IT BSC Y ESTANDARES AMERICANOS FIPS, NIST, ITL, DOD Auditoria informática

Transcripción

1 2010 IT BSC Y ESTANDARES AMERICANOS FIPS, NIST, ITL, DOD Auditoria informática Juan Carlos Toro Giraldo Universidad de Caldas 06/10/2010

2 Contenido A. INTRODUCCION... 3 B. HISTORIA Y EVOLUCIÓN... 4 C. DESCRIPCIÓN GENERAL DE LA TEMÁTICA D. DESARROLLO DE LA TEMÁTICA... 8 IT BALANCE SCORE CARD... 8 ORIENTACIÓN A LOS CLIENTES... 8 EXCELENCIA OPERACIONAL... 9 CONTRIBUCION A LA ORGANIZACIÓN... 9 ORIENTACION FUTURA... 9 Misión de la GSTI... 9 Las metas de la GSTI... 9 Indicadores... 9 El Mapa Estratégico para la GSTI Perspectiva de Excelencia Operacional Perspectiva de Orientación Futura Perspectiva de Orientación a los Ciudadanos y Usuarios Internos Perspectiva de Contribución a la Organización RECOMENDACIONES PARA LA SELECCIÓN DEL MEJOR SOFTWARE PARA SU BALANCED SCORECARD ESTANDARES AMERICANOS FIPS, NIST, ITL, DOD Estándares Federales de Procesamiento de la Información (FIPS) Instituto Nacional de Normas y Tecnología (NIST) Departamento de Defensa de los Estados Unidos (DOD) Laboratorio de la Tecnología de la Información (ITL) E. COMPARATIVO BSC Y COBIT CONCLUSIONES BIBLIOGRAFIA RESUMEN

3 A. INTRODUCCION La gestión estratégica es quizás una parte importante y difícil en la gerencia de una empresa, el presente trabajo quiere mostrar una perspectiva y una descripción de del método para apoyar la gestión estratégica en las organizaciones BSC (balanced Score Card) y el IT BSC que es utilizado para la organización en el área de tecnologías de información. Además se dará una breve descripción de los estándares americanos FIPS, NIST, ITL, DOD. 3

4 B. HISTORIA Y EVOLUCIÓN El BSC fue desarrollado por Robert Kaplan (profesor de contabilidad de la Escuela de Negocios de Harvard) y David Norton (consultor especializado en gerencia de intangibles y estrategia) cuando trabajaban en un proyecto patrocinado por la división de investigación de KPMG y Nolan, Norton & Co., que pretendía explorar nuevas formas de medir el rendimiento organizativo para Analog Devices, una empresa del sector de semiconductores (Kaplan y Norton, 1992, 2004). Esta herramienta surgió porque los modelos de desempeño tradicionales, que dependían fundamentalmente de las valoraciones de la contabilidad, no explicaban el impacto que tenían los activos intangibles en el rendimiento de las empresas, especialmente en aquellas en que existía una fuerte intensidad tecnológica. La breve historia y rápida evolución del BSC se inicia el 1992 con la publicación de The Balanced Scorecard: Measures That Drive Performance en la Harvard Business Review. Este documento causó un gran impacto entre académicos y directivos, a tal punto que se hizo merecedor del premio al mejor artículo del año por dicha revista. En esta trayectoria de surgimiento y evolución del BSC como herramienta de dirección y gestión empresarial se pueden encontrar cuatro etapas o generaciones diferenciadas. La primera etapa es la que se centra fundamentalmente en el performance o desempeño de la empresa, en el sentido de establecer distintos indicadores que nos permitan medir su alcance. En la segunda etapa el BSC trata de incluir la visión estratégica en este conjunto de indicadores. En la tercera fase, se unifican los objetivos con los indicadores, a partir de unas relaciones causa-efecto y se establecen los mapas estratégicos. Por último, la cuarta etapa hace referencia al alineamiento estratégico, siendo éste último el tema medular de esta generación de BSC. Kaplan y Norton, ubicados en la escuela de Harvard, tienen la tradición de utilizar la revista Harvard Business Review como medio para difundir sus ideas e investigaciones. Sus artículos son escasos en otras revistas académicas, dónde sí se hallan artículos de otros autores, bien criticándolos o bien presentando sus resultados y modelos alternativos (igual que los clásicos trabajos de estrategia de Michael Porter). Adicionalmente los artículos presentados por Kaplan y Norton han ido acompañados de la publicación de cuatro libros de la serie de BSC que se apoyan en más de 300 experiencias de empresas que utilizan la herramienta. 4

