T E S I N A INSTITUTO POLITÉCNICO NACIONAL MODELO DE SEGURIDAD PARA EL SERVICIO DE SOPORTE TÉCNICO BRINDADO POR EMPRESAS OUTSOURCING

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS MODELO DE SEGURIDAD PARA EL SERVICIO DE SOPORTE TÉCNICO BRINDADO POR EMPRESAS OUTSOURCING T E S I N A Q U E P A R A O B T E N E R E L T Í T U L O D E : L I C E N C I AD O E N C I E N C I AS D E L A I N F O R M ÁT I C A P R E S E N T A N : A L E J A N D R O C H I A P A S M O L I N A J A V I E R I S R A E L M A R T Í N E Z M E N D I E T A Q U E P A R A O B T E N E R E L T Í T U L O D E : I N G E N I E R O E N I N F O R M Á T I C A P R E S E N T A N : S A R A C A R O L I N A P É R E Z L A R E S J I B R A N T H F R A N C I S C O S A L D I V A R G A R C Í A J O E L S I E R R A P I O MÉXICO. DF

2 Índice Resumen... I Introducción... III Capítulo I. Marco Metodológico Planteamiento del Problema Objetivo General Objetivos Específicos Técnicas e Instrumentos de Muestreo Universo y/o muestra Justificación... 3 Capítulo II. Elementos involucrados en el soporte técnico Outsourcing Definición de Outsourcing Tipos de Outsourcing Ventajas y Desventajas del Outsourcing Importancia del Outsourcing en las Empresas Por que las Empresas solicitan Outsourcing Síntomas en una empresa que requiere un Outsourcing Requisitos que debe de cumplir la empresa que requiere un Outsourcing Proceso de implementación de Outsourcing en una organización Modelo Seguridad Confidencialidad Integridad Disponibilidad Modelo de Seguridad Objetivos del Modelo de Seguridad Control de Acceso Soporte Técnico Que es el soporte Técnico... 12

3 2.3.2 Tipos de Soporte Técnico Help desk Funciones Service Desk (ITSM) Funciones Diferencia un Help desk y un service desk Gestión de niveles de servicio Objetivos Beneficios Proceso Capítulo III. Situación actual de la seguridad en el Soporte Técnico Panorama general del soporte técnico Problemática del soporte técnico Modelos de Help desk Consideraciones Documentación Fallas en la Calidad del Help desk Problemáticas en los recursos humanos Problemáticas en la contratación de personal Problemáticas en el personal mientras labora Problemáticas en el personal que deja de ser empleado Problemáticas en las políticas de seguridad de las empresas Problemática en la Infraestructura Tecnológica Problemáticas con la seguridad de los archivos del Sistema Problemáticas con la aplicación de controles contra software malicioso Protección contra fallos de energía eléctrica o eventos del exterior Problemática en la seguridad del cableado estructurado Problemática en el cambio del resguardo en el equipo Problemática en la generación de respaldos Capítulo IV. Legislación, Mejores Prácticas y Tecnología Legislación Legislación Internacional Legislación Nacional... 42

4 4.2 Mejores Prácticas ITIL ITIL: Descripción y Beneficios Seguridad en ITIL Gestión de Servicios TI Soporte al Servicio Provisión del Servicio ITIL V COBIT Objetivo Control y Objetivos de Control Dominios COBIT y el Soporte Técnico Adquisición e Implementación AI Entrega y Soporte DS Monitoreo y Evaluación ME ISO Finalidad del modelo Beneficios de la implementación de la ISO Proceso de Implementación del ISMS La norma ISO Áreas que se deben cubrir COSO Control interno COSO y el soporte técnico Objetivos de COSO alineados al soporte técnico Actividades de control relacionadas con el soporte técnico Monitoreo relacionado con el soporte técnico ISO : PMI Actividades Características de un proyecto Etapas de la Administración de Proyectos Tecnología Tecnología para la Mesa de Ayuda Características Generales Descripción Detallada... 77

5 4.3.2 Sistemas de automatización del ciclo de vida de TI Funciones principales Ventajas de su uso Tecnología de Seguridad Software de encriptación de datos Tecnología de Monitoreo Herramientas de monitoreo Funciones principales Ventajas de uso Capítulo V. Propuesta de Modelo de seguridad para Empresas de Outsourcing Objetivos del Modelo Finalidad del Modelo Arquitectura del Modelo Bases del modelo Capítulo VI. Aplicación del Modelo de seguridad Net & Services Trantor Generalidades Giro Tamaño y cobertura Tipo de mercado que atiende Servicios actuales que brinda Implantación del Modelo Herramientas de software Medición de resultados Validación de la Operación Ventajas y desventajas Conclusiones Bibliografía Glosario

6 Resumen Hoy en día el uso del Outsourcing se ha extendido en las Empresas, derivado del aumento en los servicios que prestan dichas Empresas y en la necesidad que se tiene por parte de las que los contratan. Se percibe que en México las Empresas de servicio han focalizado mayormente su atención en los procesos operativos, dejando en un segundo plano los aspectos de seguridad. Dentro de los servicios de Outsourcing que más han proliferado, es el servicio de Soporte Técnico (Service Desk), sin embargo muchas Empresas llegan a cancelar o a no concretar los servicios en virtud de la poca experiencia que existe y a los altos riesgos de seguridad que se presentan como producto de no contar con un Modelo de Seguridad que los apoye desde la definición de los servicios, hasta la implementación del mismo. Por lo anterior, el objetivo de ésta Tesina es el de proponer un Modelo de Seguridad para ser implementado dentro de las Empresas de Outsourcing con objeto de que incluya los mecanismos de seguridad adecuados que mitiguen el riesgo de la alteración, robo o borrado de información, problemas de software y hardware que se presenten en los equipos y en la conexión e Internet. Para lograr lo anterior, el trabajo fue estructurado en seis capítulos, siendo el quinto de ellos en donde se da a conocer la propuesta de modelo a la que se llega, producto de la investigación realizada. El modelo contempla 10 fases y 2 controles para el seguimiento y la mejora continua, basados en las mejores prácticas, principalmente ISO e ITIL, en el que se incluye la Detección de necesidades, el Análisis y evaluación de Riesgo, Apoyo de la Dirección, Oficial de la Seguridad de la información, Elaboración de la Política de Seguridad de la Información, Elaboración de procedimientos, instructivos y guías, Controles de las TI, Evaluación y control, Evidencias, Control de la Documentación, Planes de Acción y Sensibilización. Cabe hacer mención que se cuenta con una serie de mejores prácticas que son de carácter general, sin embargo la flexibilidad de las mismas permiten que se adapten a cada una de las Empresas, eliminando duplicidad y favoreciendo el objetivo particular que se persiga dentro de la Empresa, existiendo algunas recomendaciones que llega a contradecirse entre si y es la experiencia del que la implementa, la que determina la aplicación o no de ellas. El acceso a las mejores prácticas no fue fácil, debido al costo que involucra el contar de manera actualizada con las mismas, no obstante cada una de las Empresas que requiera de ellas, debe de evaluar su implementación basados en el costo-beneficio del mismo. La acción de implementar el modelo significa ahorrar tiempo, no perder de vista el objetivo i

7 fundamental en su tarea, acogerse a estándares probados en cuanto las formas de proceder y contemplar cada uno de los pasos necesarios a la hora de ofrecer con certeza, reportes específicamente diseñados para que el cliente pueda mediante los mismos, conocer el estado actual en cuanto a la seguridad, los riesgos o vulnerabilidades a los que el mismo se encuentra expuesto y las alternativas existentes al momento de mitigar el riesgo y ofrecer el servicio de soporte técnico de la mejor manera. El Modelo fue aplicado a la Empresa Net & Services Trantor el cual nos permitió identificar las ventajas y desventajas de dicho modelo y fue gratificante ver que con ciertos mecanismos de seguridad, se garantiza el óptimo cumplimiento de los niveles de servicio y de una manera segura. Si bien este modelo puede parecer muy simple, esto se debe a que todas sus actividades engloban de una u otra forma lo detallado en las normas y estándares presentados, pero bajo un esquema generalizado y adaptable a cada organización. El modelo propuesto es totalmente perfectible, ajustable y que puede ser dimensionado conforme a las particularidades y tamaño de la organización en la cual pueda ser implementado, por lo que dada la gama de actividades consideradas en el modelo, consideramos que este puede ser la base para establecer un Gobierno de TI en las organizaciones que lo utilicen. ii

8 Introducción La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles, la posibilidad de interconectarse a través de redes ha abierto nuevos horizontes a las organizaciones para mejorar su productividad y extenderse mas allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Con la aparición de estas amenazas resulta de suma importancia adoptar medidas que ayuden a mitigar el riesgo de sufrir algún tipo de ataque, con la ayuda herramientas o modelos de seguridad para el control y monitoreo en las aplicaciones, procesos y procedimientos de la empresa. Actualmente la adopción de tecnología en sumamente necesaria en las empresas con el objetivo de automatizar sus procesos y así obtener beneficios y ventajas en el mercado, por tal motivo se surge la idea de proponer de un Modelo de Seguridad en el Soporte Técnico que sea flexible y que permita que la información sea accesible a los destinatarios predeterminados, sea correcta, completa y que esté disponible cuando se necesite. Hoy en día una opción para las organizaciones es la contratación de los servicios de Outsourcing y esto con el objetivo de reducir los costos de operación dentro de la empresa, así mismo una ventaja cuando se contrata una empresa externa es que la misma se especializa en el servicio que ofrece, por lo tanto genera una mayor calidad y eficiencia. Por tal motivo se propone un Modelo de Seguridad en el Soporte Técnico para las empresas de Outsourcing. Para lograr el objetivo la tesina se conforma de los siguientes capítulos: El capítulo I Marco Metodológico trata el planteamiento del problema sobre la propuesta de un modelo de seguridad en las empresas Outsourcing y se enuncia el objetivo principal del desarrollo de esta investigación, la justificación de la problemática concluyendo con la elección de la población y la muestra a aplicar el modelo. En el capítulo II Elementos involucrados en el Servicio de Soporte Técnico se centran y definen todos los conceptos involucrados con el tema de esta tesina a manera de familiarizarse con los mismos tales como Outsourcing, Soporte Técnico y seguridad informática. En la definición de Outsourcing se describen los tipos de servicios que actualmente se están ofreciendo en el mercado, la tendencia que tienen las empresas para tener estos servicios fuera de su operación directa y las ventajas y desventajas que esto les trae. Los servicios de soporte técnico que son susceptibles a llevar al modelo de Outsourcing, así como los niveles mínimos requeridos para considerar adecuados los resultados, basados en estándares del mercado. iii

9 Consideramos los aspectos de seguridad que son recomendados para que la ejecución de estos servicios mitiguen los riesgos potenciales de que se comentan ilícitos en la operación. En el capítulo III Situación actual de la seguridad en el Soporte Técnico se mencionan algunos temas relacionados con los problemas más frecuentes en el servicio de Soporte técnico, desde aspectos relacionados con procesos administrativos como definición de políticas de seguridad hasta aspectos técnicos propios de infraestructura por ejemplo en redes, equipos de cómputo, etc. En el capítulo IV Legislación, Mejores Prácticas y Tecnología se hace referencia a la legislación actual tanto en el ámbito nacional e internacional en los servicios de soporte técnico y la seguridad informática. Se hace mención de las mejores prácticas que existen hoy en día para tomar como guía determinados aspectos que ayuden a tener un control en la seguridad de tecnologías informáticas, la importancia de contar con las mismas y sus relaciones con las empresas de Outsourcing. Complementando el capitulo indica la tecnología disponible para la gestión y seguridad para el servicio de soporte técnico. En el capítulo V Propuesta de Modelo de seguridad para Empresas de Outsourcing se aborda el desarrollo del modelo de seguridad en el servicio en el soporte técnico a una organización, se detalla todo lo necesario para llevar a cabo este modelo y elementos del mismo, haciendo énfasis en los procedimientos que se generan para poder conformarlo. Se presenta un modelo general de operación, que incluye la definición de servicios; la formalización del servicio; Administración de riesgos; implantación; considerando indispensable la labor de monitoreo; seguimiento y evaluación de calidad en la entrega de los servicios. En el capítulo VI Aplicación del Modelo de seguridad Net & Services Trantor se describe la experiencia generada de implantar el modelo directamente en una empresa dedicada al Outsourcing de servicios de soporte técnico, el mapeo de sus procesos y procedimientos contra el modelo de seguridad propuesto y los beneficios que la aplicación de la mayoría de mejores prácticas conlleva a su negocio. Se busca encontrar las ventajas de contar con éste modelo, así como documentar las desventajas de su implementación. Concluyendo con las observaciones sobre las aportaciones de la aplicación del modelo a la empresa Net & Services Trantor; cuyo objetivo es que se establezcan los mecanismos de seguridad adecuados que ayuden a mitigar los riesgos que se presentan al ofrecer el servicio de soporte técnico. iv

10 Capítulo I. Marco Metodológico En el presente capitulo se describe la importancia y el impacto que tienen en la actualidad las empresas de Outsourcing en la prestación de servicios en general, y en especial las que prestan sus servicios en el área de soporte técnico. Las tendencias actuales en México y el mundo respecto a la contratación de empresas de Outsourcing, así como el nivel de satisfacción que de acuerdo a estudios estadísticos presentan estas empresas a la vista de sus clientes y asociaciones de profesionales de tecnología de información. Se mencionan en forma general, la principal problemáticas que enfrentan estas en la prestación de sus servicios y en particular en el área de seguridad. Se describen los riesgos inherentes que conlleva a los clientes de la misma la adopción de esquemas de Outsourcing en especial en la parte de seguridad, en donde ponen en manos de terceros parte de su infraestructura. Las empresas de Outsourcing en general no consideran modelos propios de seguridad, conformándose con adoptar y apegarse a los modelos o lineamientos y esquemas propios de sus clientes. Estos modelos y/o lineamientos no siempre son lo suficientemente robustos para garantizar un nivel de seguridad aceptable. Para solucionar esta deficiencia, se propone un modelo de seguridad para ser implementado dentro de las Empresas de Outsourcing con objeto de que incluya los mecanismos de seguridad adecuados que mitiguen los riesgos de seguridad inherentes a este tipo de servicios. 1.1 Planteamiento del Problema Es indudable la influencia y la importancia que tiene la tecnología informática en el progreso y desarrollo de un país, puesto que abarca diversas áreas como las transacciones comerciales, la comunicación, los procesos industriales, las investigaciones, la seguridad, el gobierno, etc. son éstas las que dependen cada día más de los avances tecnológicos de la informática, ya que manipulan grandes cantidades de información, que en la mayoría de los casos es vital para el desempeño de sus procesos y actividades diarias. Así también como existen aspectos positivos del avance acelerado de las tecnologías en las que se ven beneficiadas las áreas antes mencionadas, a la par han surgido aspectos negativos que han ido abriendo puertas a una serie de comportamientos ilícitos que perjudican a la empresa. Tales como problemas en la integridad de la información, modificando y eliminando datos, el acceso de personal no autorizado y fallas en el hardware y software de los equipos. Debido a lo descrito anteriormente y a la gran importancia que tiene en las organizaciones en el manejo de la información, ésta se convierte en uno de los principales objetivos de ataque de -1-

