequeñas y medianas empresas del sector de TI enfocándose en la madurez de los procesos que se llevan dentro de la empresa para entregar productos de buena calidad a los clientes y en las mejoras continuas que se llevan a cabo dentro de la misma, buscando siempre mejorar la calidad de los productos; COBIT es ya los objetivos de los controles aceptados para las empresas que se encuentran en el sector de Tecnologías de Información como por ejemplo controles para el manejo de la información.

15 P á g i n a 15 SOA SOA no es un concepto nuevo. Los ingenieros software entendieron sus principios a mediados de los 80 cuando llegaron al mercado la computación distribuida y las llamadas a procedimientos remotos. SOA (Service-oriented architecture) fue descrita por primera vez por Gartner en 1996, pero en 2003, SOA entra al fin por completo en el mundo de las TI empresariales, a través de los servicios web. Para Gartner SOA es una arquitectura de software que comienza con una definición de interface y construye toda la topología de la aplicación como una topología de interfaces, implementaciones y llamados a interfaces. Sería mejor llamada arquitectura orientada a interfaces. SOA es una relación de servicios y consumidores de servicios, ambos suficientemente amplios para representar una función de negocios completa. SOA es un estilo de arquitectura empresarial distribuida basado en estándares en el que: Se separan formalmente los servicios de sus consumidores. Los proveedores del servicio publican un contrato que será la base para su consumo. Existe un acoplamiento débil entre proveedores y consumidores de servicios. La Arquitectura SOA establece un marco de diseño para la integración de aplicaciones independientes de manera que desde la red pueda accederse a sus funcionalidades, las cuales se ofrecen como servicios. La forma más habitual de implementarla es mediante Servicios Web. Este estilo de arquitectura enfatiza el uso de servicios de red, seguros, compartibles, de grano fino y desacoplado para incrementar la flexibilidad del negocio de una manera interoperable agnóstica tecnológicamente. SOA utiliza una estrategia tanto de negocio como técnica para exponer la funcionalidad y los datos de negocio tanto dentro de la empresa como con otras.

16 P á g i n a 16 SOA promueve una infraestructura integrada de software y un diseño basado en mejores prácticas. Para Gartner SOA es una arquitectura de software que comienza con una definición de interface y construye toda la topología de la aplicación como una topología de interfaces, implementaciones y llamados a interfaces. Sería mejor llamada arquitectura orientada a interfaces. SOA es una relación de servicios y consumidores de servicios, ambos suficientemente amplios para representar una función de negocios completa. BENEFICIOS DE SOA La reducción de costos y tiempo en el desarrollo de aplicaciones ya que como se mencionó SOA permite reutilizar los módulos de aplicaciones existentes y el código nuevo para generar nuevas aplicaciones. Como consecuencia también se reducen los costos mantenimiento. Dado que todas las aplicaciones pretenden satisfacer un servicio, se incrementa así la calidad del mismo y la productividad de la empresa. Las metodologías que aterrizan el concepto de SOA facilitan la integración entre aplicaciones nuevas así como con los sistemas existentes. Desarrollo de aplicaciones más productivas, flexibles, más seguras y manejables para gestionar procesos de negocio críticos a medida que evolucionan o cambian las necesidades del negocio. Fortalecimiento y consolidación de los procesos de negocio a través de aplicaciones que comparten servicios comunes. En algunas empresas, hay procesos de negocios que necesitan de la misma funcionalidad de una aplicación pero esto se ha resuelto con aplicativos diferentes. Con SOA la misma aplicación apoya procesos diversos. Al desarrollar aplicativos de forma más rápida se obtiene de esa misma manera la información necesaria para acelerar la toma de decisiones de negocio e impulsar la eficiencia operativa dos aspectos indispensables para reaccionar rápidamente ante los cambios permanentes del mercado. La arquitectura SOA permite a las organizaciones satisfacer las cambiantes necesidades de la empresa mediante la implantación de procesos de negocio que utilizan los servicios proporcionados por los sistemas actuales. La arquitectura garantiza la interoperabilidad de los sistemas a pesar de que, en gran parte, hayan sido construidos en distintos momentos, con diferentes intenciones, plataformas y niveles de servicio, y a pesar del hecho de que ahora se encuentren en distintos ciclos de mantenimiento, mejora y presupuesto. Anteriores estrategias de integración entraban en conflicto con estas realidades,