5 C. DESCRIPCIÓN GENERAL DE LA TEMÁTICA. El Balanced Scorecard o Cuadro de Mando Integral es una herramienta muy útil para la dirección de empresas en el corto y en el largo plazo. En primer lugar, porque al combinar indicadores financieros y no financieros permite adelantar tendencias y realizar una política estratégica proactiva. En segundo lugar, porque ofrece un método estructurado para seleccionar los indicadores guía que implica a la dirección de la empresa. Los sistemas de control de gestión de la mayoría de las organizaciones son construidos en torno a indicadores y metas financieras que tienen poca relación con el progreso en el logro de los objetivos estratégicos de medio y largo plazo. Estos sistemas de control de gestión tradicionales, no ayudan a contrarrestar la natural tendencia de las organizaciones a no accionar los objetivos de largo plazo con la misma intensidad y oportunidad que los de corto plazo. De esta manera, el énfasis que las organizaciones colocan en sus objetivos financieros de corto plazo generan una brecha entre el desarrollo de la estrategia y su implementación. El uso de Balanced Scorecard impide que solamente se usen indicadores financieros para evaluar el desempeño de una organización. El Balanced Scorecard permite introducir cuatro procesos de gestión que separadamente, y en conjunto, contribuyen a enlazar o conectar los objetivos estratégicos de largo plazo con las acciones de corto plazo. En Estados Unidos, Europa y Asia se está utilizando el Balanced Scorecard tanto por las grandes corporaciones como en las empresas medianas. En Colombia varias multinacionales ya lo han implementado y se espera que en un par de años su uso se extienda en nuestro país. El Balanced Scorecard permite contemplar y proporciona información de la empresa sobre cuatro ángulos diferentes e importantes: 2.1 Perspectiva del Cliente o Consumidor: qué esperan de la empresa? El buen Servicio al cliente es muy importante y es la base para poder permanecer en un mercado competido. Es probable que la Misión destaque sobre este particular. Los clientes esperan productos de óptima calidad, con un costo adecuado, que se entreguen a tiempo y que su rendimiento sea el convenido. 2.2 Perspectiva Interna: en qué podemos destacarnos? 5

6 Qué hacer dentro de la empresas para cumplir con las expectativas de los clientes? Los Procesos de la empresa deben estudiarse y evaluarse para conseguir la satisfacción de los consumidores. 2.3 Perspectiva de la innovación o aprendizaje: Qué se debe continuar mejorando? La competencia es feroz en este nuevo milenio, por ello la empresa debe ser apta para innovar y mejorar. Los productos cumplen su ciclo de vida y es necesario disponer de unos nuevos, con capacidades mayores y atractivas. 2.4 Perspectiva Financiera: Qué esperan los accionistas? Quienes invierten su dinero esperan, en forma legítima un rendimiento adecuado. Si esto no se complace, es probable que inviertan su dinero en una empresa diferente. El cumplimiento de los cuatro pilares del Balanced Scorecard contribuye en mucho a: la motivación de los empleados; mejorar todas las etapas de la cadena de valor; satisfacer las expectativas de los clientes y conseguir su lealtad; y por último, a ofrecer mayores rendimientos económicos a los accionistas. Posterior a la definición de los pilares de las cuatro perspectivas, al integrar las diferentes estrategias de control y tomar decisiones de sobre las mismas, estas permiten redireccionar la organización adecuadamente. Al mejorar en las perspectivas del Cliente-Mercado y del Proceso Interno, la organización debe mejorar en su perspectiva Financiera. A manera de resumen se puede decir que mejorando (controlando) el aprendizaje (Investigación y Crecimiento), se mejoran las relaciones con los clientes y la producción interna (procesos); lo cual se reflejará en una situación financiera ideal. 2.5 Proceso General de Construcción de un Balanced Scorecard y aplicabilidad La construcción de un BSC, tal como se mencionó es el resultado de un análisis detallado de la organización y de una definición estratégica clara y coherente. El Profesional responsable de su aplicación no puede partir de la definición solitaria de indicadores sin tomar en cuenta la verdadera utilidad y conexión con los objetivos organizacionales de la compañía ó viceversa. La metodología general para construir un Balanced Scorecard parte de la definición de la VISIÓN y MISIÓN de la Empresa; resaltando que para ello es recomendable realizar un diagnostico interno y de su entorno de mercado previos. 6