11 aquellas personas que están en la búsqueda de una oportunidad para aprovecharse de las vulnerabilidades que puedan existir en una organización, sufriendo impacto en lo económico como en la productibilidad de ésta. Como consecuencia de los problemas mencionados las organizaciones han optado por una mejor administración de sus tecnologías y una opción para la misma es la contratación de servicios informáticos, brindados por empresas externas conocidas como Outsourcing con el fin de contar con un área que se encargue de alinear y controlar las tecnologías informáticas o simplemente contar con un servicio de soporte técnico para su infraestructura, y así también reducir costos. Debido a la demanda que ha tenido el servicio de soporte técnico brindado por Empresas de Outsourcing en los últimos años, en esta investigación se desarrolla un Modelo de Seguridad, que sea flexible y que permita el manejo de información de manera confidencial, íntegra y que éste disponible cuando se necesite. Teniendo como objetivo minimizar riesgos a los que se enfrentan las organizaciones, y proporcionarles a todas aquellas que adquieran el servicio la confiabilidad en la infraestructura informática de manera integral y en un menor tiempo. 1.2 Objetivo General Proponer un Modelo de Seguridad para ser implementado dentro de las Empresas de Outsourcing con objeto de que incluya los mecanismos de seguridad adecuados que mitiguen el riesgo de la alteración, robo o borrado de información, problemas de software y hardware que se presenten en los equipos y en la conexión a la red Objetivos Específicos Proporcionar un procedimiento de seguridad capaz de minimizar y resistir intrusiones así como recuperarse de cualquier falla que pueda presentarse. Restringir la utilización y difusión de información solo entre y por aquellos que tienen autorización para hacerlo. Brindar protección contra modificaciones de información no autorizadas, errores e inexactitudes. Permitir que el intercambio de información y/o transacciones entre áreas y personas sea confiable. Definir un estándar mínimo en los niveles de seguridad de los servicios de soporte técnico proporcionados por los Outsourcing. -2-

12 Que las empresas de Outsourcing adopten la metodología propuesta como una estrategia de seguridad para disminuir los riesgos informáticos. Posibilitar el acceso y uso de los sistemas de información cuando sean requeridos. Incrementar los niveles de calidad de servicio ofrecidos por las empresas de Outsourcing. 1.3 Técnicas e Instrumentos de Muestreo En este trabajo de investigación se utilizan dos técnicas la primera es la técnica de observación directa, la técnica de análisis documental y de contenido. En la técnica de análisis de observación se recolectan datos directamente de la realidad donde ocurren los hechos. Para la técnica de análisis documental nos basamos en la obtención y análisis de datos utilizando como instrumentos los materiales impresos, libros y sitios Web. 1.4 Universo y/o muestra Universo: Aquellas empresas de Outsourcing que brindan servicios de soporte técnico. Muestra: La empresa Outsourcing Net & Services Trantor. 1.5 Justificación Hoy en día gracias a la evolución de la tecnología de información se ha generado gran demanda por parte de las organizaciones para que sus actividades sean efectuadas por medio de computadoras, por lo que al mismo tiempo surge la necesidad de que la información y los equipos que las contienen cuenten con la garantía que se encuentran seguros. Por lo que las organizaciones para ahorrarse costos, y dejarlos en manos más especializadas y experimentadas, destinan esta tarea a terceros para que les provean el servicio de soporte técnico. Actualmente en México de acuerdo con IDC la principal firma mundial de inteligencia de mercado, servicios de consultoría, y conferencias para los mercados de tecnologías de la Información, telecomunicaciones y tecnología de consumo, anunció mediante su filial en México que a finales de 2006 el mercado de Outsourcing informático se había incrementado en 15 por ciento respecto de las ventas de El aumento es significativo tomando en cuenta que de 2004 a 2005, este -3-

13 segmento creció 13 por ciento, por lo que se puede asumir que en México se ha ido incrementado año con año las Empresas Outsourcing. En cuanto a la impresión del servicio de Outsourcing de acuerdo con una encuesta de KPMG International, de febrero del 2007 pasado y en la que participaron 650 empresas en 32 países, 47% de los usuarios de este modelo piensa que sus proveedores de servicio le aportan experiencia que antes no tenía, mientras que el 53% restante considera que no es así y que los outsourcers, por muchos conocimientos técnicos que tengan, no entienden el verdadero core business de sus clientes. Asimismo, la publicación InformationWeek realizó a mediados de 2006 una encuesta entre 420 profesionales IT en Estados Unidos, de los cuales 17% dijo que el resultado de adentrarse en una iniciativa de Outsourcing había sido desastroso; en el 33% de los casos, neutral, y para 50% de los encuestados, un éxito. Con lo que respecta a la confianza que se tiene en las empresas Outsourcing Deloitte Consulting encontró que 44% de un grupo de empresas que rescindieron contratos de Outsourcing, lo hicieron porque este esquema no les ahorraba dinero, y 39% de los encuestados por InformationWeek dice que el problema más frecuente de la subcontratación son los costos ocultos. La consultora Ernst & Young presentó el primer estudio que se realiza sobre el delito digital. La encuesta se realizó en 115 empresas de diferentes industrias. La mayoría de los empresarios señalaron que en el 2008 fueron víctimas de un delito digital, el 29% son accesos ilegítimos (virus, malware, datos personales, denegación de servicio), 24% sustracción de dispositivos móviles (Smartphones, PDA, Notebooks, dispositivos externos de almacenamiento), 19% defraudaciones (manipulación y/o acceso de datos), 10% delitos extorsivos o similares, 8% correo electrónico, 6% la propiedad intelectual. Por lo citado anteriormente se genera el interés de que las estadísticas mencionadas se muevan a favor de los servicios que brindan las empresas Outsourcing y sobre todo que los clientes queden satisfechos pudiendo prever y controlar las diversas amenazas que surjan en la infraestructura informática, en la integridad de la información que se maneja en la organización. Para poder lograr que se incremente la confianza en el servicio de soporte técnico que brindan las empresas Outsourcing se debe afianzar mediante un Modelo de Seguridad que permita a la organización contar con una infraestructura estable, firme y segura. -4-

14 Capítulo II. Elementos involucrados en el soporte técnico En este capítulo se describe lo que es un Outsourcing, los tipos de Outsourcing que hay, su importancia, así como sus principales ventajas y desventajas. También se mencionan los principales motivos por lo que las empresas contratan los servicios de Outsourcing, los principales síntomas de una empresa que requiere este tipo de servicio. Existe una gran variedad de modelos de seguridad, así como elementos y bases que comparten y relacionan. En este capítulo se introduce al concepto de un modelo de seguridad que sirve de base para entender el modelo de seguridad en el soporte técnico propuesto. Por otra parte también se mencionan los principales aspectos relacionados con el soporte técnico, la Gestión de Niveles de Servicio, y algunos términos relacionados con el soporte técnico, como Help Desk y Service Desk; según las mejores prácticas de ITIL. 2.1 Outsourcing Basándose en el resultado de la investigación sobre Outsourcing que a continuación se desarrolla, se demuestra que el Outsourcing ha ido cobrando fuerza a través del tiempo y ha logrado hoy en día convertirse en un proceso de gestión que implica cambios estructurales de la empresa en aspectos fundamentales tales como la cultura, procedimientos, sistemas, controles y tecnología cuyo objetivo es obtener mejores resultados concentrando todos los esfuerzos y energía de la empresa en la actividad principal Definición de Outsourcing Según Dorban Chacón (1999), el termino Outsourcing podría definirse, como la acción de recurrir a una agencia externa para operar una función que anteriormente se realizaba dentro de la compañía. Por lo tanto Outsourcing es la transferencia a terceros de actividades no medulares de las organizaciones. Básicamente se trata de una modalidad, según la cual determinadas organizaciones, grupos o personas ajenas a la compañía son contratadas para hacerse cargo de "parte del negocio" o de un servicio puntual dentro de ella 1. Con base en lo anterior se concluye en términos generales que el Outsourcing es la transferencia de determinadas funciones o componentes operativos de procesos a un proveedor externo. 1 Chacón, Dorban. "Outsourcing". Primera Edición, Mc Graw Hill, Caracas, Marzo,

15 Tipos de Outsourcing José de Jesús González Rodríguez en el documento realizado para el Centro de Estudios Sociales y de Opinión Pública menciona que las organizaciones están tomando la decisión estratégica de poner parte de sus funciones en las manos de especialistas, permitiéndoles concentrarse en su negocio. 2 Los servicios de Outsourcing abarcan la mayoría de las áreas de la empresa; de los tipos más comunes son: Outsourcing de los sistemas financieros. Outsourcing de los sistemas contables. Outsourcing las actividades de Mercadotecnia. Outsourcing en el área de Recursos Humanos. Outsourcing de los sistemas administrativos. Outsourcing de actividades secundarias Ventajas y Desventajas del Outsourcing Se señala las ventajas y desventajas del Outsourcing en el libro Outsourcing. La contratación de Brian Rothery. Iam Robertson. Son indudables los beneficios que esta práctica ha traído y traerá al mundo Por ejemplo, se reducirán y compartirán los riesgos gracias a un mayor flujo de información; las compañías estarán dispuestas a pagar por servicios más especializados. 3 Ventajas Al externalizar determinadas funciones de la empresa, se suelen obtener dos principales beneficios: Una mejor calidad de servicio por parte de las empresas que ofrecen el servicio de Outsourcing al contar estas con mayor experiencia en el ámbito de la seguridad y contar con especialistas del sector. Los costos de Outsourcing son inferiores a hacerlo uno mismo, ya que los medios, las herramientas y la tecnología las aporta la empresa contratada salvo previo acuerdo. 2 González Rodríguez, José de Jesús Investigación sobre Outsourcing. Editado por Centro de Estudios Sociales y de Opinión Pública, Madrid, Rothery Brian y Robertson Iam. "Outsourcing": La Subcontratación. Editorial Limusa, S.A, México,

16 Desventajas Como en todo proceso existen aspectos negativos que forman parte integral del mismo. Se pueden mencionar las siguientes desventajas del Outsourcing: Estancamiento en lo referente a la innovación por parte del suplidor externo. La empresa pierde contacto con las nuevas tecnologías que ofrecen oportunidades para innovar los productos y procesos. Las tarifas incrementan la dificultad de volver a implementar las actividades que vuelvan a representar una ventaja competitiva para la empresa. Alto costo en el cambio de proveedor en caso de que el seleccionado no resulte satisfactorio Importancia del Outsourcing en las Empresas El Outsourcing ha logrado desempeñar un papel muy importante como una herramienta en la planificación del crecimiento de las empresas modernas, fundamentalmente para afrontar y responder con rapidez a los cambios en el entorno. 4 Los factores que hacen importante al Outsourcing Mayor eficiencia. Es más económico. Reduce y controla los gastos de operación. Disposición de personal altamente capacitado. Disposición más apropiada de los fondos de capital. Manejo más fácil de las funciones difíciles o que están fuera de control. Concentración de los negocios relacionados con la razón de ser de la compañía Por que las Empresas solicitan Outsourcing Una encuesta de Dataquest realizada en 1999 identificaba los temas clave que motivan las decisiones de Outsourcing, que son, velocidad de introducción en el mercado (time to market), 4 González Rodríguez, José de Jesús. Investigación sobre Outsourcing. Editado por Centro de Estudios Sociales y de Opinión Pública, Madrid,

17 mejora en los niveles de servicio, capacidad para poder centrarse en las competencias empresariales principales, mejora de la eficacia de las Tecnologías de la Información, acceso flexible a expertos y recursos de Tecnologías de la Información, alineación de la estrategia de Tecnologías de la Información y los objetivos del negocio, obtención de experiencia y conocimientos técnicos, implantación de procesos globales, migración a nuevas plataformas tecnológicas, mejora de la competitividad general, acceso a conocimientos de proceso y sectoriales, reducción de los costes y el personal de Tecnologías de la Información, aumento del valor de la empresa ante los accionistas y compartir riesgos Síntomas en una empresa que requiere un Outsourcing De acuerdo al estudio realizado por la empresa Dataquest se encontró que las empresas que requieren de la implantación de un Outsourcing son las siguientes: Empresas recientemente formadas. Empresas que están en proceso de fusión de negocios. Empresas que están implementando nuevos software con nuevos procesos de tecnologías. Empresas con operaciones de negocios en y con diferentes localidades geográficas o países. Empresas con planes de crecimiento y/o desarrollo nacional e internacional. Empresas recientemente adquiridas por nuevos inversionistas. Empresas con permanente incremento de sus costos internos. Empresas con antigüedad importante y que no haya actualizado sus procedimientos y/o procesos internos. En lo referente a los gerentes de empresas: Gerentes que no cuenten con información financiera o contable oportuna. Gerentes que consideren que sus cadenas de procedimientos se encuentran muy complicadas. 6 5 Lara Navarra Pablo y Martínez Usero José Ángel, Outsourcing en las unidades de información de las organizaciones, Abril Gestiopolis, Mitos y realidades del Outsourcing, Mayo

18 2.1.5 Requisitos que debe de cumplir la empresa que requiere un Outsourcing El alcance que debe tener claro la empresa al contratar servicios de Outsourcing debe considerar como mínimo los siguientes puntos. La empresa que contrata el servicio debe disponer de un objetivo claro, cuyo alcance implique ceder al tercero la responsabilidad y el compromiso del área relacionada, para lo cual la Empresa contratada debe posicionarse dentro del organigrama de la empresa. El servicio de Outsourcing debe contratarse por un tiempo limitado, estimado en base a las actividades y fases a desarrollar para alcanzar el objetivo, se considera que no debe establecerse un objetivo cuyo alcance se estime en más de 2 años. La existencia de un canal de comunicación claro, abierto y de alto nivel entre las partes. La disposición de un mecanismo sencillo de evaluación del avance y desempeño del servicio y una política de adaptación o mejora del mismo de acuerdo a las actividades y objetivos. La disposición de un esquema claro de tarifas, costos y manejo de inversión, gastos y adquisiciones. La existencia de transparencia, confianza, satisfacción y buena fe entre las partes, para que éstas puedan sentir que son socias comprometidas de forma proactiva, con un fin común en base a una relación de negocio en la que el beneficio de ambas empresas está estrechamente relacionado Proceso de implementación de Outsourcing en una organización. Para una fácil y efectiva implementación del Outsourcing en el estudio realizado por la empresa Dataquest denominado Outsourcing. Enlista los siguientes pasos para poder llevar a cabo dicha implementación. 8 Claridad de Objetivos Expectativas Realistas Compromiso del cliente Definición detallada de la Cartera de servicios incluidos Definición adecuada de niveles y Modelos de servicio Flexibilidad Financiera Compromiso del Proveedor 7 Lara Navarra Pablo, Martínez Usero José Ángel, Outsourcing en las unidades de información de las organizaciones, Abril

19 Conformidad Gerencial Flexibilidad Económica Flexibilidad Operativa 2.2 Modelo En el diccionario Wesbster se define un modelo como un ente que representa de forma precisa algo que será realizado o que ya existe. Un modelo es una representación simplificada de la realidad en la que aparecen algunas de sus propiedades Seguridad 10 La seguridad de la información se refiere a buscar el cumplimiento básicamente de tres aspectos básicos que se deben preservar o garantizar, y son: Confidencialidad, Integridad y Disponibilidad Confidencialidad La confidencialidad es que la información pueda ser vista por quien tiene ese derecho y de acuerdo al nivel de acceso permitido. En el esquema militar se observa una clara tendencia a garantizar este aspecto de seguridad, debido al nivel de sensibilidad de la información que es manejada por ellos, solo algunas personas que tienen un nivel de clasificación que por lo menos es superior o igual a la información presentada entonces puede tener acceso a esta Integridad La Integridad, se refiere a la forma en que protegemos la información de cambios intencionales o accidentales no autorizados (prevenir que la información se contamine). A través de este control garantizamos que la información es precisa y se mantiene en el estado que los usuarios esperan. Sobre esto lo principal es brindar mecanismos de protección de tal forma que la información se mantenga integra y se puedan prevenir fraudes y errores Disponibilidad La disponibilidad lo que se quiere es garantizar que la información se encuentre lista a ser accedida cuando se necesita. 9 Aracil, Joly. Máquinas, sistemas y modelos. Un ensayo sobre sistémica. Tecnos, Madrid España 1986, 282 p. 10 Pfleeger, Charles. Security in Computing, Security Needs, 2 Edition, Pretice Hall, USA 1996, Chapter 5-10-