17 P á g i n a 17 pero ahora la arquitectura SOA ofrece un modo de enfrentarse mejor a ellas y de aumentar los niveles de agilidad y flexibilidad. ELEMENTOS IMPORTANTES DE SOA Los elementos necesarios para construir una arquitectura SOA son 4: Operación: Es la unidad de trabajo o procesamiento en una arquitectura SOA. Servicio: Es un contenedor de lógica. Estará compuesto por un conjunto de operaciones, las cuales las ofrecerá a sus usuarios. Cada servicio posee una tarea particular e independiente. Mensaje: Para que un servicio pueda ejecutar una determinada operación, es necesario un conjunto de datos de entrada. Luego de ejecutada la operación, esta devolverá un resultado. Los mensajes son los encargados de encapsular esos datos de entrada y de salida que se envían los servicios unos a otros. Proceso de negocio: Son un conjunto de operaciones ejecutadas en una determinada secuencia (intercambiando mensajes entre ellas) con el objetivo de realizar una determinada tarea. CAPA DE SOA Generalmente cuando construimos una Arquitectura SOA, es importante crear una capa de datos que sirva de base para la misma y evite en la medida de lo posible todas esas inconsistencias (a veces se le denomina Modelo Común de Datos o CDM). A la hora de diseñar servicios web que luego sirvan como base para crear orquestación de los mismos (y así generar valor añadido a las empresas con los procesos de negocio), para que sean fácilmente reorganizados o re orquestados según surjan las

18 P á g i n a 18 necesidades (en este punto, es donde SOA muestra su potencial); es necesario que tengan una base de datos totalmente orientados a negocio. Así, cuando hablemos de datos a este nivel, deberíamos hablar de conceptos totalmente relacionados con el negocio de la empresa, a un nivel lógico y funcional (tipos de datos como cliente, contrato o servicio ). La abstracción con una capa de datos permite ocultar la complejidad de los mismos, permitiendo una estructura totalmente organizada a nivel del middleware. El resultado de esto, es que una aplicación o servicio puede pedir datos a nivel lógico y de una manera totalmente organizada sin preocuparse por la capa más física. Normalmente esta capa de datos, se construye con XML, pues es un estándar muy fácil de utilizar y que permite generar datos complejos (a la granularidad deseada) independientes de la capa física. Para ello, se utilizan esquemas de datos XML (conocido como XSD). Existen ya estructuras de datos XML a nivel de negocio totalmente estandarizadas por distintas empresas (ejemplos como ACORD para seguros, HR-XML para Recursos Humanos, etc ), aunque la definición de una estructura totalmente orientada al negocio de una empresa por la gente que tiene el conocimiento de la misma suele ser la mejor opción (a partir de una estructura de datos particular, si fuera necesario, siempre existen maneras de transformar los datos a otras estructuras sean más estándar de facto o no que la propia de cada uno). Por esto generalmente la creación de una capa de datos en la creación de una Arquitectura SOA es un beneficio a la misma, ya que en caso de ser necesario reordenar los datos a nivel físico (cosas como por ejemplo, la restructuración de una base de datos) no debería afectarle a nivel lógico y por tanto tampoco a las aplicaciones y servicios construidos por encima. GOBIERNO SOA Al final, las organizaciones dependen de la información: la información adecuada para las personas adecuadas en el momento adecuado. Por este motivo, la calidad de la información es lo primero que debe asegurarse. Muchas organizaciones experimentan dificultades derivadas de inconsistencias y arquitecturas con información defectuosa. Este problema se debe solucionar porque de lo contrario, los sistemas que se apoyan en una arquitectura SOA sólo conseguirán gestionar la información equivocada de una manera más eficaz. En otras palabras, una arquitectura SOA no puede resolver los problemas causados por una arquitectura corporativa defectuosa; es necesario planificar y gobernar adecuadamente la arquitectura para garantizar la coherencia de los datos maestros, la clara comprensión de la propiedad de los datos y la armonización de las reglas de negocio y de las taxonomías.