7 Con estas definiciones claras los estrategas definen los objetivos organizacionales, a los cuales se les determina de periodo y metas. Sobre dichos objetivos organizacionales se plantean las ESTRATEGIAS que conducirán al logro de los mismos. a cada una de estas estrategias y objetivos organizacionales se les plantean los indicadores de control necesarios, y es allí en donde al integrarlos mediante un cuadro de mando, se construye y ajusta el definitivo Cuadro de Mando Integral o Balanced Scorecard. De lo expuesto podemos deducir que el Balanced Scorecard pretende ir más allá del clásico cuadro de mando, ya que es algo más que un conjunto de indicadores que informan de la marcha de los aspectos más relevantes de la organización. El Balanced Scorecard pretende traducir la estrategia y la misión en un conjunto de indicadores que informan de la consecución de los objetivos. Además, y esta es una de las principales contribuciones de este instrumento, se pretende identificar las relaciones causa-efecto que provocan los resultados obtenidos. Por tanto, se trata de obtener información relevante sobre los principales factores que pueden llevar a la consecución de los objetivos de las universidades. También es muy útil para comunicar la estrategia a toda la comunidad universitaria y para que los objetivos de cada empleado sean coherentes con los de la propia universidad. Otras aportaciones del Balanced Scorecard que se han resaltado tienen que ver con su potencial como instrumento de formación, de gestión participativa, de motivación e incentivo de los empleados, de mejora continua y de revisión de la estrategia. Con todo ello, se puede contribuir a mejorar la eficacia, la eficiencia y la calidad de las universidades públicas. 7

8 D. DESARROLLO DE LA TEMÁTICA IT BALANCE SCORE CARD El modelo estándar del Balanced Scorecard (BSC), el de Kaplan y Norton, debe ser modificado cuando se trata de aplicarlo a las TI ya que las TI son parte de la organización y participan de la perspectiva financiera aportando valor a la organización. La aplicación de BSC a las TI fue descrita por Van Grembergen y Van Bruggen (1997) and Van Embergen and Timmerman (1998). La Tabla 1 muestra el estándar IT BSC. La perspectiva Orientada a los Usuario presenta la evaluación del usuario de las TI. La perspectiva de Excelencia Operacional representa los procesos TI empleados para el desarrollo y provisión de aplicaciones. La perspectiva de Orientación Futura se refiere a los recursos humanos y tecnológicos que las TI necesitan para la provisión de sus servicios. Finalmente, la perspectiva de la Contribución al Negocio indica el valor para la organización de las inversiones en TI. Tabla 1- IT Balanced Scorecard ORIENTACIÓN A LOS CLIENTES Cómo ven los ciudadanos y usuarios el departamento TI? Ser los suministradores de sistemas de información preferidos. Suministradores preferidos de aplicaciones. Suministradores preferidos de 8

9 operaciones o sugeridores de la mejor solución de cualquier fuente Asociación con los usuarios Satisfacción de los usuarios. EXCELENCIA OPERACIONAL Cómo de efectivos y eficientes son los procesos TI? Ofrecer servicios y aplicaciones TI efectivas y eficientes. Desarrollo eficiente y efectivo. Operaciones eficientes y efectivas. CONTRIBUCION A LA ORGANIZACIÓN Cómo ve la organización el departamento TI? Obtener de la organización una inversión razonable en TI. Control del gasto en TI. Valor para la organización de los proyectos TI. Proveer nuevas capacidades de negocio. ORIENTACION FUTURA Cómo están posicionadas las TI para satisfacer las necesidades futuras? Desarrollar oportunidades para contestar a desafíos futuros. Entrenamiento y educación de la dirección TI. Experiencia de la dirección TI. Investigación en tecnologías emergentes. Antigüedad de las aplicaciones. Misión de la GSTI La misión de la GSTI es: La satisfacción del ciudadano a través de la gestión de servicios de administración electrónica que aporte valor al ciudadano, a los usuarios internos, a la organización y a la sociedad. Las metas de la GSTI Las metas a alcanzar con la GSTI son: Mejorar la imagen de la Organización mediante el aumento del uso de los servicios y la reducción del coste de los mismos sin renunciar a la calidad y la seguridad. Aumentar el uso de los servicios TI por parte de los ciudadanos y usuarios internos mediante en aumento de la satisfacción de los ciudadanos y usuarios internos. Reducir el coste a largo plazo de la provisión de servicios TI promoviendo la concienciación de los ciudadanos y usuarios internos del coste de los servicios. Indicadores Cada una de estas perspectivas deben ser trasladadas en sus correspondientes métricas y medidas que miden la situación actual. Estas medidas deben ser repetidas periódicamente y confrontadas con las metas y puntos de control que 9