20 2.2.2 Modelo de Seguridad Modelo de Seguridad es aquel que nos permite tener una certeza formal de la validez de un esquema de seguridad donde a través de una sustentación matemática (formal) se puede comprobar si un sistema es realmente seguro. En resumen un modelo de seguridad se trata de una definición formal de Políticas, normas, procedimientos, estándares, resoluciones y responsabilidades para la seguridad Objetivos del Modelo de Seguridad El objetivo del Modelo de Seguridad Informática es mejorar la seguridad de nuestra información y de nuestros equipos. La Propiedades que nos interesan son: Confidencialidad, Integridad, Autenticidad Control de Acceso El control de acceso como su nombre lo indica hace referencia a la manera en que se administra el acceso a un recurso compartido. En cuanto al control de acceso de los modelos de seguridad básicamente se distinguen dos grupos. El primero el control de acceso mandatorio (MAC) que determina un conjunto de reglas para ser cumplidas a nivel del sistema. Y el segundo grupo el control de acceso discreto (DAC) en donde se definen las reglas para ser cumplidas a nivel de usuario 11. En modelos MAC los elementos básicos como son los sujetos y objetos tienen un nivel de seguridad asignado que limita su interacción. Los elementos básicos que componen los modelos de seguridad MAC son: Sujetos: Los elementos activos (hacen las operaciones) del sistema como por ejemplo las personas. Objetos: Los elementos pasivos (sobre los cuales hacen las operaciones) como por ejemplo los archivos, discos y memoria. Modos de acceso: Los permisos que tiene los sujetos para operar sobre los objetos. Niveles de seguridad: Los permisos de los sujetos y la clasificación de los objetos. 11 lack5831. Information Security Models, Abril

21 La relación de los modos de acceso con los sujetos y objetos es determinada por una estructura matricial basado en el modelo de matriz de acceso que se desarrolló en los años La estructura matricial se utiliza en los modelos de seguridad para definir el conjunto de operaciones que un sujeto puede hacer sobre un objeto. 2.3 Soporte Técnico Se entiende por soporte a la ayuda técnica necesaria para resolver cualquier problema que pueda tener con el uso o funcionamiento de Software o Hardware Que es el soporte Técnico El Soporte técnico es un rango de servicios que proporcionan asistencia con el hardware y software de una computadora, o algún otro dispositivo electrónico o mecánico. En general los servicios de soporte técnico tratan de ayudar al usuario a resolver determinados problemas con algún producto en vez de entrenar o personalizar. La mayoría de las compañías que venden hardware o software ofrecen soporte técnico de manera telefónica o en línea. Las instituciones y compañías por lo general tienen sus propios empleados de soporte técnico. Existen a su vez múltiples lugares libres en la web respecto a soporte técnico, en los cuales los usuarios más experimentados ayudan a los novatos. El soporte técnico, disponible por teléfono o por , incluye también proporcionar conocimientos técnicos para todas aquellas consultas que requieran un asesoramiento sobre desarrollo, instalación, configuración y mantenimiento del software Tipos de Soporte Técnico El soporte técnico se puede dar por distintos tipos de medio, incluyendo el correo electrónico, chat, software de aplicación, faxes, y técnicos, aunque el más común es el teléfono que regularmente son servicios ofrecidos por una mesa de servicios (Help Desk) Help desk 14 Una formas para brindar soporte técnico es mediante el Help desk, la tecnología Help desk es un recurso de información y asistencia para resolver problemas con computadoras y productos similares, las corporaciones a menudo proveen soporte (Help desk) a sus consumidores vía número telefónico totalmente gratuito, website o . También hay soporte interno que provee el mismo tipo de ayuda para empleados internos solamente. 12 Quezada Reyes Cintia y Gutiérrez Rodríguez Sergio. Políticas de seguridad, Abril Enciclopedia libre Wikipedia. Soporte Técnico, Mayo Enciclopedia libre Wikipedia. HelpDesk, Mayo

22 En la biblioteca de infraestructura de la tecnología de información (ITIL) dentro de compañías adheridas al ISO/IEC 20000, o buscando implementar mejores prácticas de administración en los servicios de tecnologías de información, un Help Desk puede ofrecer un más amplio rango de servicios centralizados y ser parte de un centro de servicio (Service Desk) más grande Funciones Un Help desk tiene varias funciones y una de ellas es proveer a los usuarios un punto central para recibir ayuda en varios temas referentes a la computadora. El Help desk típicamente administra sus peticiones vía software que permite dar seguimiento a las peticiones del usuario con un único número de ticket. Esto también puede ser llamado "Seguimiento Local de Fallos" o LBT por sus siglas en inglés (Local Bug Tracker). Este software, a menudo puede ser una herramienta extremadamente benéfica cuando se usa para encontrar, analizar y eliminar problemas comunes en un ambiente computacional de la organización. Comúnmente se manejan 3 niveles de soporte dentro de un Help Desk, el primer nivel contempla la ayuda remota vía mensajero, website, o alguna herramienta de software para apoyo al Help Desk, el problema reportado intenta resolver por medio de alguno de esos medios, el segundo nivel contempla la ayuda en sitio, si el problema reportado no fue capaz de solucionarse vía remota En un Help desk, el usuario notifica su problema, inmediatamente después se emite un ticket que contiene los detalles del problema; si el primer nivel es capaz de resolver el problema, el ticket es cerrado y actualizado con la documentación de la solución para permitir a otros técnicos de servicio tener una referencia. Si el problema necesita ser escalado, este será despachado a un segundo nivel. Las tareas de un Help desk son las siguientes 15 : Recibir los reportes realizados por usuarios que solicitan un servicio de IT cuando: o o o o Interrumpan la operación normal de trabajo. Requieran soporte sobre el hardware y/o software instalado. Requieran nuevos productos de hardware y/o software. Generen consultas y/o asesoramiento en el funcionamiento y/o utilización de los recursos informáticos disponibles. 15 Soporte Remoto de México. HelpDesk & Service Desk, Mayo

23 Realizar escalaciones de incidentes a los grupos especializados. Corroborar que las soluciones brindadas a los usuarios sean las más adecuadas. Realizar estadísticas de los servicios proporcionados por el Help Desk. Las mismas tienen como objetivo poder realizar un análisis de la actividad del área de informática que tendrá, el mejoramiento del servicio y la operatoria de los usuarios. Planes de contingencia en caso de que un servicio así lo requiera. Control de los inventarios de software y hardware de la organización. Control de la base de datos de los usuarios. Administración de las licencias de software. Desarrollo de manuales de normas y procedimientos Service Desk (ITSM) El servicio técnico (en inglés service desk o también dependiendo de su implicación, call center (centro de llamadas), contact center (centro de contacto) o Help desk es una capacidad fundamental dentro de la Gestión de Servicios IT (ITSM), según se define en Information Technology Infrastructure Library). Su objetivo es proporcionar un "punto único de contacto" o SPOC (Single Point Of Contact), para satisfacer las necesidades de comunicación entre IT y sus clientes, de forma que ambos cumplan con sus objetivos. Muchas organizaciones han implantado un service desk centralizado para gestionar incidencias, dudas, consultas, peticiones, etc. de usuarios y clientes (usuario se refiere al usuario final de un servicio, mientras que cliente es la entidad que está pagando por el servicio). El service desk por tanto gestiona incidencias (eventos que causan o pueden causar una pérdida en la calidad de un servicio) y peticiones rutinarias de nuevos servicios, además de ser el interfaz ante los usuarios de otras actividades ITSM como Gestión de Configuración, Gestión de Cambios, Gestión de Continuidad de Servicios IT, etc. Además debe mantener proactivamente informados a los usuarios de todos los eventos relevantes con el servicio que les pudieran afectar. Difiere de un Call Center o Help Desk en que tiene un alcance mayor y más centrado en el cliente, ya que se encarga de facilitar la integración de los procesos de negocio en la infraestructura IT Osiatis. Curso de Itil, Help Desk, Mayo

24 Funciones El service desk permite tener un mayor control en el área de IT, y definir con mayor precisión las actividades realizadas por cada área de servicio asignando roles a los responsables de dichas actividades que nos proporcionen las siguientes ventajas 17 : Ser el único punto de contacto para clientes y usuarios Facilitar la restauración normal del servicio dentro de los niveles y prioridades establecidas, minimizando el impacto al negocio. Detectar con mayor facilidad puntos de mejora en los servicios proporcionados en IT. Optimizar procesos y procedimientos que permitan reducir los tiempos de solución y la correcta escalación de los mismos. Detectar posibles problemas y dedicar el tiempo que sea necesario para la solución de los mismos. Tener un control de los elementos de que sean parte de la infraestructura para detectar cualquier cambio que se haya generado. Procedimientos de monitoreo y escalación relacionadas con SLA s. Destacar necesidades de capacitación para los clientes. Proporcionar a la administración información y recomendaciones para la mejora del servicio Diferencia un Help desk y un service desk En la actualidad muchas empresas han aumentado su necesidad de tener un Help Desk que no solo cumpla sus necesidades de soporte, sino que aporte información para la toma de decisiones que sea reflejada en los costos y necesidades de la empresa. La evolución de un Help Desk a un Service Desk viene a balancear la parte operativa y estratégica, a fin de generar información que incremente la satisfacción del cliente, se generen acciones de mejora, incremente las utilidades y reduzca los costos Soporte Remoto de México. HelpDesk & Service Desk, Mayo Soporte Remoto de México, HelpDesk & Service Desk, Mayo

25 En base a las actividades que realizan tanto el Help Desk como el Service Desk se pueden establecer la siguientes diferencias: la operación de un Help Desk se limita asegurarse que se tengan los recursos humanos y tecnológicos que permitan satisfacer la demanda de los eventos de sistemas generados por la organización; la administración más allá de controlar única y exclusivamente la demanda debe proveer y tener la capacidad de proyectar el comportamiento de la organización en cuanto a sus fallas operativas y de infraestructura e identificar aquellos problemas que aquejan a la organización. Es decir la administración juega un rol más importante en la toma de decisiones estratégicas que el área de IT pueda llegar a tomar. 2.4 Gestión de niveles de servicio 19 La Gestión de Niveles de Servicio es el proceso por el cual se definen, negocian y supervisan la calidad de los servicios IT ofrecidos. El objetivo último de la Gestión de Niveles de Servicio es poner la tecnología al servicio del cliente. La tecnología, al menos en lo que respecta a la gestión de servicios IT, no es un fin en sí misma sino un medio para aportar valor a los usuarios y clientes. La Gestión de Niveles de Servicio debe velar por la calidad de los servicios IT alineando tecnología con procesos de negocio y todo ello a unos costes razonables. Para cumplir sus objetivos es imprescindible que la Gestión de Niveles de Servicio: Conozca las necesidades de sus clientes. Defina correctamente los servicios ofrecidos. Monitorice la calidad del servicio respecto a los objetivos establecidos en los SLAs Objetivos. La Gestión de Niveles de Servicio es responsable de buscar un compromiso realista entre las necesidades y expectativas del cliente y los costes de los servicios asociados, de forma que estos sean asumibles tanto por el cliente como por la organización IT. La Gestión de los Niveles de Servicio debe: Documentar todos los servicios IT ofrecidos. Presentar los servicios de forma comprensible para el cliente. 19 Osiatis. Curso de Itil, Help Desk, Mayo

26 Centrarse en el cliente y su negocio y no en la tecnología. Colaborar estrechamente con el cliente para proponer servicios IT realistas y ajustados a sus necesidades. Establecer los acuerdos necesarios con clientes y proveedores para ofrecer los servicios requeridos. Establecer los indicadores claves de rendimiento del servicio IT. Monitorizar la calidad de los servicios acordados con el objetivo último de mejorarlos a un coste aceptable por el cliente. Elaborar los informes sobre la calidad del servicio y los Planes de Mejora del Servicio Beneficios Los principales beneficios de una correcta Gestión de Niveles de Servicio son: Los servicios IT son diseñados para cumplir sus auténticos objetivos: cubrir las necesidades del cliente. Se facilita la comunicación con los clientes impidiendo los malentendidos sobre las características y calidad de los servicios ofrecidos. Se establecen objetivos claros y medibles. Se establecen claramente las responsabilidades respecitvas de los clientes y proveedores del servicio. Los clientes conocen y asumen los niveles de calidad ofrecidos y se establecen claros protocolos de actuación en caso de deterioro del servicio. La constante monitorización del servicio permite detectar los "eslabones más débiles de la cadena" para su mejora. La gestión IT conoce y comprende los servicios ofrecidos lo que facilita los acuerdos con proveedores y subcontratistas. El personal del Service Desk dispone de la documentación necesaria (SLAs, OLAs, etc.) para llevar una relación fluida con clientes y proveedores. Los SLAs ayudan a la Gestión IT tanto a calcular los cálculos de costes como a justificar su precio ante los clientes. -17-

27 Lo que repercute a la larga en una mejora del servicio con la consecuente satisfacción de clientes y usuarios Proceso. Las principales actividades de la Gestión de Niveles de Servicio se resumen en: Planificación: o o o o o o Análisis e identificación de las necesidades del cliente. Asignación de recursos. Elaboración de un catálogo de servicios. Desarrollo de SLAs tipo. Herramientas para la monitorización de la calidad del servicio. Elaboración del los Requisitos de Nivel de servicio (SLR), Hojas de Especificación del Servicio y Plan de Calidad del Servicio (SQP). Implementación de los Acuerdos de Nivel del Servicio: o o o Negociación. Acuerdos de Nivel de Operación. Contratos de Soporte. Supervisión y revisión de los Acuerdos de Nivel de Servicio: o o Elaboración de informes de rendimiento. Control de los proveedores externos. Elaboración de Programas de Mejora del Servicio (SIP). -18-

28 Capítulo III. Situación actual de la seguridad en el Soporte Técnico En este capítulo se revisa la situación actual de las empresas de Outsourcing en la prestación de servicios de soporte técnico en general y en particular en la parte de seguridad. En los recientes 30 años se ha generado un avance sin precedente en las tecnologías de información en forma general y de manera particular en los microprocesadores que son, en la actualidad, la base para todos los sistemas de cómputo modernos; no ha sucedido lo mismo con la calidad del servicio prestado a los usuarios por las áreas de información. Para el área de soporte técnico se presenta una problemática muy particular en cuanto a la calidad de los servicios ofrecidos a los clientes o usuarios de los mismos. Esto ha generado un área de oportunidad para crear modelos que permitan mejorar la calidad de este tipo de servicios en especial en aspectos de seguridad. Como opción a esta necesidad surgió el esquema de tercerización o Outsourcing, sin embargo este tipo de esquema sigue conservando una buena parte de la problemática que ya existía y debido a su naturaleza de ser una entidad externa a la organización a la que está dando el servicio, debe adicionar aspectos de seguridad y confidencialidad de la información de sus clientes y de la propia compañía de Outsourcing. El propósito de este capítulo es describir la situación actual de las empresas de Outsourcing que prestan sus servicios en el área de soporte técnico, destacando sus principal problemática, en particular, en el área de seguridad. Esta situación actual, tendencias y problemática será considerada en el modelo de seguridad propuesto como resultado de esta tesina. 3.1 Panorama general del soporte técnico Como se puede observar en la actualidad la tecnología es utilizada por la mayoría de las organizaciones, por lo tanto es necesario adaptarse a los cambios que dicha tecnología sufre día con día, esto significa que los procesos deberían de cambiar a la par. La mesa de ayuda por regla general por tratarse de un área de servicio atraviesa por problemas bastante graves que dañan la imagen de la compañía y del departamento de sistemas (IT). A continuación se describen algunos de los problemas más comunes: A continuación se plantea los dos posibles panoramas en los que se encuentra las organizaciones con respecto al servicio de soporte Técnico. En un primer escenario la organización cuenta con un área de soporte técnico y personal capacitado, contestando las llamadas, resolviendo los problemas de las áreas, dedicando mucho de su tiempo en la solución de conflictos recurrentes, todo esto en forma personalizada, y utilizando valioso tiempo en desplazarse a las áreas correspondientes para resolver situaciones -19-