19 P á g i n a 19 Conviene destacar además, que la creación de los nuevos servicios debe respetar los principios establecidos de diseño. La arquitectura SOA depende de una vinculación flexible y no estricta, de los servicios, con el fin de garantizar que la modificación de un servicio no afecte a los otros. Como consecuencia, las decisiones de diseño se deben tomar respetando el plan original, para poder retener la deseada flexibilidad de vinculación de servicios. Es imperativo contar con una estructura de gobierno efectiva para el conjunto de la arquitectura corporativa, que asegure que la estrategia SOA se implante y ejecute para obtener los beneficios esperados. Para ello, es necesario actuar en todos los frentes: organización, metodología, herramientas y procedimientos. También se deben tener en cuenta algunos estándares o leyes al momento de adoptar SOA son: Conformidad con los estándares o leyes: Los sistemas requiere la revisión para probar su conformidad a las regulaciones como [Sarbanes-Oxley]. En un SOA, el comportamiento del servicio es a menudo desconocido. Cambie a gerencia: cambiar un servicio tiene a menudo consecuencias imprevistas mientras que los consumidores del servicio son desconocidos a los abastecedores de servicio. Esto hace un análisis del impacto para cambiar un servicio más difícil que generalmente. Asegurar la calidad de servicios: La flexibilidad de SOA de agregar nuevos servicios requiere la atención adicional para la calidad de estos servicios. Esto se refiere a la calidad del diseño y a la calidad del servicio. Pues los servicios invitan a menudo otros servicios, un servicio que funciona incorrectamente puede causar daño en muchos usos. Algunas actividades dominantes que se mencionan a menudo como siendo parte de gobierno de SOA son: Manejo de la lista de servicios: desarrollo del planeamiento de nuevos servicios y de poner al día servicios actuales Manejo del ciclo de vida del servicio: significó asegurarse de que las actualizaciones de servicios no disturban a consumidores actuales del servicio Usar políticas para restringir comportamiento: las reglas se pueden crear a las cuales todos los servicios necesitan aplicarse, para asegurar la consistencia de servicios Supervisión del funcionamiento de servicios: debido a la composición del servicio, las consecuencias del tiempo muerto pueden ser severas. Supervisando funcionamiento y disponibilidad del servicio, la acción puede ser tomada inmediatamente cuando ocurre un problema.

20 P á g i n a 20 COMPARATIVO SOA COBIT SOA es un modelo de arquitectura orienta a servicio, en el cual se pueden apoyar a las empresas de TI para separar los servicios de los consumidores, para lo cual generalmente se utiliza la red y COBIT realiza un control de la manera como se maneja la información, lo cual tiene que ver ya que en esta arquitectura se debe tener unas reglas para el manejo de la información.

21 P á g i n a 21 RESUMEN IT MARK Es el certificado de la calidad y madurez en los procesos que se realizan en PYMEs que se dedican a la producción y mantenimiento de Sistemas en el sector de las Tecnologías de la Información (T.I.). I.T.Mark fue diseñado por el European Software Institute y pensado específicamente para Pequeñas y Micro Empresas de T.I., además de basarse en modelos internacionalmente reconocidos y de gran peso en el mercado. Este es el primer modelo de calidad internacional diseñado específicamente para las pequeñas y medianas empresas. Es un modelo escalable y muy adecuado para las Pequeñas y Micro Empresas del sector TIC. IT Mark se enfoca en 3 perspectivas de la empresa las cuales son: GESTION GENERAL: Realiza el estudio basado en el modelo 10-squared el cual realiza un estudio de 10 categorías de procesos como son estratégica, comercial, financiera, definición de productos y servicios, conocimiento del mercado, marketing, etc, hasta obtener una visión exhaustiva de la empresa. SEGURIDAD DE LA INFORMACIÓN: Se basada en la norma ISO-17799:2005. LA MADUREZ DE PROCESOS DE SOFTWARE Y SISTEMAS: Esta perspectiva de evaluación se basa en el modelo CMMI (Modelo de capacidad y Madurez). Para la evaluación de IT Mark las empresas aspirantes a la evaluación para la certificación tiene como pre-requisito la asistencia al seminario IT Mark Overview. La evaluación de tiene una duración de 3 días en la Empresa en la cual se realizan las actividades mostradas en la siguiente tabla.