10 han sido fijados con anterioridad. Es muy importante en un IT BSC que las relaciones causa-efecto sean establecidas (véase Figura 1) y que las conexiones entre los 2 tipos de medidas, de resultado y de desempeño, estén claras. Un IT BSC bien construido necesita de estos 2 tipos de medidas. Las medidas de resultados, como la productividad de los programadores (por ejemplo, número de puntos de función por persona y mes), sin medida de desempeño, como la formación de la dirección (por ejemplo, horas de formación por persona y año), no indica cómo los resultados pueden ser alcanzados. Y medidas de desempeño sin medidas de resultados pueden inducir a inversiones sin saber si la estrategia es efectiva. Esta relación causa-efecto debe ser definida para toda la IT BSC como muestra la Figura 1. Para saber si los objetivos propuestos se alcanzan, o en grado se desvían, es necesario partir de unas medidas iniciales de los mismos. En el ejemplo aquí presentado no se dispone de estos valores porque estamos partiendo de una situación en la que no existe GSTI. Suponiendo que esta situación se modificara y se apostara claramente por la GSTI, dependiendo del tamaño de la organización, los valores propuestos con el horizonte en el 2008 podrían ser razonables. Como se puede ver se han definido indicadores tanto para los objetivos estratégicos de alto nivel como para los subobjetivos. En el caso, de los indicadores de los objetivos estratégicos de alto nivel se ha procurado que estos sean indicadores globalizadores de todos los subobjetivos que colaboran con el objetivo estratégico. Figura 1 Relaciones causa-efecto en IT BSC El Mapa Estratégico para la GSTI Un Mapa Estratégico (ME) representa la relación entre los objetivos estratégicos. Para la confección del ME (véase Figura 2) se han definido objetivos estratégicos de alto nivel (con fondo blanco en el ME), a los que acompañan objetivos habilitadores de los de alto nivel (con fondo gris en el ME). Los objetivos resultados, los de alto nivel, en cada estrategia son objetivos habilitadores para los objetivos de otras estrategias. Lo que se pretende con esta distribución es reflejar como cada perspectiva influye en la superior. 10

11 Perspectiva de Excelencia Operacional La perspectiva que tiene más relevancia en este proyecto es lógicamente la de Excelencia Operacional. Se han definido 2 estrategias para esta perspectiva: La estrategia de Acuerdos de Nivel de Servicio (ANS) encaminada a conseguir que todos los servicios provistos tengan firmado un ANS y a concienciar a los ciudadanos y usuarios internos del coste de los servicios que reciben. Téngase en cuenta que el caso de la administración no existen ANS como tales, sino que dado que los clientes son, por un lado los ciudadanos y por el otro los usuarios internos, lo que realmente existe es la Carta de Servicio como compromiso de servicio de la Administración frente al ciudadano, y Acuerdos de Nivel de Operación con los usuarios internos. Los ANS propiamente dicho se firman, en el caso de la Administración, con los proveedores, pero en este caso, la Administración es el cliente y no el proveedor de servicios. La estratégia Help Desk encaminada a centralizar la relación con los ciudadanos y usuarios internos y a procurar su satisfacción. Cada una de estas 2 estrategias, que como se ha comentado antes corresponden a objetivos estratégicos de alto nivel, se alinean con cada una de las áreas consideradas por ITIL para la gestión de servicios: La provisión del Servicios (ANS) y el Soporte del Servicio (Help Desk). En el mapa estratégico se ha representado la contribución del resto de los procesos ITIL, transformados en objetivos, al de ANS y al de Help Desk, haciendo que sean estos los que sean objetivos resultados y habili tadores de los objetivos de la perspectiva de orientación futura y de Orientación a los ciudadanos y usuarios internos, respectivamente. Perspectiva de Orientación Futura En la perspectiva de Orientación Futura hemos considerado como objetivo estratégico de alto nivel Aumentar la inversión en la Gestión de Servicios TI. Los 2 subobjetivos de este objetivos son: Aumentar la inversión en infraestructura TI y Aumentar la inversión en RRHH TI. Se considera que la inversión tanto en HW y SW como el RRHH son objetivos habilitadores de la gestión del ANS y del Help Desk, destacando que esta inversión va encaminada a procurar recursos para la gestión de servicios TI. Perspectiva de Orientación a los Ciudadanos y Usuarios Internos En cuanto a la perspectiva de Orientación a los Ciudadanos y Usuarios Internos se pueden hacer las siguientes consideraciones: 11