29 que podrían ser resueltas con una llamada telefónica 20. Además, generalmente no queda constancia del servicio realizado, no se llenan solicitudes de servicio y, si llegan a llenarse, se cuentan con pocos datos significativos que sirvan para la administración eficiente del servicio, al punto que se desconoce incluso la cantidad de usuarios atendidos, de qué área son estos usuarios, cuál o cuáles son los problemas a resolver y cómo se resolvieron. En un segundo escenario, es en el que se encuentra una organización que carece por completo de una infraestructura organizada de servicio; el personal del área de informática tiene como actividad complementaria el atender a los usuarios con problemas en sus equipos, ello principalmente porque no se le ha dado a la mesa de ayuda la importancia que merece como Centro de Contacto con el personal de la empresa, y menos aún a los clientes externos 21. En los dos escenarios nos encontramos con que los usuarios constantemente se quejan del servicio y que al brindar el soporte requerido no es oportuno ni eficiente. 3.2 Problemática del soporte técnico De acuerdo con la investigación realizada por la Universidad de Antioquia en Colombia en el soporte técnico no existe un proceso definido ni un procedimiento de atención de requerimientos, la mayoría de casos se atienden conforme ingresan al Help Desk por prioridad de llamada 22, cuando un técnico recibe una llamada, éste se traslada directamente hacia donde se encuentra el usuario para poder solucionar, dejando el resto de llamadas en cola. Pero aunque pareciera que con llevar un registro de incidencias es suficiente para mejorar la situación; sin embargo, la carencia de un sistema de Mesa de Ayuda nos genera diversos problemas. A continuación se enlistan los problemas actuales que enfrenta el soporte técnico. 1. Falta de control de las incidencias, que se ve reflejada en: Bajo registro de incidencias. Canales informales de ingreso de incidencias. Indeterminación de los niveles de servicio aceptables definidos con las áreas de soporte interno y externo en las distintas especialidades. 20 Ocampo Pérez, Esperanza. Implementación de una mesa de ayuda exitosa, publicado en la revista del Instituto Mexicano de Telemarketing, Agosto de Ocampo Pérez, Esperanza. Implementación de una mesa de ayuda exitosa, publicado en la revista del Instituto Mexicano de Telemarketing, Agosto de Endara Martínez, Francisco. Aplicación de la metodología Seis Sigma sobre un proceso de mesa de ayuda (Help desk), Agosto

30 Dificultad para brindar soporte On-Site, local, nacional e internacional. 2. Falta de control del proceso, que se ve reflejada en: Falta de normatividad y procedimientos para el desarrollo de la tarea diaria de los agentes técnicos. Inadecuada implementación del sistema de Mesa de Ayuda. Inapropiada disposición física de los puestos de atención. 3. Falta de control en la infraestructura instalada: Inexistencia de estadísticas. Inexistencia de encuestas de calidad de atención. Inventario de hardware desactualizado y escaso control del movimiento de equipos. Poco control del software instalado en las estaciones de trabajo. 4. Fallas en la administración de los recursos humanos: Fallas en la supervisión del personal. Falta de capacitación al personal de la Mesa de Ayuda, que se manifiesta en un bajo porcentaje de soluciones en primer nivel. Falta de control en la calidad y bajo volumen de trabajo asignado al personal del área. Para la empresa TELSMA, con más de 15 años ofreciendo el servicio de soporte técnico o o o o o La inadecuada distribución de los recursos hace que un usuario en ocasiones espere por tiempos prolongados El volumen de llamadas que ingresan a la mesa de ayuda son no controlables Como los usuarios no son atendidos se generan re llamados, es decir que por un mismo caso los usuarios llaman más de una vez. No existe un método para evaluar a los técnicos ni un control para organizar las labores de los mismos. No existen niveles de servicio, contemplados en indicadores de gestión o acuerdos de niveles de servicio que permitan hacer mediciones sobre el proceso. -21-

31 o Los técnicos que atienden las llamadas cada día tienen más carga de trabajo y su labor se torna agotadora y desmotivante por la deficiente distribución de trabajo. Conclusión Las organizaciones pierde tiempo, dinero y la mesa de ayuda se torna en un centro de inoperancia. Después de conocer la problemática por la que se presenta el servicio de soporte técnico se ha considera que es necesario el desarrollo de un modelo que ayude a mitigar las mencionadas fallas y así poder llegar a ofrecer un servicio eficiente. 3.3 Modelos de Help desk En el ambiente informático los problemas que se nos presentan, responden a la siguiente distribución: La mayor cantidad de los mismos son de baja complejidad y los menos son de alta complejidad. Esto ocurre de manera similar en todas las áreas que componen el área de sistemas: Comunicaciones, Desarrollo, Seguridad, Redes, etc Consideraciones Figura 3.3: Pirámide de composición de la demanda Conocer cómo es la distribución y los tipos de incidentes que se recibirán es muy importante. Dado que cada uno atenderá y resolverá los problemas que sean de su competencia es necesario equilibrar la demanda con la capacidad operativa del equipo de soporte. La cantidad de incidentes de un nivel se debe corresponder con la cantidad y las habilidades de los recursos que se asignan para su resolución. Otro factor que influye es el tiempo necesario para la resolución de cada tipo de incidentes. Los de baja complejidad en general son repetitivos y fácilmente localizables en la base de conocimiento. -22-

32 Como regla general decimos que el Help Desk resuelve los incidentes ubicados en la base de la pirámide de composición de la demanda (Figura 3.3) y los especialistas de los grupos de resolución, los ubicados en el extremo superior Documentación Hay que tener en cuenta que los problemas son complejos hasta que se les encuentra una solución y ésta puede ser documentada. En ese caso el alcance del Help Desk en porcentajes de resolución puede aumentar sin necesidad de elevar el perfil técnico de los analistas. Simplemente entendiendo y siguiendo el procedimiento documentado previamente. Cuál es el conjunto de incidentes que pueden resolver como máximo un Help Desk? Del 100% de los incidentes recibidos en el Help Desk existen dos límites máximos que acotan la posibilidad de resolverlos en el primer nivel. Un límite es el funcional o de responsabilidad. A) Existen incidentes que por su naturaleza son de competencia exclusiva de grupos especializados. Por ejemplo la asignación de permisos sobre carpetas del servidor o la creación de usuarios para acceder a las aplicaciones o funciones centralizadas. Estos, claramente son competencia de Seguridad Informática. B) El otro límite es el técnico. El Analista de Help Desk dotado de herramientas de control y de acceso remoto llega a diagnosticar y resolver aquellos incidentes hasta donde sus posibilidades técnicas se lo permiten. (obviamente quedan excluidos problemas de hardware, Sistemas operativos que no se cargan completamente, PC que están fuera de red, etc.) Figura Incidentes en el Help desk -23-

33 3.3.3 Fallas en la Calidad del Help desk En el servicio de Help desk las principales fallas que se encuentran en los folios según la empresa Joint venture son las siguientes 23 : Folios mal escalados. Folios mal documentados. Folios asignados fuera de tiempo. Por tal motivo la empresa ya mencionada sugiere implementar controles y establecer métricas en los folios que genera el Help desk con el propósito de disminuir este tipo de fallas. En las siguientes graficas se observa como disminuyen este tipo de problemas en dicha empresa. Figura 3.3.3_1 Porcentaje de Folios mal Asignados Figura 3.3.3_2 Porcentaje de Folios Mal Documentados 23 Almunia, Joaquín. Calidad en el Helpdesk, Agosto

34 Figura 3.3.3_3 Porcentaje de Folios Asignados Fuera de Tiempo 3.4 Problemáticas en los recursos humanos. En el area de recursos humanos se presentan diversos problematicas con el personal empezando desde la contratacion, mientras laboral y despues de dejar de ser empleados de la empresa. Acontinuacion se presentan algunos datos y estadisticas sobre estas problematicas Problemáticas en la contratación de personal Dentro de los princiapales problemas encontrados en la contracion se encuentran los siguientes: Detectar al personal capacitado para la realización del Outsourcing. Referencias personales incorrectas, inventadas o poco confiables de los candidatos. Detectar perfiles de delicuencia informatica en el entrevistado. Documentacion falsa de los candidatos Problemáticas en el personal mientras labora Robo de información desde adentro de la empresa. Las compañías mexicanas son sumamente vulnerables al robo de información sobre todo porque el enemigo está en casa. 24 De acuerdo a Mattica, laboratorio de cómputo forense, el 82% de los robos de información suceden desde el interior de las empresas. 24 Martínez, José Manuel. Robo de información, el enemigo en casa Julio

35 A diferencia de lo que uno pensaría de que un hacker vulnera a una empresa, vemos que los mismos empleados usan las memorias USB o hasta los ipods para robar información, dijo Andrés Velázquez, director de Investigaciones de Mattica. El hackeo representa el 18% de los robos de información, por lo que la empresa recomienda mejorar los esquemas de seguridad al interior de las empresas. El robo de secretos industriales y de propiedad intelectual es el delito informático más común con un 35%, seguido por amenazas y difamaciones (30%), fraudes y abusos de confianza (20%), fraudes financieros ó phishing (envío de mensajes electrónicos fraudulentos) (10%), y pornografía infantil y otros (5%). Los asaltantes ya no sol los que usan un pasamontañas, sino que usan traje y como arma tienen un USB, estos ladrones cometen el robo de información principalmente por venganza, cuando un trabajador se siente poco valorado o ha sido despedido, pero también por avaricia cuando por intereses personales vende la información a un competidor. Pero además ha aumentado el uso de correos de suscripción gratuita para hurtar la información Problemáticas en el personal que deja de ser empleado Robo de información a las empresas por los empleados despedidos. En México escasean las cifras por falta de patrocinios de estudios y por una cultura de silencio. Pero, según el Ponemon Institute, en Estados Unidos, 59% de los empleados se queda con información de la compañía luego de su despido. Los datos se fugan por todos lados: desde impresiones en papel hasta equipos asignados y no devueltos, o en USB llenos de información. Pero el asunto va más allá de una computadora perdida. El 44% de las empresas en EU ha sido objeto de ataques por parte de empleados y ex empleados, según un estudio del Computer Security Institute de México no es ajeno a estas fugas. Francisco Villegas, director de Protgt, una consultora de seguridad digital, sabe de ex empleados de instituciones financieras nacionales que usaron permisos de acceso aún vigentes, para operar fraudes financieros. Y de organismos de gobierno donde un empleado recién despedido borró archivos de servidores con información crítica Peralta, Leonardo. El robo de de informacion alas empresas por los empleados despedidos Julio

36 3.5 Problemáticas en las políticas de seguridad de las empresas Uno de los problemas de seguridad informática que en la actualidad se presentan es la mala definición de Políticas de Seguridad, ya que en la mayoría de los casos éstas no soy muy claras y por lo tanto absolutamente inútiles para los empleados. Muchas veces las políticas definidas son ambiguas y por tal motivo cada persona puede interpretarlas como mejor les convenga, por tal motivo es recomendable revisar las políticas frecuentemente. Las Políticas son aplicadas para todas las personas que perteneces a la organización, algunos empleados sienten que la seguridad no se aplica a ellos y eso puede provocar muchos incidentes. Otro problema se presenta cuando algunas prácticas de seguridad agregan una recarga significativa al proceso productivo y a los ojos del personal es aceptable, no por establecer medidas de seguridad se debe de descuidar la productividad ya que aumentar la producción y reducir los costos era primordial para ser exitoso. 3.6 Problemática en la Infraestructura Tecnológica. Existen diversos aspectos que deben considerarse para la adecuada y segura utilización de la infraestructura tecnológica, existe una serie de problemática inherente a su utilización. Los componentes tecnológicos van desde software (archivos) hasta hardware (computadoras personales, cableado estructurado, etc.) Problemáticas con la seguridad de los archivos del Sistema La integridad y confidencialidad y disponibilidad de los archivos del Sistema se enfrenta a un sinnúmero de problemas principalmente desde el punto de vista de la seguridad de los mismos, entre los principales: Información de usuario sin clasificar (i.e. Información Pública, de uso interno, confidencial y/o restringida). Acceso a archivos sin ningún medio de autenticación del usuario que los está consultando Archivos sin protección de ataque de virus informáticos y/u otros software malicioso Archivos con información confidencial o restringida no es encriptado No se utiliza software para restringir el acceso al equipo de computo -27-

37 Ingeniería Social 26. Privilegios de administrador sobre el equipo de computo Utilización de dispositivos de almacenamiento transportable (USB, memorias micro SD, etc.) Problemáticas con la aplicación de controles contra software malicioso Uno de los problemas más severos en la actualidad en los equipos de computo, y que año con año incrementa su ocurrencia 27, es la proliferación de una gran variedad de software malicioso: virus, troyanos, spyware, malware, etc. Su difusión se incrementa debido principalmente a: Carencia de antivirus que protejan la computadora No se actualiza el antivirus para aplicar las nuevas definiciones para detectar el más reciente software malicioso El equipo de computo tiene acceso a internet sin la protección de un firewall El antivirus y/o software para encontrar el software malicioso no es el adecuado para el equipo de cómputo donde se instaló. Frecuentemente consumen una gran cantidad de recursos de la computadora y degradando su performance general Sobre privilegios de usuarios en el equipo de computo. Lo que facilita el mal uso del mismo al tener facultades para instalar y/o afectar los archivos del sistema Utilización de dispositivos de almacenamiento transportable (USB, Micro SD, etc.) Protección contra fallos de energía eléctrica o eventos del exterior Asegurar la no interrupción en el servicio de un equipo de cómputo es indispensable para muchas organizaciones, que deben prestar su servicio de manera continua y confiable. La interrupción en el servicio por falta de suministro de energía eléctrica, no solo conlleva la falta del mismo, sino puede ocasionar pérdidas de información y daños en los equipos. Para evitar este tipo de problema existen los dispositivos de energía ininterrumpida (no brake) que suministran la energía eléctrica que requiere el equipo o centro de cómputo inmediatamente después que el suministro de energía normal es interrumpido. Se deben considerar los siguientes aspectos en relación a los equipos de energía ininterrumpida: 26 Leyden, John. Ingeniería Social - En la seguridad informática, Agosto Trend Micro. Informe anual sobre amenazas Agosto

38 El equipo de energía ininterrumpida (no-break) no es de la capacidad adecuada para proveer el tiempo y la energía suficiente al equipo que se quiere proteger. Instalación del equipo de cómputo en lugares de alto riesgo (Terremotos, inundaciones, descontentos sociales, etc.) Una mala infraestructura eléctrica en el lugar donde está establecido el equipos de cómputo. Instalación del equipo de cómputo en lugares de alto riesgo (Terremotos, inundaciones, descontentos sociales, etc.) Una mala infraestructura eléctrica en el lugar donde está establecido el equipos de cómputo Problemática en la seguridad del cableado estructurado El cableado estructurado es un elemento fundamental en la implantación de un centro de cómputos. La calidad de sus componentes y la capacitación del personal que lo instalan determinan en gran parte su confiabilidad y rentabilidad posterior. Una instalación con materiales inadecuados y/o de bajo costo efectuada por personal no capacitado que no sigue los procedimientos estándares de calidad y seguridad representa un problema a futuro Problemática en el cambio del resguardo en el equipo El proceso de cambio de resguardo de un equipo de cómputo es especialmente susceptible a ser un proceso problemático debido a: Carencia de procedimientos documentados claros para controlar el cambio de un resguardo en un equipo informático No se actualiza el nuevo responsable después de un cambio de resguardo de equipo Problemática en la generación de respaldos Una actividad básica en cualquier equipo o centro de cómputo es la toma de respaldos que garanticen la continuidad del servicio, e integridad de la información. Sin embargo la generación de respaldos es una actividad que conlleva la siguiente problemática: Inexistencia de un control efectivo de los respaldos generados. La media (cartucho, disco duro, disco compacto, etc.) o dispositivo donde se efectúa físicamente el respaldo no es -29-