22 P á g i n a 22 DIA 1 DIA 2 DIA 3 MAÑANA Evaluación negocio. del Dirección de la Empresa. Evaluación SPI Personal de Producción (S/W y sistemas) Preparación informe Final. Solo consultores del TARDE Evaluación Seguridad de Presentación resultados de Responsables Seguridad de Dirección + Producción. Después de haber implantado las mejoras recomendadas en la evolución, se realiza una evaluación final la cual se define si certifica la empresa o no. Existen 3 niveles de la certificación IT Mark los cuales son: IT Mark: Acredita a una empresa que es consciente de los problemas relacionados con la gestión técnica, de seguridad y del negocio, y que los mantiene habitualmente bajo control. IT Mark Premium: Acredita a una empresa que ha conseguido una Buena Madurez en sus procesos de trabajo técnico, seguridad y del negocio. IT Mark Elite: Acredita a una empresa que ha conseguido un nivel Superior en la Definición e Institucionalización de sus procesos de trabajo técnico, de seguridad y de negocio, por lo que se confía en que la calidad de sus productos Cada uno de los niveles de la certificación IT Mark está alineado con el modelo CMMI. Los beneficios que se obtienen al momento de lograr la certificación IT Mark se ven principalmente en el desempeño del negocio viendo desde los aspectos administrativos y técnicos, y un mayor reconocimiento de la empresa en el mercado ya que cuenta con un sello de excelencia.

23 P á g i n a 23 SOA La Arquitectura SOA (Service-Oriented Architecture) establece un marco de diseño para la integración de aplicaciones independientes de manera que desde la red pueda accederse a sus funcionalidades, las cuales se ofrecen como servicios. La forma más habitual de implementarla es mediante Servicios Web, una tecnología basada Este estilo de arquitectura enfatiza el uso de servicios de red, seguros, compartibles, de grano fino y desacoplado para incrementar la flexibilidad del negocio de una manera interoperable agnóstica tecnológicamente. Los beneficios más importantes que se adquieren con SOA son: Reducción de costos ya que utiliza el principio de la reutilización de módulos de aplicaciones existentes. Aplicaciones escalables en su desarrollo. Incremento de la calidad de la aplicación y de la Empresa. Dado que todas las aplicaciones pretenden satisfacer un servicio, se incrementa así la calidad del mismo y la productividad de la empresa. Las metodologías que aterrizan el concepto de SOA facilitan la integración entre aplicaciones nuevas así como con los sistemas existentes. Desarrollo de aplicaciones más productivas, flexibles, más seguras y manejables. Fortalecimiento y consolidación de los procesos de negocio a través de aplicaciones que comparten servicios comunes. La arquitectura SOA permite a las organizaciones satisfacer las cambiantes necesidades de la empresa mediante la implantación de procesos de negocio que utilizan los servicios proporcionados por los sistemas actuales En el gobierno de SOA los más importante es el manejo de la información, esto quiere decir que se debe garantizar que la información que se le entregue a los usuarios sea correcta a las personas correctas y en los momentos adecuados.

24 P á g i n a 24 CONCLUSIONES Y OBSERVACIONES La certificación IT Mark, evalúa que los procesos dentro de la empresa como técnico, de seguridad y de negocio sean realizados aplicando prácticas de alta calidad, que garanticen que el producto final, va a cumplir con un alto nivel de calidad, por lo que el cliente tendrá mas confianza en la organización. IT Mark ofrece las posibilidades a las PYMES de que se sostengan en el mercado, ya que les da la posibilidad de garantizar sus productos. SOA a modificado la manera de el desarrollo de nuevas aplicaciones. SOA permite cumplir con las demandas de los clientes actuales ya que estos necesitan soluciones flexibles, rápidas y que permitan la integración con otras aplicaciones ya existentes. Este modelo de arquitectura SOA se popularizo con la Web.