12 Por un lado, la gestión del ANS implica la gestión financiera de los servicios. En la perspectiva del ciudadano y el usuario interno se ha considerado conveniente hacer partícipe a ambos del coste de los servicios y realizar una facturación virtual del mismo. Con demasiada frecuencia se considera muy dificil evaluar el coste de los servicios, y así es. Pero la gestión financiera de los servicios implica antes de nada la gestión de los activos y la valoración de los mismos, y aunque es dificil, es posible. En España existen algunas experiencias de facturación virtual de los servicios prestados a los ciudadanos. En concreto, la Comunidad Valenciana entrega a los pacientes tras su hospitalización una factura virtual del coste de la estancia en el hospital. Hacer partícipe a los ciudadanos y usuarios internos del coste de los servicios que reciben puede ayudar a un mejor uso de los recursos, y por tanto a aumentar la eficiencia de los servicios. Por otro, una buena atención al ciudadano y usuarios internos redunda en la satisfacción de ambos. Perspectiva de Contribución a la Organización Es evidente que, al igual que en la empresa privada lo que se pretende es que los clientes usen masivamente los servicios ofrecidos porque esto produce beneficios económicos a la empresa, a la Administración lo que más le importa es la consideración que los ciudadanos tengamos de ella. Por eso se ha definido un objetivo estratégico de alto nivel encaminado a Mejorar la Imagen de la Organización, que se basa en 2 subobjetivos. Aumentar eficiencia de los servicios que se espera obtener mediante el uso adecuado de la infraestructura propiciado por la concienciación de los ciudadanos y los usuarios internos del coste de los servicios, Aumentar el uso de los servicios, cuyo objetivo habilitador es la satisfacción de los ciudadanos y usuarios internos. Obsérvese que el objetivo de alto nivel Mejorar la Imagen de la Organización es también un objetivo habilitador de Aumentar la inversión en la Gestión de Servicios TI. Esto es así, ya que cuanto mejor imagen se tenga de la organización debido al uso de las TI para la gestión de servicios, más justificada estará la inversión en Gestión de Servicios TI. Esto es así, ya que cuanto mejor imagen se tenga de la organización debido al uso de las TI para la gestión de servicios, más justificada estará la inversión en Gestión de Servicios TI. 12

13 Figura 2-Mapa Estratégico RECOMENDACIONES PARA LA SELECCIÓN DEL MEJOR SOFTWARE PARA SU BALANCED SCORECARD Evalué aspectos funcionales (conceptuales) y técnicos del software. Utilice listas de verificación (checklist), complemente con preguntas abiertas y entrevistas con el proveedor del software. Revise evaluaciones externas (publicaciones revistas) Compruebe las referencias de los clientes Conozca y evalué la competencia Pregunte por futuras aplicaciones del software Tenga en cuenta la integración con otras aplicaciones de su empresa y/o demás herramientas de apoyo a la toma de decisiones. Investigue antecedentes de la forma como se desarrollo el software. (Viene directamente de los creadores del concepto o es una interpretación de un tercero) 13