39 debidamente identificada y/o fechada, cuando se requiere recuperar el respaldo no se puede identificar entre toda la media existente. Respaldos generados con un software o formato que no compatible con el utilizado al momento de intentar recuperar el respaldo. No se efectúan pruebas para asegurar que el respaldo generado se puede recuperar y es completo. Periodicidad de los toma de respaldos no obedece a las necesidades de la organización. Capítulo IV. Legislación, Mejores Prácticas y Tecnología En éste capítulo se hace referencia a la legislación actual existente en la materia, tanto nacional como internacional para las empresas de Outsourcing. Se mencionan las mejores prácticas que existen hoy en día para tener un excelente control en la seguridad y tecnologías informáticas, la importancia de contar con las mismas y sus relaciones con las empresas de Outsourcing. Además de indicar la tecnología disponible para la gestión y seguridad para el servicio de soporte técnico. Para la administración y control de tecnología de información existen metodologías y estudios realizados por instituciones interesadas en la mejora de estos procesos. A continuación se presentan los principales estudios y recopilaciones internacionales efectuadas referentes a la administración y control de la tecnología de información. El conocimiento de la legislación vigente en la materia permitirá que el esquema propuesto cumpla con la misma, así como las tendencias y adopción de las mejores prácticas vigentes permitirán contar con un modelo robusto y actual. 4.1 Legislación Al igual que las tecnologías de información, el Outsourcing así como toda actividad que es explotada en un mundo cada vez más competitivo y donde sus organizaciones comerciales buscan sacar ventajas a toda costa de sus competidores, siendo sujeto también a actividades desleales e ilegales, por parte de gente de y/o ajena a estas organizaciones, necesita ser legislada y normada. Siendo la legislación responsabilidad de cada Estado, esta suele ir retrasada de las necesidades reales sobre todo cuando se trata de actividades o tecnologías relativamente nuevas. Se puede encontrarse una gran disparidad en cuanto al alcance de las mismas según sea el área geográfica y aun entre países de una misma área. -30-

40 Una legislación deficiente ocasiona que haya huecos que son aprovechados para obtener ventajas o realizar fraudes sin que exista un mecanismo legal que castigue adecuadamente a los infractores. Por lo anterior, es muy importante conocer la legislación que aplica para detectar obligaciones e identificar riesgos. Una legislación madura garantiza una competencia más leal y segura entre organizaciones comerciales, así como un castigo justo a quien no cumpla con la misma Legislación Internacional Legislación informática internacional. Venezuela LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS A partir del 30 de octubre de 2001 se publicó en la gaceta oficial número de la República Bolivariana de Venezuela la ley especial contra los delitos informáticos, la cual surge como respuesta a la necesidad de legislar los delitos informáticos de manera específica. La ley completa se puede encontrar en la gaceta oficial antes mencionada o también en algunos sitios de Internet. 28 A continuación se mencionan brevemente os artículos que conforman esta ley, y el concepto que cubren cada uno de ellos Artículo 1. Objeto de la Ley La presente Ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologías, en los términos previstos en esta Ley. Artículo 2. Definiciones Artículo 3- Extraterritorialidad Artículo 4- Sanciones Artículo 5- Responsabilidad de las Personas Jurídicas TÍTULO II - DE LOS DELITOS Informática Juridica.com, Ley Especial Contra los Delitos Informáticos,

41 Capítulo I - De los Delitos Contra los Sistemas que Utilizan Tecnologías de Información Artículo 6- Acceso Indebido Artículo 7- Sabotaje o Daño a Sistemas Artículo 8- Favorecimiento Culposo del Sabotaje o Daño Artículo 9- Acceso Indebido o Sabotaje a Sistemas Protegidos Artículo 10- Posesión de Equipos o Prestación de Servicios de Sabotaje Artículo 11- Espionaje Informático Artículo 12- Falsificación de Documentos Capítulo II - De los Delitos Contra la Propiedad 30 Artículo 13- Hurto Artículo 14- Fraude Artículo 15- Obtención Indebida de Bienes o Servicios Artículo 16- Manejo Fraudulento de Tarjetas Inteligentes o Instrumentos Análogos Artículo 17- Apropiación de Tarjetas Inteligentes o Instrumentos Análogos Artículo 18- Provisión Indebida de Bienes o Servicios Artículo 19- Posesión de Equipo para Falsificaciones Capítulo III - De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones 31 Artículo 20- Violación de la Privacidad de la Data o Información de Carácter Personal Artículo 21- Violación de la Privacidad de las Comunicaciones Artículo 22- Revelación Indebida de Data o Información de Carácter Personal Capítulo IV - De los Delitos Contra Niños, Niñas o Adolescentes Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), Septiembre Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), Septiembre Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), Septiembre

42 Artículo 23- Difusión o Exhibición de Material Pornográfico Artículo 24- Exhibición Pornográfica de Niños o Adolescentes Capítulo V - De los Delitos Contra el Orden Económico Artículo 25- Apropiación de Propiedad Intelectual Artículo 26- Oferta Engañosa TÍTULO III - DISPOSICIONES COMUNES Artículo 27- Agravantes Artículo 28- Agravante Especial Artículo 29- Penas Accesorias Artículo 30- Divulgación de la Sentencia Condenatoria Artículo 31- Indemnización Civil TÍTULO IV - DISPOSICIONES FINALES 33 Artículo 32- Vigencia Artículo 33- Derogatoria Se deroga cualquier disposición que colida con la presente Ley. Austria Se reformó el Código Penal el 22 de diciembre de En este instrumento se contemplan dos modalidades de delitos informáticos: aquéllos en los que la acción del autor va dirigida a destruir datos personales o los propios programas (destrucción de datos), y cuando se influye en una operación automática con el fin de causar un perjuicio patrimonial (estafa informática). 34 Portugal 32 Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), Septiembre Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), Septiembre Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, Septiembre

43 Ley de Protección de Datos Personales Informatizados ( ) sanciona, entre otras conductas, la utilización ilegal de datos y el acceso no autorizado a las bases de datos. 35 Holanda La ley de Delitos Informáticos (1º-3-93) sanciona la utilización se servicios de telecomunicaciones evadiendo el pago total o parcial de dicho servicio, la inducción en error a fin de que el afectado suministre información que no aportaría en condiciones normales y la distribución de virus. Con respecto a esta última modalidad delictiva se admiten tanto la forma dolosa como la culposa. 36 España El Código Pena reformado en 1995 contempla una serie de conductas íntimamente vinculadas con la materia informática, es el caso, por ejemplo, de las estafas electrónicas, los daños informáticos, la interceptación de correo electrónico, la publicidad engañosa, la pornografía infantil y la revelación de secretos. Además en la actualidad se ha propuesto un Anteproyecto de Ley de Comercio Electrónico en el que se plantean severas sanciones pecuniarias para quienes incurran, entre otras conductas, en afección a las comunicaciones comerciales por vía electrónica o se violente el contenido de un contrato celebrado por esa misma vía. 37 Italia La descripción y sanción de los delitos informáticos se encuentra contemplada en el Código Penal, instrumento que prevé, entre otros comportamientos, la falsificación informática, el acceso abusivo, el fraude informático, la violación de la correspondencia electrónica y la introducción de virus informáticos. 38 Colombia Por su parte Colombia con LEY 1273 DE De la protección de la información y de los datos y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. 35 Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, Septiembre Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, Septiembre Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, Agosto Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, Agosto Diario Oficial, Congreso de Colombia, Mayo

44 Capítulo Primero De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos Artículo 269 A. Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Artículo 269 B. Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. Artículo 269 C. Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses. Artículo 269 D. Daño informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Artículo 269 E: Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Artículo 269 F. Violación de datos personales. -35-

45 El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Artículo 269 G: Suplantación de sitios web para capturar datos personales. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito. Artículo 269 H. Circunstancias de agravación punitiva. Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere: 1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. 2. Por servidor público en ejercicio de sus funciones 3. Aprovechando la confianza depositada por el poseedor de la in-formación o por quien tuviere un vínculo contractual con este. 4. Revelando o dando a conocer el contenido de la información en perjuicio de otro. 5. Obteniendo provecho para sí o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales. Capítulo Segundo De los atentados informáticos y otras infracciones. Artículo 269 I. Hurto por medios informáticos y semejantes. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos- -36-

46 Perú La ley N del 15 de julio de 2000, incorporó los delitos informáticos al Código Penal, tipificando la utilización o ingreso indebido a una base de datos, sistema o red de computadoras o cualquier parte de la misma, la interferencia, interceptación, acceso o copia de información en tránsito o contenida en una base de datos. De la misma manera se describió la utilización, ingreso o interferencia indebida de una base de datos, sistema, red o programas de computación con el fin de alterarlos, dañarlos o destruirlos. 40 Legislación internacional para el Outsourcing. España Cooperativas de Trabajo Asociado: Reglamentación especial a través de la Ley 79 de 1988, que clasifica a las cooperativas en razón del desarrollo de sus actividades en especializadas, multiactivas e integrales. Estas clases de cooperativas están enmarcadas en el concepto que la misma ley da respecto de lo que es una cooperativa, que se constituye como una empresa asociativa sin ánimo de lucro, en la cual los trabajadores o los usuarios, según sea el caso, son simultáneamente los gestores y aportantes de la empresa, creada con el objeto de producir o distribuir conjunta y eficientemente bienes o servicios para satisfacer las necesidades de sus asociados y de la comunidad en general. Al comparar el servicio temporal y las cooperativas de trabajo asociado, sus objetos sociales difieren sustancialmente, ya que la Ley 50 de 1990 regula de manera clara el servicio temporal al disponer que consiste en el envío de trabajadores que la ley llama en misión a un tercero beneficiario del servicio para que en la sede de éste, con la infraestructura y medios de labor de propiedad del mismo usuario, quien además recibe una autoridad delegada para ejercer su mando frente al trabajador en misión para la labor que éste desarrolla, conservando la Empresa de servicios temporales el carácter de verdadero empleador. En uno y otro caso se está frente a dos servicios. Uno, el servicio temporal, que hace énfasis en el vínculo laboral, y en el cual el trabajador se constituye como el eje central del proceso dando lugar a una forma muy específica de flexibilización laboral, mientras que en las Compañías de Trabajadores Asociados, se encuentran en una relación en la que prevalece el carácter comercial, dándose propiamente la llamada tercerización o Outsourcing, en la que el usuario recibe un resultado final fruto del trabajo autónomo e independiente de los cooperadores o asociados en su propia empresa cooperativa en donde están comprometidos en el funcionamiento, organización y desarrollo de la actividad, en forma autogestionaria. 40 Soto Coaguila, Carlos Alberto. El Comercio Electrónico en el Derecho Peruano, Agosto

47 Empresas Asociativas de Trabajo (E.A.T.): Reguladas por la Ley 10 de 1991 y su Decreto Reglamentario 1100 de Estas instituciones se han concebido como organizaciones económicas productivas para cuyo desarrollo se vincula la capacidad laboral de los asociados por tiempo indefinido, y en algunos casos además de su fuerza de trabajo se pone a disposición de la organización o destreza u otros activos necesarios para el cumplimiento de los objetivos de la Empresa Asociativas de Trabajo. La ley al referirse a la relación que se presenta entre la Empresa Asociativa de Trabajo y sus asociados, habla de que ésta va a tener un carácter típicamente comercial, ya que se trata de unos aportes que hacen posible el funcionamiento de la cooperativa y forman su patrimonio para el cumplimiento de los fines, de manera que el asociado se rige, no por las normas de código Sustantivo del Trabajo sino por las del derecho comercial, de modo que las E.A.T. tienen prohibición expresa de la ley que ejerce funciones de intermediación a establecer vínculos de empleador o patrono con sus asociados. Teniendo en cuenta los lineamientos anteriores se puede afirmar que la E.A.T. están desempeñando una labor de carácter comercial al producir, comercializar y distribuir bienes básicos de consumo familiar, o en su caso, la prestación de servicios, y se están ubicando en la figura de Outsourcing, ya que el énfasis de su naturaleza jurídica no se da en el vínculo laboral sino en la asociación de personas para el logro de fines comerciales mediante la relación con terceros. Empresa de Servicios Temporales: La Ley 50 de 1990 especifica que la empresa de servicios temporales se define como la que contrata la prestación de servicios con terceros beneficiarios para colaborar de manera temporal en sus actividades y ello a través de personas naturales contratadas directamente por tal empresa. Esta tiene el carácter de empleadora respecto de esas personas. La empresa de servicios temporales debe constituirse como persona jurídica. La persona natural o jurídica que contrata los servidores de ella se llama usuarios. Sus trabajadores son de dos clases, los trabajadores de planta que desarrollan labores en las propias dependencias de la empresa y los trabajadores en misión que son los enviados a las dependencias de los usuarios con el fin de cumplir la tarea o el servicio contratado con ella. Los servidores temporales que pueden contratar los usuarios se limitan a los siguientes: labores ocasionales, accidentales o transitorias a que se refiere el artículo 6 del Código Sustantivo del Trabajo, cuando sea menester reemplazar personal en vacaciones, en uso de licencia, en incapacidad por enfermedad o maternidad; y para atender incrementos en la producción, el -38-

48 transporte, las ventas de productos o mercancías. Los períodos estacionales en cosechas y en la prestación de servicios, por un término de 6 meses prorrogable hasta por 6 meses más. Los trabajadores en misión tienen derecho a un salario ordinario equivalente al de los trabajadores de la empresa usuaria que desempeñen la misma actividad y también recibirán los mismos beneficios que esta última tenga establecidos para sus trabajadores en el lugar de trabajo, en materia de transporte, alimentación y recreación. Tienen derecho igualmente a compensación monetaria por vacaciones y prima de servicios proporcional al tiempo laboral y de su salud ocupacional es responsable la empresa de servicios temporales. Chile La figura de subcontratación laboral ha sido expresamente contemplada por el legislador en el artículo 64 y 64 bis del Código del Trabajo, mientras que la figura del suministro de trabajadores en los términos explicados, es completamente extraña a su orden laboral, que no la reconoce. El artículo 64 del Código del Trabajo, se refiere a la figura en que una empresa, dueña de una obra o faena, contrata a otra empresa, denominada contratista, mediante un contrato civil o comercial, para que ejecute a su cuenta y riesgo, con sus propios trabajadores, un determinado trabajo o servicio, pudiendo esta última a su turno, contratar a otra empresa, denominada subcontratista, para que lleve a cabo el trabajo o servicio requerido. En este caso, se requiere que todas las empresas utilicen sus propios trabajadores, no existiendo suministro de mano de obra propiamente tal. Ley Nº Regula trabajo en régimen de subcontratación, el funcionamiento de las empresas de servicios transitorios y el contrato de trabajo de servicios transitorios 41 Esta ley destaca que las empresas que presten servicios de subcontratación no podrán ser matrices, filiales, coligadas o relacionadas ni tener algún tipo de interés directo o indirecto con empresas usuarias que contraten sus servicios, además de que las empresas dedicadas al rubro deberán inscribirse en un registro público especial. La normatividad mencionada impone a las empresas que presten estos servicios la obligación de constituir una garantía permanente, destinada a responder por las obligaciones legales y contractuales de las empresas con sus trabajadores subcontratados. 41 Ley Nº Publicada en el Diario Oficial del , Chile. Rige a partir del