14 ESTANDARES AMERICANOS FIPS, NIST, ITL, DOD Estándares Federales de Procesamiento de la Información (FIPS) Son estándares anunciados públicamente desarrollados por el gobierno de los Estados Unidos para la utilización por parte de todas las agencias del gobierno no militares y por los contratistas del gobierno; también son requeridas por organizaciones federales y por compañías que trabajan para éstas últimas para poder asegurar la seguridad de sus datos; los desarrolladores de software y aquellos en busca de soluciones de seguridad, con frecuencia se basan en estas certificaciones en sus decisiones de compra. Los códigos FIPS son un conjunto normalizado (numérico o alfabético) de códigos emitidos por Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards) para garantizar la identificación de las entidades geográficas a través de todos los organismos del gobierno federal. Ejemplos de estándares FIPS: Códigos FIPS de país y región (10-4) Códigos FIPS de lugar (55-3) Códigos FIPS de condado (6-4) Códigos FIPS de estado (5-2) Muchos estándares FIPS son versiones modificadas de los estándares usados en las comunidades más amplias (ANSI, IEEE, ISO, etc.). Por norma, se requiere que todas las agencias del Gobierno de los Estados Unidos Americanos usen soluciones de seguridad que cuenten con certificación FIPS. Muchas organizaciones en el sector privado requieren que sus soluciones de seguridad cuenten con la certificación FIPS ó FIPS 140: Las normas FIPS proveen niveles de seguridad con la intención de cubrir una amplia gama de aplicaciones y entornos potenciales. Los requerimientos de seguridad FIPS cubren áreas relacionadas con el diseño e implementación seguros de un módulo criptográfico. Estas áreas incluyen o Módulo criptográfico del pliego de condiciones: Lo que debe estar documentado o Módulo criptográfico de partes e interfaces: Que información fluye de entrada y salida, y la forma en la que deben estar separados. o Funciones, servicios y la autenticación: quién puede hacer qué con el módulo, y cómo esto se comprueba 14

15 o Modelo de estados finitos: La documentación de los estados de alto nivel el módulo puede estar adentro, y cómo ocurren las transiciones. o Seguridad física: Manipulación de pruebas de la resistencia, robustez y contra condiciones ambientales extremas o Entorno operativo: Qué tipo de sistema operativo utiliza el módulo y por quien es usado o Gestión de claves criptográficas: Generación, entrada, salida, almacenamiento y destrucción de las llaves. o EMI / EMC: Las interferencias electromagnéticas/compatibilidad electromagnética o Auto-pruebas: Lo que debe ser probado y cuando, y lo que se debe hacer si ocurre una prueba falla. o Diseño de garantía: La documentación debe estar proporcionada para demostrar que el módulo ha sido bien diseñado e implementado. o Mitigación de otros ataques: Los módulos están diseñados para mitigar en contra de los ataques diciendo como prepararse por medio de su documentación FIPS 140-1: Emitida el 11 de enero de 1994, fue desarrollado por el gobierno y la industria, compuesto por los proveedores y usuarios de los equipos criptográficos. FIPS 140-2: es un estándar de seguridad de ordenadores del gobierno de los Estados Unidos para la acreditación de módulos criptográficos. FIPS define cuatro niveles de seguridad: FIPS Nivel 1: El más bajo, los requisitos son muy limitados, todos los componentes son "grado producción" y las clases más notorias de inseguridad deben estar ausentes. FIPS Nivel 2: Añade requisitos para la manipulación física de pruebas de función basados en la autentificación. FIPS Nivel 3: añade requisitos para la manipulación física de resistencia de los programas (lo que hace difícil para los atacantes obtener acceso a la información contenida en los módulos) y la identidad basada en 15