49 Establece que si un trabajador continúa prestando servicios después de expirado el plazo del contrato de servicios temporales, éste se transforma en uno de duración indefinida, contándose la antigüedad del trabajador desde la fecha del inicio de la prestación de servicio. Otra de las características para la contratación de trabajadores de servicios temporales a una empresa usuaria es que la relación de trabajo queda condicionada al cumplimiento de ciertas prestaciones como licencia médica, descanso maternal, días feriados y actividades o trabajos urgentes. La Ley también establece que el trabajador subcontratado podrá afiliarse a la organización sindical existente en la empresa para la que preste sus servicios, además de que se prevé el hecho de que los trabajadores que hayan prestado servicios a una misma empresa de servicios subcontratados durante por lo menos 30 días en un año, tendrán derecho a prestaciones. La ley aludida obliga a las empresas de servicios temporales a proporcionar capacitación, cada año al 10% de los trabajadores que pongan a disposición de una empresa usuaria, además de establecer la prohibición de subcontratar trabajadores para realizar tareas en las cuales se tenga la facultad de representar a la usuaria, como gerentes, subgerentes, agentes o apoderados. Además de que tampoco podrá hacerse subcontratación: a) para sustituir a trabajadores en huelga en la empresa usuaria; b) para reemplazar a trabajadores despedidos de la empresa usuaria en los 12 meses inmediatamente anteriores, como resultado de renuncia, acuerdo, conductas indebidas, falta de probidad o sin que se haya invocado causal legal, siempre que el tribunal competente haya declarado que dicho despido fue injustificado o indebido, y c) para ceder trabajadores a otras empresas de servicios temporales. Perú En Perú existen distinciones entre tercerización y Outsourcing, lo que se aprecia en la normatividad de la materia: la Ley de Intermediación Laboral, aprobada mediante Ley núm.2765; su reglamento aprobado mediante Decreto Legislativo núm /TR y su modificatoria, aprobada mediante Decreto Supremo núm /TR. 42 En la citada normatividad peruana se encuentran tres conceptos dentro del campo de la intermediación laboral: empresa de servicios temporales, empresa de servicios complementarios y empresa de servicios especializados, los cuales merecen abordarse a partir de la Ley de Intermediación Laboral (artículos 11.1, 11.2, 11.3, respectivamente). Artículo 4o: De la tercerización de servicios. 42 Echaiz Moreno, Daniel. El contrato de Outsourcing, Julio

50 No constituye intermediación laboral los contratos de gerencia, los contratos de obra, los procesos de tercerización externa, los contratos que tienen por objeto que un tercero se haga cargo de una parte integral del proceso productivo de una empresa (Outsourcing) 43 y los servicios prestados por empresas contratistas o subcontratistas, siempre que asuman las tareas contratadas por su cuenta y riesgo, que cuenten con sus propios recursos financieros, técnicos o materiales, y cuyos trabajadores estén bajo la exclusiva subordinación. Pueden ser elementos coadyuvantes para la identificación de tales actividades la pluralidad de clientes, el equipamiento propio y la forma de retribución de la obra o servicio, que evidencien que no se trata de una simple provisión de personal. La norma transcripta concluye tácticamente con la discusión en torno a la confusión entre tercerización y subcontratación. Las normas intituladas sobre riesgos de tecnología de información, dictadas por la Superintendencia de Banca, Seguros y Administradoras de Fondos de Pensiones y aprobadas por la Circular núm. G , apreciándose en el artículo 6º. Un caso error al equiparar a la subcontratación con el Outsourcing, así como el reducir a este último sólo al ámbito de la tecnología de información. Articulo 6. Subcontratación (Outsourcing). La empresa es responsable y debe verificar que se mantengan las características de seguridad de la información contempladas en la presente norma, incluso cuando ciertas funciones o procesos críticos puedan ser objeto de una subcontratación. Para ello se tendrá en cuenta lo dispuesto en la primera disposición final y transitoria del Reglamento. Asimismo, la empresa debe asegurarse y verificar que el proveedor del servicio sea capaz de aislar el procedimiento y la información objeto de la subcontratación, en todo momento y bajo cualquier circunstancia. Suiza Regula el contrato de Outsourcing mediante la Circular de la Comisión Federal de Bancos sobre la externalisation d activivités (de 1999). Aunque meritoria, es sectorial pues se restringe al ámbito bancario. En ella se legisla la definición de Outsourcing, la aplicación territorial para el caso de los grupos de empresa y sus sucursales en Suiza, las actividades que pueden delegarse, la medidas de previsión, las responsabilidades del Outsourcer frente a la entidad financiera, la supervisión 43 Echaiz Moreno, Daniel. El contrato de Outsourcing, Julio

51 estatal, la seguridad en el cargo de la tecnología, el secreto profesional y la información de los clientes. Respecto a la forma del contrato, la mencionada Circular determina que debe de ser celebrada por escrito, y que, en sus cláusulas, será obligatorio citar las condiciones que están contempladas en la referida Circular. En su anexo se enumeran las actividades que estarán supervisadas por la Comisión Federal, tales como el comercio y la administración de valores, el control de tráfico de pagos y billetes, los sistemas de tecnologías de información, la gestión de riesgos, la administración de base de datos y contabilidad, los recursos humanos, la logística, el funcionamiento de tarjetas de crédito, el control de cartera y la consejería jurídica y fiscal Legislación Nacional La subcontratación laboral desde la perspectiva legal Mexicana La interpretación del contenido de los artículos 12 al 15 de la Ley Federal del Trabajo permite afirmar que en nuestro sistema jurídico la figura laboral del intermediario corresponde a aquella ersona que contrata para beneficio de un tercero la realización de obras o prestación de servicios. 44 De las disposiciones existentes se derivan normas sobre los vínculos de trabajo entre los empleados de la empresa subcontratante y los trabajadores de la empresa subcontratada. En estos casos la ley establece dos posibles criterios: La ley indica que no serán considerados intermediarios, sino patrones, las empresas establecidas que contraten trabajos para ejecutarlos con elementos propios y suficientes para cumplir las obligaciones que se dependan de las relaciones con sus trabajadores. Esto es, que en caso contrario, serán solidariamente responsables con los beneficiarios directos de la obra o servicios, por las obligaciones contraídas con los trabajadores. En el caso de las empresas que ejecutan obras o servicios en forma exclusiva o principal para otra y que no disponga de los elementos propios y suficientes para cumplir con las obligaciones que deriven de la relaciones con sus trabajadores La subcontratación, que es conocida también bajo el anglicismo de Outsourcing, comenzó a tener auge internacional al inicio de la década de 1970, mayormente en las áreas de tecnología de información. En México, este tipo de modalidad laboral incrementó su importancia a partir de 1960, cuando comenzó a hacerse práctica común. Acceso ilegal a Sistemas y equipos de Información Código Penal de la Federación 44 Ley Federal del Trabajo, México, últimas reformas publicadas en el Diario Oficial de la Federación el 17 de enero de

52 Artículo 211 bis 1 Al que sin autorización modifique, destruya o provoque pérdida de información contenida en Sistemas o Equipos de Informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa. Artículo 211 bis 2 Al que sin autorización modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Artículo 211 bis 3 Al que estando autorizado para acceder a sistemas y equipos de informática del estado, indebidamente modifique, destruya o provoque perdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática del estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa. Artículo 211 bis 4 Al que sin autorización modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Artículo 211 bis 5-43-

53 Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque perdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Las penas previstas en este articulo se incrementaran en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero. Artículo 211 bis 6 Para los efectos de los artículos 211 bis 4 y 211 bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 bis de este código. Artículo 211 bis 7 Las penas previstas en este capítulo se aumentaran hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno. Ley Federal de Derecho de Autor Es el conjunto de normas jurídicas que van a regular los derechos de autor en el ámbito de la informática, al regular la forma en que se publicarán dichas obras. Artículo 2. Las disposiciones de esta Ley son de orden público, de interés social y de cobertura general en todo el territorio nacional Artículo 13. Los derechos de autor a que se refiere esta Ley se reconocen respecto de las obras de las siguientes ramas: XI. Programas de cómputo XIV. De compilación, integrada por las colecciones de obras, tales como las enciclopedias, las antologías, y otros elementos como las bases de datos. Artículo 102. Los programas de computación se protegen en los mismos términos que las obras literarias. Artículo 105. El usuario legítimo de un programa de computación podrá realizar el número de copias que le autorice la licencia concedida por el titular de los derechos de autor. -44-

54 Artículo 107. Las bases de datos, que por razones de selección y disposición de su contenido constituyan creaciones intelectuales, quedarán protegidas como compilaciones. Artículo 108. Las bases de datos que no sean originales quedan, sin embargo, protegidas en su uso exclusivo por quien las haya elaborado, durante un lapso de 5 años. Artículo 109. El acceso a información de carácter privado relativa a las personas contenida en las bases de datos a que se refiere el artículo anterior, así como la publicación, reproducción, divulgación, comunicación pública y transmisión de dicha información, requerirá la autorización previa de las personas de que se trate. Artículo 112. Queda prohibida la importación, fabricación, distribución y utilización de aparatos o la prestación de servicios destinados a eliminar la protección técnica de los programas de cómputo, de las transmisiones a través del espectro electromagnético y de redes de telecomunicaciones y de los programas de elementos electrónicos señalados en el artículo anterior. Código Penal del Estado de Sinaloa Articulo 217. Comete delito informático, la persona que dolosamente y sin derecho: 1. Use o entre a una base de datos, sistemas de computadoras o red de computadoras o a cualquier parte de la misma, con el propósito de diseñar, ejecutar o alterar un esquema o artificio con el fin de defraudar, obtener dinero, bienes o información 2. Intercepte, interfiera, reciba, use, altere, dañe o destruya un soporte lógico o programa de computadora o los datos contenidos en la misma, en la base, sistemas o red. Al responsable del delito informático se le impondrá una pena de seis meses a dos años de prisión o de noventa a trescientos días de multa. 4.2 Mejores Prácticas Hoy por hoy, el perfeccionamiento y optimización de los procesos es un elemento clave para cualquier organización que desee sobrevivir en un mundo inmerso en una competencia despiadada, metódica, fría e interminable. Este tipo de competencia da como resultado organizaciones cuyo compromiso social es un factor que solo es considerado en el discurso, pero sin ser un elemento de real importancia para las mismas. Las organizaciones que no logran un grado importante de eficiencia y competitividad no pueden ser exitosas y tienden a desaparecer en el corto o mediano plazo. Como parte de esta búsqueda por el perfeccionamiento y optimización de sus procesos, las organizaciones se dieron cuenta que deben buscar no sólo dentro de las mismas, sino voltear a ver -45-

55 lo que hacen otras organizaciones y encontrar las mejores prácticas para un proceso o área de conocimiento especifica. Esta necesidad ha sido identificada y atacada por diferentes asociaciones y organismos que se han preocupado por proponer, definir e integrar modelos de mejores prácticas para un área específica. Estas mejores prácticas han demostrado su utilidad y han sido adoptadas por muchas organizaciones exitosas, siendo en algunos casos indispensables para la sobrevivencia de las mismas ITIL Service Management - ITIL (IT Infrastructure Library) ITIL es la más ampliamente aceptada para la gestión de los servicios de TI en el mundo. Proporcionando un conjunto coherente de las normas de buenas prácticas procedentes de los sectores público y privado en todo el mundo, recientemente ha experimentado una gran e importante proyecto de actualización. Administración de servicios de IT (ITSM) deriva enormes beneficios a partir de un enfoque de mejores prácticas. ITSM porque es impulsada por la tecnología y la amplia gama de entornos organizativos en los que opera, es en un estado de constante evolución. Mejores prácticas, basadas en el asesoramiento de expertos y las aportaciones de los usuarios de ITIL es a la vez actual y práctico, combinando las teorías más recientes con el sonido, el sentido común de orientación ITIL: Descripción y Beneficios 45 ITIL proporciona un enfoque sistemático y profesional a la gestión de la prestación de servicios de TI. La adopción de su orientación ofrece a los usuarios una amplia gama de beneficios que incluyen: La reducción de los costos. Mejora de servicios de TI mediante el uso de procesos de las mejores prácticas. Mejora de la satisfacción del cliente a través de un enfoque más profesional a la prestación de servicios. Normas y directrices. Mejora de la productividad. Mejora de la utilización de habilidades y experiencia, y 45 Sitio Oficial Best Management Practice. Service Management, Centre/Best-Practice-Guidance/ITIL/, Agosto

56 Mejorar la prestación de servicios de terceros a través de la especificación de ITIL o ISO como el estándar para la prestación de servicios en los servicios públicos Seguridad en ITIL 46 Según ITIL los principales objetivos de la Gestión de la Seguridad se resumen en: Diseñar una política de seguridad, en colaboración con clientes y proveedores correctamente alineada con las necesidades del negocio. Asegurar el cumplimiento de los estándares de seguridad acordados. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio. La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren que la información esté accesible cuando se necesita por aquellos que tengan autorización para utilizarla. Una vez comprendidos cuales son los requisitos de seguridad del negocio, la Gestión de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs correspondientes y de esta forma garantizar su cumplimiento. La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, y que no necesariamente tienen porque figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio. Es importante que la Gestión de la Seguridad sea proactiva y evalúe los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera. La Gestión de la Seguridad está estrechamente relacionada con prácticamente todos los otros procesos TI y necesita para su éxito la colaboración de toda la organización. Para que esa colaboración sea eficaz es necesario que la Gestión de la Seguridad: Establezca una clara y definida política de seguridad que sirva de guía a todos los otros procesos. Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos. 46 Osiatis. Curso de Itil, Gestión de la Seguridad, Agosto

57 Implemente el Plan de Seguridad. Monitorice y evalúe el cumplimiento de dicho plan. Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades. Realice periódicamente auditorías de seguridad Gestión de Servicios TI 47 Las tecnologías de la información son tan antiguas como la historia misma y han jugado un importante papel en la misma. Sin embargo, no ha sido hasta tiempos recientes que mediante la automatización de su gestión se han convertido en una herramienta imprescindible y clave para empresas e instituciones. La información es probablemente la fuente principal de negocio en el primer mundo y ese negocio a su vez genera ingentes cantidades de información. Su correcta gestión es de importancia estratégica y no debe considerarse como una herramienta más entre muchas otras. Hasta hace poco las infraestructuras informáticas se limitaban a dar servicios de soporte y de alguna forma eran equiparables con el otro material de oficina: algo importante e indispensable para el correcto funcionamiento de la organización pero poco más. Sin embargo, en la actualidad esto ha cambiado y los servicios TI representan generalmente una parte sustancial de los procesos de negocio. Algo de lo que es a menudo responsable el advenimiento de ubicuas redes de información: sirva de ejemplo la Banca Electrónica. Los objetivos de una buena gestión de servicios TI han de ser: Proporcionar una adecuada gestión de la calidad Aumentar la eficiencia Alinear los procesos de negocio y la infraestructura TI Reducir los riesgos asociados a los Servicios TI Generar negocio ITIL nace como un código de buenas prácticas dirigidas a alcanzar esas metas mediante: 47 Osiatis. Curso de Itil, Gestión de Servicios de IT, ion_general_gestion_servicios_ti.php, Septiembre