16 la autenticación, separando la parte física de la lógica entre las interfaces de autentificación " parámetros críticos de seguridad " para que no puedan entrar y salir del módulo y sus interfaces sin ser restringidos. 5 FIPS Nivel 4: hace que la seguridad física requiera más restricciones y contenga más robustez y solides contra los ataques. Instituto Nacional de Normas y Tecnología (NIST) El enfoque principal de las actividades del NIST en tecnología de la información es el desarrollo de pruebas, mediciones, pruebas de concepto, los datos de referencia y otras herramientas técnicas para apoyar el desarrollo de la central, la tecnología avanzada. Bajo la Sección 5131 de la Gestión de la Información Tecnología de Ley de Reforma de 1996 y la Federal de Seguridad de Información de Gestión de la Ley 2002 (Ley Pública ), el NIST desarrolla normas, directrices y los métodos y técnicas conexos para los sistemas informáticos Federal. incluidas las necesarias para asegurar la relación costo-eficiencia de seguridad y privacidad de la información sensible en los sistemas informáticos Federal cuando no son convincentes los requisitos federales y no hay normas vigentes de voluntarios de la industria. Utilización de normas voluntarias de Industria De conformidad con la transferencia de Nacional de Tecnología y Promoción de la Ley de 1995 (Ley Pública ) y las políticas de la Administración, el NIST apoya el desarrollo de normas voluntarias de la industria tanto a nivel nacional e internacional como la fuente preferida de las normas para ser utilizado por el gobierno federal. El uso de normas voluntarias de la industria elimina el costo para el gobierno de desarrollar sus propios estándares, y promueve la política de confianza en el sector privado para suministrar bienes y servicios al gobierno. NIST colabora con las normas nacionales e internacionales, comités de estándares, los usuarios, grupos industriales, consorcios y organizaciones de investigación y el comercio, para obtener los servicios necesarios desarrollados. Federal Information Processing Standards (FIPS) sólo se desarrollan cuando hay normas voluntarias no existentes para hacer frente a los 16

17 requisitos federales para la interoperabilidad de diferentes sistemas, para la portabilidad de los datos y el software, y de la seguridad informática. Proceso de adopción de FIPS Para asegurar un proceso abierto y una oportunidad para que todas las partes interesadas a hacer observaciones sobre las propuestas de Federal Information Processing Standards (FIPS), el Instituto Nacional de Estándares y Tecnología sigue la regla de los procedimientos de toma el modelo de los establecidos por la Ley de Procedimientos Administrativos. NIST FIPS anuncia la propuesta en el Registro Federal para su revisión y comentarios públicos. Al mismo tiempo que la FIPS propuesta se anuncia en el Registro Federal, también se anunció en las páginas electrónicas del NIST ( A fomentar la evaluación de los funcionarios senior de tecnología de la información, la FIPS propuesta se anuncia en las páginas electrónicas de los responsables de información del Consejo ( El texto y las especificaciones asociadas, en su caso, de la FIPS propuestas se publican en las páginas electrónicas del NIST. Un anuncio en la aprobación de la norma FIPS por el Secretario de Comercio se ha publicado en el Registro Federal, y en las páginas electrónicas del NIST. Laboratorios más importantes de NIST Construcción y Laboratorio de Investigación de Incendios Centros para Nanoscala Ciencia y Tecnología Laboratorio de Química, Ciencia y Tecnología Laboratorio de Ingeniería Eléctrica Laboratorio de Tecnología de la Información Laboratorio de Ingeniería de Fabricación NIST Centro de Investigaciones neutrones Servicios de Tecnología Laboratorio de Física 17

18 Departamento de Defensa de los Estados Unidos (DOD) (United States Department of Defense, abreviado como DoD o DOD y llamado a veces Department of Defense) es el ministerio del gobierno de Estados Unidos encargado de las fuerzas militares del país, en tiempos de guerra y en tiempos de paz. Su director es el secretario de defensa, que forma parte del gabinete presidencial. Su sede central se encuentra en El Pentágono en Arlington (Virginia), cerca de Washington D.C. Este departamento se creó por la fusión del Departamento de la Armada y del Departamento de Guerra en 1947 bajo la presidencia de Harry Truman. El Departamento de Defensa controla actualmente los tres departamentos militares: el Departamento de la Armada (que incluye tanto la Armada como el Cuerpo de marines), el Departamento del ejército (responsable del Ejército) y del Departamento de la Fuerza Aérea (responsable de la Fuerza Aérea). También tiene bajo su tutela al Estado Mayor Conjunto, a los Unified Combatant Command y a algunas otras agencias de defensa como la Missile Defense Agency, que se encarga del escudo antimisiles. El Departamento de Defensa y el Pentágono poseen 700 u 800 bases alrededor del mundo, en 63 países. Sus bases tienen una extensión total de kilómetros cuadrados. El Departamento de Defensa de los Estados Unidos (U.S. Department of Defense- DoD) anunció la aprobación oficial del programa de certificación Certified Ethical Hacker (CEH) como una habilidad base requerida para defensores de la red de U.S.A. Específicamente, el programa Certified Ethical Hacker es requerido para los Defensores de la Red Informática del Departamento de Defensa (DoD's computer network defenders- CND's), una clasificación para personal especializado dentro del equipo de Seguridad de la Información del Departamento de Defensa. Certified Ethical Hacker se encuentra como requisito dentro de la norma 8570 del Departamento de Defensa en el programa de mejoramiento del personal de Seguridad de la Información. La versión actual fue diseñada por el Secretario Asistente de Defensa, John G. Grimes y fue oficialmente instaurado el 25 de febrero de La norma 8570 provee una guía clara para la capacitación sobre la seguridad de la información, la certificación y la administración del personal en todos los componentes del Departamento de Defensa. El grupo de CND s protege, analiza, detecta y responde a la actividad no autorizada dentro de los sistemas de información y redes informáticas de la DoD. Con esta norma, el servicio militar, los empleados y el personal foráneo a través de todas las descripciones de puestos deben mostrar un cumplimiento del 100% 18