58 Un enfoque sistemático del servicio TI centrado en los procesos y procedimientos El establecimiento de estrategias para la gestión operativa de la infraestructura TI Soporte al Servicio El soporte al servicio se preocupa de de todos los aspectos que garanticen la continuidad, disponibilidad y calidad del servicio prestado al usuario Provisión del Servicio La provisión del servicio se ocupa de los servicios ofrecidos en sí mismos. En particular de los Niveles de servicio, su disponibilidad, su continuidad, su viabilidad financiera, la capacidad necesaria de la infraestructura TI y los niveles de seguridad requeridos ITIL V.3 50 El 26 de junio de 2007 se presenta la tercera versión de este código de buenas prácticas. ITIL 3 eleva las TI a un nivel estratégico. Sólo las organizaciones que hayan madurado en experiencia con la versión anterior serán capaces de afrontar la nueva. Para organizaciones de pequeño y mediano tamaño la versión 3, se presenta más compleja. Los objetivos del marco de trabajo de ITIL, para las empresas que basan su modelo en la versión 3 son: - Primer objetivo Alinear los servicios de TI con las necesidades actuales y futuras del negocio y sus clientes. - Segundo objetivo Mejorar la calidad de los servicios proporcionados. - Tercer objetivo Reducir los costes de la provisión de servicios a largo plazo. ITIL en su propuesta de la versión 3, está basado en cinco libros, estos son: 1. Estrategia del servicio (Service Strategy) 48 Osiatis. Curso de Itil, Soporte al Servicio, Agosto Osiatis. Curso de Itil, Provision del Servicio, Agosto Pink Elephant. Presentación de la 5a Conferencia de IT Service Management, Septiembre 28-29/

59 Marca la pauta en el diseño y desarrollo de cómo las iniciativas del negocio deben integrarse a través de un portafolio de servicios, establecer el presupuesto adecuado para el diseño, desarrollo, liberación y operación de nuevos servicios o cambios a los ya existentes, atender la demanda de servicios verificando los patrones de comportamiento en el uso de los servicios y como establecer una estrategia para que estos nuevos servicios brinden el valor necesario al negocio y los usuarios. Esta fase busca conseguir el alineamiento entre el negocio y TI. Es decir pretende entender y trasladar las necesidades del negocio a las estrategias de TI y proporciona las herramientas para una planeación de la gestión de servicio de TI. 2. Diseño del servicio (Service Design) En el diseño se realizan actividades en los procesos, basadas en la estrategia, para establecer el nivel de servicio que se va a ofertar, incluirlos en el catálogo de servicios que se publicarán en la organización, el porcentaje de disponibilidad acordado con el negocio de acuerdo al presupuesto asignado, la capacidad con la que se cuenta actualmente y la necesaria para operar el o los servicios, las medidas de seguridad que se deben implementar, los planes de continuidad y de recuperación de desastres que se deben desarrollar y cómo administrar a los proveedores ya sea por una parte o por la totalidad del servicio. Esta etapa suministra una guía en la producción y mantenimiento del diseño de arquitecturas y políticas de TI sobre el desarrollo de servicios incluyendo insourcing y Outsourcing. 3. Transición del servicio (Service Transition) En este libro las estrategias realizadas en la etapa anterior se realizan de acuerdo a un plan de liberación que abarca toda la infraestructura necesaria, el personal, los recursos, el software, el hardware, etc. para operar el servicio, se controlan los cambios que se debe realizar a la infraestructura para habilitar el servicio, se considera también las relaciones de cada uno de los componentes de un servicio con otros componentes y son almacenados en un repositorio llamado sistema de administración de configuraciones (Configuration Management System). Se realizan las pruebas de operación del servicio y se comienza a construir un repositorio del conocimiento. Después de definida la estrategia de servicio y diseñado el servicio este se debe poner en producción, así que esta fase se centra en el rol de gestión de cambios y en las prácticas de lanzamientos. 4. Operación del servicio (Service Operation) En este libro se entiende que los servicios ya están liberados y en operación. Durante esta fase se gestionan, monitorean y miden los eventos, mismos que pueden convertirse en alertas o bien en -50-

60 incidentes, si estos incidentes son repetitivos se clasificaran como problemas en donde se hará uso constante del repositorio del conocimiento. También se realiza una gestión de los accesos físicos y lógicos hacia o desde los servicios en operación y finalmente las actividades operacionales que es en donde se administran las aplicaciones y se capacita a la mesa de servicios. Explica cómo gestionar los servicios en un entorno de producción y se centra en los procesos de entrega y control que permiten tener servicios controlados. 5. Mejora Continua del Servicio (Continual Service Improvement) En la fase de mejora continua las mediciones son sumamente importantes para saber cómo los servicios que están operando se han entregado con el nivel de calidad requerido, así mismo, se generan los reportes que ayudaran al negocio a la toma de decisiones, por ejemplo como parte de un Balanced Score Card. Existe un modelo de 7 pasos para la mejora continua que plantea la mejora integral de todas las fases, la retroalimentación entre ellas y finalmente plantea un proceso para medir la mejora continua. Se enfoca en las entradas y salidas necesarias para el adecuado ciclo de mejora continua sobre los servicios existentes COBIT COBIT: Control Objectives for Information and related Technology (Objetivos de Control para la información y Tecnologías relacionadas) Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI: IT Governance Institute) en Objetivo El objetivo principal de COBIT consiste en proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos con tal de: Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.). Garantizar el cumplimiento normativo del sector al que pertenezca la organización. 51 Enciclopedia libre Wikipedia. Objetivos de Control para la Información y Tecnología, Agosto

61 Mejorar la eficacia y eficiencia de los procesos y actividades de la organización. Garantizar la confidencialidad, integridad y disponibilidad de la información Control y Objetivos de Control El estándar define el término control como: Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proveer aseguramiento razonable de que se lograrán los objetivos del negocio y se prevendrán, detectarán y corregirán los eventos no deseables Por tanto, la definición abarca desde aspectos organizativos (p.ej. flujo para pedir autorización a determinada información, procedimiento para reportar incidencias, selección de proveedores, etc.) hasta aspectos más tecnológicos y automáticos (p.ej. control de acceso a los sistemas, monitorización de los sistemas mediante herramientas automatizadas, etc.). Todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propósito o resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante situaciones de contingencias. En consecuencia, para cada objetivo de control de nuestra organización podremos implementar uno o varios controles (p.ej. ejecución de copias de seguridad periódicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtención del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias). Obviamente, los ejemplos expuestos son muy generalistas y poco detallados, pero se muestran de forma práctica las diferentes definiciones Dominios COBIT clasifica los procesos de negocio relacionados con las Tecnologías de la Información en cuatro dominios: Plan and Organise PO (Planificación y Organización). Acquire and Implement AI (Adquisición e Implementación). Deliver and Support DS (Entrega y Soporte). Monitor and Evaluate ME (Monitoreo y Evaluación). En definitiva, cada dominio contiene procesos de negocio (desglosables en actividades) para los cuales se pueden establecer objetivos de control e implementar controles organizativos o automatizados. -52-

62 COBIT y el Soporte Técnico Establecer controles para lograr un objetivo de control es una buena forma para asegurar el buen manejo de la TI en las organizaciones modernas. Las empresas que ofrecen sus servicios de Outsourcing en el área de soporte técnico no escapan a la necesidad de implementar los controles más adecuados para regir su TI. Así, COBIT debe ser considerado también por este tipo de empresas como una mejor práctica para lograr sus objetivos de control. La relación del soporte técnico y los dominios que establece COBIT se tocara a continuación Adquisición e Implementación AI AI2 Adquirir y mantener software aplicativo Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas. AI2.4 Seguridad y disponibilidad de las aplicaciones. Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados, de acuerdo con la clasificación de datos, la arquitectura de seguridad en la información de la organización y el perfil de riesgo. Los asuntos a considerar incluyen derechos de acceso y administración de privilegios, protección de información sensible en todas las etapas, autenticación e integridad de las transacciones y recuperación automática. AI2.5 Configuración e implantación de software aplicativo adquirido Personalizar e implantar la funcionalidad automatizada adquirida con el uso de procedimientos de configuración, aceptación y prueba. Los aspectos a considerar incluyen la validación contra los términos contractuales, la arquitectura de información de la organización, las aplicaciones existentes, la interoperabilidad con las aplicaciones existentes y los sistemas de bases de datos, la eficiencia en el desempeño del sistema, la documentación y los manuales de usuario, integración y planes de prueba del sistema. AI2.6 Actualizaciones importantes en sistemas existentes Seguir un proceso de desarrollo similar al de desarrollo de sistemas nuevos en el caso que se presenten modificaciones importantes en los sistemas existentes, que resulten en un cambio -53-

63 significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar incluyen análisis de impacto, justificación costo/beneficio y administración de requerimientos. AI2.10 Mantenimiento de software aplicativo Desarrollar una estrategia y un plan para el mantenimiento y liberación de aplicaciones de software. Los asuntos a considerar incluyen liberación planeada y controlada, planeación de recursos, reparación de defectos de programa y corrección de fallas, pequeñas mejoras, mantenimiento de documentación, cambios de emergencia, interdependencia con otras aplicaciones e infraestructura, estrategias de actualización, condiciones contractuales tales como aspectos de soporte y actualizaciones, revisión periódica de acuerdo a las necesidades del negocio, riegos y requerimientos de seguridad. AI3 Adquirir y mantener infraestructura tecnológica Las organizaciones deben contar con procesos para adquirir, implantar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio. AI3.2 Protección y disponibilidad del recurso de infraestructura Implantar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso. AI3.3 Mantenimiento de la Infraestructura Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. AI4 Facilitar la operación y el uso El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura. -54-

64 AI4.4 Transferencia de conocimiento al personal de operaciones y soporte Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de operaciones que entregue, apoye y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La transferencia del conocimiento debe incluir al entrenamiento inicial y continuo, el desarrollo de las habilidades, los materiales de entrenamiento, los manuales de operación, los manuales de procedimientos y escenarios de atención al usuario Entrega y Soporte DS DS1 Definir y administrar los niveles de servicio Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso también incluye el monitoreo y la notificación oportuna a los participantes sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados. DS1.1 Marco de trabajo de la administración de los niveles de servicio Definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente y el prestador de servicio. El marco de trabajo mantiene una alineación continua con los requerimientos y las prioridades de negocio y facilita el entendimiento común entre el cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la creación de requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio (SLAs), acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento. Estos atributos están organizados en un catálogo de servicios. El marco de trabajo define la estructura organizacional para la administración del nivel de servicio, incluyendo los roles, tareas y responsabilidades de los proveedores externos e internos y de los clientes. DS1.2 Definición de servicios Definiciones base de los servicios de TI sobre las características del servicio y los requerimientos de negocio, organizados y almacenados de manera centralizada por medio de la implantación de un enfoque de catálogo/portafolio de servicios. DS1.3 Acuerdos de niveles de servicio Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del cliente y las capacidades en TI. Esto incluye los compromisos del cliente, los requerimientos de soporte para el servicio, métricas cualitativas y cuantitativas para la medición -55-

65 del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y de financiamiento, y los roles y responsabilidades, incluyendo la revisión del SLA. Los puntos a considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, niveles de soporte, planeación de continuidad, seguridad y restricciones de demanda. DS1.4 Acuerdos de niveles de operación Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar el (los) SLA(s) de manera óptima. Los OLAs especifican los procesos técnicos en términos entendibles para el proveedor y pueden soportar diversos SLAs. DS1.5 Monitoreo y reporte del cumplimento de los niveles de servicio Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un formato que sea entendible para los interesados. Las estadísticas de monitoreo son analizadas para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto. DS1.6 Revisión de los acuerdos de niveles de servicio y de los contratos Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que están actualizados y que se han tomado en cuenta los cambios en requerimientos. DS2 Administrar los servicios de terceros La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de administración de terceros. Este proceso se logra por medio de una clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempeñan de forma adecuada. DS2.1 Identificación de las relaciones con todos los proveedores Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones técnicas y organizacionales incluyendo los roles y responsabilidades, metas, expectativas, entregables esperados y credenciales de los representantes de estos proveedores. DS2.2 Administración de las relaciones con los proveedores -56-

66 Formalizar el proceso de administración de relaciones con proveedores por cada proveedor. Los responsables de las relaciones deben coordinar a los proveedores y los clientes y asegurar la calidad de las relaciones con base en la confianza y la transparencia (por ejemplo, a través de acuerdos de niveles de servicio). DS2.3 Administración de riesgos del proveedor Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los estándares universales del negocio de conformidad con los requerimientos legales y regulatorios. La administración del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos, etc. DS2.4 Monitoreo del desempeño del proveedor Establecer un proceso para monitorear la prestación del servicio para asegurar que el proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del mercado. DS3 Administrar el desempeño y la capacidad La necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de un proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos de TI. Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua. DS3.4 Disponibilidad de recursos de TI Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los recursos de TI. Deben tomarse medidas cuando el desempeño y la capacidad no están en el nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prácticas de asignación de recursos. La gerencia debe garantizar que los planes de contingencia consideran de forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de TI. DS4 Garantizar la continuidad del servicio -57-

67 La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio. DS4.1 IT Marco de trabajo de continuidad Desarrollar un marco de trabajo de continuidad de TI para soportar la continuidad del negocio con un proceso consistente a lo largo de toda la organización. El objetivo del marco de trabajo es ayudar en la determinación de la resistencia requerida de la infraestructura y de guiar el desarrollo de los planes de recuperación de desastres y de contingencias. El marco de trabajo debe tomar en cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios internos y externos, su administración y sus clientes; así como las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres y los planes de contingencia de TI. El plan debe también considerar puntos tales como la identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos críticos, el procesamiento alternativo y los principios de respaldo y recuperación. DS4.2 Planes de continuidad de TI Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperación de todos los servicios críticos de TI. También deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicación y el enfoque de pruebas. DS4.3 Recursos críticos de TI Centrar la atención en los puntos determinados como los más críticos en el plan de continuidad de TI, para construir resistencia y establecer prioridades en situaciones de recuperación. Evitar la distracción de recuperar los puntos menos críticos y asegurarse de que la respuesta y la recuperación están alineadas con las necesidades prioritarias del negocio, asegurándose también que los costos se mantienen a un nivel aceptable y se cumple con los requerimientos regulatorios y contractuales. Considerar los requerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad, por ejemplo, de una a cuatro horas, de cuatro a 24 horas, más de 24 horas y para periodos críticos de operación del negocio. DS4.4 Mantenimiento del plan de continuidad de TI -58-

68 Exhortar a la gerencia de TI a definir y ejecutar procedimientos de control de cambios, para asegurar que el plan de continuidad de TI se mantenga actualizado y que refleje de manera continua los requerimientos actuales del negocio. Es esencial que los cambios en los procedimientos y las responsabilidades sean comunicados de forma clara y oportuna. DS4.5 Pruebas del plan de continuidad de TI Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementación de un plan de acción. Considerar el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el proveedor. DS4.6 Entrenamiento del plan de continuidad de TI Asegurarse de que todos las partes involucradas reciban sesiones de capacitación de forma regular respecto a los procesos y sus roles y responsabilidades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de las pruebas de contingencia. DS4.7 Distribución del plan de continuidad de TI Determinar que existe una estrategia de distribución definida y administrada para asegurar que los planes se distribuyan de manera apropiada y segura y que estén disponibles entre las partes involucradas y autorizadas cuando y donde se requiera. Se debe prestar atención en hacerlos accesibles bajo cualquier escenario de desastre. DS4.8 Recuperación y reanudación de los servicios de TI Planear las acciones a tomar durante el período en que TI está recuperando y reanudando los servicios. Esto puede representar la activación de sitios de respaldo, el inicio de procesamiento alternativo, la comunicación a clientes y a los interesados, realizar procedimientos de reanudación, etc. Asegurarse de que los responsables del negocio entienden los tiempos de recuperación de TI y las inversiones necesarias en tecnología para soportar las necesidades de recuperación y reanudación del negocio. DS4.9 Almacenamiento de respaldos fuera de las instalaciones Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los -59-

69 responsables de los procesos de negocio y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados. DS4.10 Revisión post-reanudación Una vez lograda una exitosa reanudación de las funciones de TI después de un desastre, determinar si la gerencia de TI ha establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en consecuencia. DS5 Garantizar la seguridad de los sistemas La necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. La administración de la seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad. DS5.1 Administración de la seguridad de TI Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio. DS5.2 Plan de seguridad de TI Trasladar los requerimientos de información del negocio, la configuración de TI, los planes de acción del riesgo de la información y la cultura sobre la seguridad en la información a un plan global de seguridad de TI. El plan se implementa en políticas y procedimientos de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las políticas y procedimientos de seguridad se comunican a los interesados y a los usuarios. DS5.3 Administración de identidad Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, operación del sistema, desarrollo y mantenimiento) deben ser identificables de manera única. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con -60-