19 con la nueva capacitación sobre la certificación Certified Ethical Hacker para el Esto demuestra el enfoque del Departamento de Defensa en una mejor capacitación y preparación de los empleados militares de U.S.A en ésta área. La certificación como CEH demuestra que aquellos que la poseen cuentan con el conocimiento, las herramientas y las técnicas de un hacker, fortaleciendo su frase: para vencer a un hacker debes pensar como él. CEH ha sido seleccionada gracias a su inmensa naturaleza técnica y táctica dijo Jay Bavisi, Co-fundador y Presidente del EC-Council. Es una de las certificaciones más avanzadas técnicamente en la norma para Profesionales de la CND. De hecho, es la única certificación aprobada por cuatro de las cinco categorías para preparar a los equipos CND. Mientras otros programas basados en políticas agregan valor, CEH prepara al equipo de CND de los Estados Unidos para combatir hackers en tiempo real, defendiendo los intereses de los Estados Unidos Globalmente Bavisi agregó: " Hemos estado investigando esta área durante bastante tiempo y ahora con este mandato del Departamento de Defensa, hemos dedicado más tiempo para atacar a los hackers en su propio juego. Estamos llegando a investigaciones sobre técnicas de hackeo más complejas y en el próximo lanzamiento de nuestro programa CEH esperamos mostrar más de 150 módulos, ataques detallados y extremadamente complejos y tácticas defensivas, que ayudarán a elevar el nivel de conocimiento de los equipos CND Laboratorio de la Tecnología de la Información (ITL) El Laboratorio de Tecnología de la Información (ITL) tiene la misión de apoyar a los EE.UU., a su gobierno y a su mundo académico mediante la promoción de la innovación; y la industria mediante la promoción de la ciencia, la tecnología, los estándares de forma que mejoren la seguridad económica y la calidad de vida. ITL ha sido el encargado de llevar a los EE.UU a utilizar IT existentes y emergentes para atender las prioridades nacionales del país como su economía, su amplia base social, sus valores y sus objetivos políticos. Su tarea sigue extendiéndose en virtud de la Ley Federal de Gestión de Seguridad de la Información para elaborar normas de seguridad cibernética, directrices, métodos y técnicas. ITL busca escalar nuevas fronteras en Information Measurement Science para permitir ciencia social, económica y política mediante la colaboración y la asociación con la industria, los círculos académicos, y otros laboratorios NIST para avanzar en ciencia e ingeniería, estableciendo estándares y requisitos para unificar la instrumentación y los experimentos científicos, datos y comunicaciones. En la última década, los avances en la informática y las tecnologías de la 19

20 comunicación han desatado el poder de Internet y para siempre el panorama cambió para el comercio y el gobierno. ITL ha desempeñado un papel importante facilitando esta transformación y se dedica a la preparación de la nación para la siguiente fase de la revolución de la información. Áreas de Investigación de ITL Tecnologías de Redes Avanzadas Seguridad informática Acceso a la Información Matemáticas y Ciencias Computacionales Software y Sistemas Ingeniería Estadística 20