70 necesidades de negocio definidas y documentadas y con requerimientos de trabajo. Los derechos de acceso del usuario son solicitados por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se implementan y se mantienen actualizadas medidas técnicas y procedimientos rentables, para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso. DS5.4 Administración de cuentas del usuario Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario. Debe incluirse un procedimiento que describa al responsable de los datos o del sistema como otorgar los privilegios de acceso. Estos procedimientos deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relacionados al acceso a los sistemas e información de la empresa son acordados contractualmente para todos los tipos de usuarios. La gerencia debe llevar a cabo una revisión regular de todas las cuentas y los privilegios asociados. DS5.5 Pruebas, vigilancia y monitoreo de la seguridad Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma proactiva. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención. El acceso a la información de ingreso al sistema está alineado con los requerimientos del negocio en términos de requerimientos de retención y de derechos de acceso. DS5.6 Definición de incidente de seguridad Garantizar que las características de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de administración de problemas o incidentes. Las características incluyen una descripción de lo que se considera un incidente de seguridad y su nivel de impacto. Un número limitado de niveles de impacto se definen para cada incidente, se identifican las acciones específicas requeridas y las personas que necesitan ser notificadas. DS5.7 Protección de la tecnología de seguridad Garantizar que la tecnología importante relacionada con la seguridad no sea susceptible de sabotaje y que la documentación de seguridad no se divulgue de forma innecesaria, es decir, que -61-

71 mantenga un perfil bajo. Sin embargo no hay que hacer que la seguridad de los sistemas dependa de la confidencialidad de las especificaciones de seguridad. DS5.9 Prevención, detección y corrección de software malicioso Garantizar que se cuente con medidas de prevención, detección y corrección (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de toda la organización para proteger a los sistemas de información y a la tecnología contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado internamente, etc.). DS8 Administrar la mesa de servicio y los incidentes Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien diseñada y bien ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz y resolución. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo. DS8.1 Mesa de Servicios Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Deben existir procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI. DS8.2 Registro de consultas de clientes Establecer una función y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de información. Debe trabajar estrechamente con los procesos de administración de incidentes, administración de problemas, administración de cambios, administración de capacidad y administración de disponibilidad. Los incidentes deben clasificarse de acuerdo al negocio y a la prioridad del servicio y enrutarse al equipo de administración de problemas apropiado y se debe mantener informados a los clientes sobre el estatus de sus consultas. DS8.3 Escalamiento de incidentes -62-

72 Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas. Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de resolución. DS8.4 Cierre de incidentes Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los clientes. Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el cliente. DS8.5 Análisis de tendencias Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua. DS9 Administrar la configuración Garantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido. DS9.1 Repositorio de configuración y línea base Establecer un repositorio central que contenga toda la información referente a los elementos de configuración. Este repositorio incluye hardware, software aplicativo, middleware, parámetros, documentación, procedimientos y herramientas para operar, acceder y utilizar los sistemas y los servicios. La información importante a considerar es el nombre, números de versión y detalles de licenciamiento. Una línea base de elementos de configuración debe mantenerse para cada sistema y servicio, como un punto de control al cual regresar después de realizar cambios. DS9.2 Identificación y mantenimiento de elementos de configuración Contar con procedimientos en orden para: Identificar elementos de configuración y sus atributos -63-

73 Registrar elementos de configuración nuevos, modificados y eliminados Identificar y mantener las relaciones entre los elementos de configuración y el repositorio de configuraciones. Actualizar los elementos de configuración existentes en el repositorio de configuraciones. Prevenir la inclusión de software no-autorizado Estos procedimientos deben brindar una adecuada autorización y registro de todas las acciones sobre el repositorio de configuración y estar integrados de forma apropiada con los procedimientos de administración de cambios y administración de problemas. DS9.3 Revisión de integridad de la configuración Revisar y verificar de manera regular, utilizando cuando sea necesario herramientas apropiadas, el estatus de los elementos de configuración para confirmar la integridad de la configuración de datos actual e histórica y para comparar con la situación actual. Revisar periódicamente contra la política de uso de software, la existencia de cualquier software personal o no autorizado de cualquier instancia de software por encima de los acuerdos de licenciamiento actuales. Los errores y las desviaciones deben reportarse, atenderse y corregirse. DS10 Administrar los problemas Una efectiva administración de problemas requiere la identificación y clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de problemas. El proceso de administración de problemas también incluye la identificación de recomendaciones para la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario. DS10.1 Identificación y clasificación de problemas Implementar procesos para reportar y clasificar problemas que han sido identificados como parte de la administración de incidentes. Los pasos involucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes; son determinar la categoría, impacto, urgencia y prioridad. Los problemas deben categorizarse de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de usuarios y clientes, y son la base para asignar los problemas al personal de soporte. DS10.2 Rastreo y resolución de problemas -64-

74 El sistema de administración de problemas debe mantener pistas de auditoría adecuadas que permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados considerando: Todos los elementos de configuración asociados. Problemas e incidentes sobresalientes. Errores conocidos y sospechados. Identificar e iniciar soluciones sostenibles indicando la causa raíz, incrementando las solicitudes de cambio por medio del proceso de administración de cambios establecido. En todo el proceso de resolución, la administración de problemas debe obtener reportes regulares de la administración de cambios sobre el progreso en la resolución de problemas o errores. La administración de problemas debe monitorear el continuo impacto de los problemas y errores conocidos en los servicios a los usuarios. En caso de que el impacto se vuelva severo, la administración de problemas debe escalar el problema, tal vez refiriéndolo a un comité determinado para incrementar la prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que resulte más pertinente. El avance de la resolución de un problema debe ser monitoreado contra los SLAs. DS10.3 Cierre de problemas Disponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la eliminación exitosa del error conocido o después de acordar con el negocio cómo manejar el problema de manera alternativa. DS10.4 Integración de las administraciones de cambios, configuración y problemas Para garantizar una adecuada administración de problemas e incidentes, integrar los procesos relacionados de administración de cambios, configuración y problemas. Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas. DS13 Administrar las operaciones Un procesamiento de información completo y apropiado requiere de una efectiva administración del procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI. -65-

75 DS13.5 Mantenimiento preventivo del hardware Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución del desempeño Monitoreo y Evaluación ME ME2 Monitorear y evaluar el control interno Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables. ME2.6 Control interno para terceros Determinar el estado de los controles internos de cada proveedor externos de servicios. Confirmar que los proveedores externos de servicios cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales. Esto puede ser provisto por una auditoría externa o se puede obtener de una revisión por parte de auditoría interna y por los resultados de otras auditorias ISO Con el fin de complementar este capítulo y tratando de cubrir las mejores prácticas se decidió incluir en esta investigación el estándar para la seguridad de la información ISO/IEC (Information technology - Security techniques - Information security management systems - Requirements) SGSI. Este estándar de acuerdo a lo publicado n la norma específica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido Ciclo de Deming : PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC (actual ISO/IEC 27002) y tiene su origen en la norma BS :2002, desarrollada por la entidad de normalización británica, la [British Standards Institution] (BSI) Dimitris Petropoulos Managing Director ENCODE Middle East, ISO/IEC 27001:2005 A brief introduction, Septiembre

76 Finalidad del modelo Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización. Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un proceso. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos. 53 Los objetivos que se persigue la norma se enlistan a continuación: Evaluar la efectividad de las medidas de seguridad del SMSI con respecto a las métricas preestablecidas. Evaluar el ISMS y su permanente actualización. Proveer una guía estándar para evaluar las revisiones, facilitar las mejoras y para proveer trazar para posibles auditorias Comunicar, dentro de la organización, la importancia de la seguridad. Ser una herramienta para el análisis y tratamiento del riesgo Beneficios de la implementación de la ISO La norma ISO establece en el documento ISO/IEC 27001:2005 A brief introduction, que como principales beneficios que otorga la norma a la empresa que la implanta se menciona a continuación: 54 Establecimiento de una metodología de gestión de la seguridad clara y estructurada. Reducción del riesgo de pérdida, robo o corrupción de información. Los clientes tienen acceso a la información a través medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. 53 Dimitris Petropoulos Managing Director ENCODE Middle East, ISO/IEC 27001:2005 A brief introduction, Septiembre ISO27000IEC, Sistema de Gestión de Seguridad de la información SGSI, Septiembre

77 Proceso de Implementación del ISMS Con el fin de que la norma se establezca de acuerdo a los requerimientos de esta misma, se desarrollo una serie de pasos que concluirán con la exitosa implementación. 55 Reunir al equipo de trabajo Definir el alcance Identificar activos de información Determinar el valor de los activos Determinar los riesgos Determinar las políticas y el grado de aseguramiento y controles Identificar los objetivos de control y controles Definir las políticas, procedimientos y controles a implementar. Implantación de políticas, procedimientos y controles Complementar los requerimientos del ISMS Auditoria y revisión del ISMS A continuación se detallan las principales pasos del proceso: Políticas de seguridad: El estándar define como obligatorias las políticas de seguridad documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad. Organización de activos y recursos: Para ayudarle a administrar la seguridad de la información dentro de la organización. Clasificación y control de activos: El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad. 55 ISO27000IEC, Sistema de Gestión de Seguridad de la información SGSI, Septiembre

78 Seguridad del personal: Proporcionar controles a las acciones del personal que opera con los activos de información. El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la información. Seguridad ambiental y física: Identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida. Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado La norma ISO Áreas que se deben cubrir Entre los aspectos que debe considerar y no solo considerarlos si no que deben de estar cubiertos para garantizar el cumplimiento de la norma. Marco de las normas de gestión de la seguridad de la información. Sistema de gestión de la seguridad de la información. Análisis y gestión de riesgos. Controles y salvaguardas. Auditoria. Directrices de implantación de los sistemas de gestión de la seguridad de la información. Difusión y concienciación. Así también, cabe considerar aspectos tales como los siguientes: o o o o Productos y servicios. Política y procedimientos. Personal Seguridad Física -69-

79 o Esquemas de Reporte. 56 Se resume que esta norma pretende aportar las bases para tener en consideración todos y cada uno de los aspectos que puede suponer un incidente en las actividades de negocio de la organización COSO COSO: Committee of Sponsoring Organizations (COSO) of the Treadway Commission. Es una organización privada y voluntaria dedicada a mejorar la calidad de los reportes financieros a través de la ética de negocios, controles internos efectivos y gobierno corporativo. En 1992, trabajó para definir un nuevo marco conceptual de control interno capaz de integrar las diversas definiciones y conceptos que se utilizan sobre este tema. El informe resultante marcó un hito en el ámbito del control interno. El control integrado, al que con frecuencia se hace referencia como COSO brinda una base sólida para establecer los sistemas de control interno y determinar su eficacia Control interno El control interno se define como el proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos COSO y el soporte técnico El control interno es una parte fundamental de las organizaciones modernas. Las empresas que ofrecen sus servicios de Outsourcing en el área de soporte técnico no escapan a la necesidad de contar con un control interno eficaz, eficiente y efectivo. Así, COSO es una mejor práctica que puede ser considerado por este tipo de empresas como una mejor práctica para su control interno Objetivos de COSO alineados al soporte técnico El marco conceptual definido tiene como objetivos generales el que los controles internos definidos en una organización aseguren: La efectividad y eficiencia de las operaciones 56 Aenor, asociación española de normalización y certificación El control interno es un proceso llevado a cabo por las personas de una organización, Septiembre Bermúdez Gómez, Hernando. Nuevos desarrollos del modelo de control interno sugerido por coso, eo.ppt+enterprise+risk+management+framework+%e2%80%93+executive+summary+(coso)&cd=3&hl=es&ct=clnk&gl= mx&lr=lang_es, Septiembre

80 Actividades de control relacionadas con el soporte técnico 58 Las actividades de control deben ser diseñadas tomando en consideración sus objetivos, los riesgos existentes y su interrelación con los elementos de control. Estas actividades incluyen entre otras acciones: aprobación, autorización, verificación, conciliación, inspección, revisión de indicadores de performance, protección de recursos, segregación de funciones, supervisión, y capacitación. Algunas de las actividades de control se encuentran integradas en sistemas computarizados que se establecen para asegurar la confiabilidad de la información financiera y gerencial, sistemas de alarma y de seguridad de acceso. Este tipo de controles se pueden agrupar en dos grupos: Controles Generales. Tienen el propósito de asegurar su operación y continuidad adecuada, e incluyen el control sobre el centro de computo y su seguridad física, contratación y mantenimiento del software y hardware, el desarrollo y mantenimiento a los sistemas, el soporte técnico, la administración de la base de datos, así como contingencias Controles de Aplicación. Están dirigidos para trabajar dentro de los sistemas con el fin de lograr el procesamiento, la integridad y confiabilidad de la información mediante la autorización y validación correspondiente Monitoreo relacionado con el soporte técnico Los procesos de Soporte técnico son monitoreados por el control interno el cual requiere de supervisión, es decir, un proceso que compruebe que se mantienen funcionando adecuadamente a lo largo del tiempo. Esto se consigue mediante actividades de supervisión continua, evaluaciones periódicas o una combinación de ambas cosas. La supervisión continua se da en el transcurso de las operaciones. Incluye tanto las actividades normales de dirección y supervisión, como otras actividades que lleva a cabo el personal en la realización de sus funciones ISO :2005 La existencia de normas internacionales para la gestión de servicios de TI permite a las organizaciones de todo el mundo trabajar en colaboración y les ofrece unas directrices de gran valor para reafirmar su credibilidad en el mercado. Una nueva norma recientemente publicada, la ISO 20000, ofrece a las compañías la oportunidad de demostrar a sus clientes y accionistas la 58 Bermúdez Gómez, Hernando. Nuevos desarrollos del modelo de control interno sugerido por coso, eo.ppt+enterprise+risk+management+framework+%e2%80%93+executive+summary+(coso)&cd=3&hl=es&ct=clnk&gl= mx&lr=lang_es, Septiembre

81 integridad y seguridad de sus operaciones, y promueve una cultura de mejora continua de la calidad en materia de gestión de servicios tecnológicos 59. Este nuevo estándar promueve la adopción de un modelo de procesos integrados destinado a mejorar la eficacia en la prestación de los servicios tecnológicos y establece las directrices para una gestión de servicios de TI de calidad (véase la Figura 4.2.5). La publicación de la ISO demuestra que las Tecnologías de la Información (TI) han llegado a un punto de madurez que obliga a la mayoría de las organizaciones a adoptarlas para poder sobrevivir. La documentación donde se definen las especificaciones de la norma se publicó en Figura La nueva norma se basa en la norma británica BS y está estrechamente ligada al modelo ITIL (IT Infrastructure Library). La ISO es un código que proporciona las bases para medir y validar el éxito de una organización a la hora de implementar las buenas prácticas definidas por ITIL. La ISO 20000, que sustituye a la norma BS 15000, proporciona una fórmula estándar para verificar que las organizaciones han adoptado las mejores prácticas de Gestión de Servicios de TI según lo establecido por el modelo ITIL, que ha estado actuando como estándar de facto en materia de gestión de servicios durante casi 20 años. La BS 15000, una norma británica publicada por primera vez en el año 2000 para impulsar la adopción de un modelo de procesos integrados destinado a una prestación más eficaz de los servicios tecnológicos, se basa en el modelo ITIL PMI ISO/IEC :2005. Abstract, Septiembre

82 PMI Internacional fue fundado en 1969 con socios voluntarios. Durante los años setenta PMI se desarrolló principalmente en el campo de la ingeniería, mientras tanto el mundo de los negocios desarrollaba sus proyectos a través de especialistas de la misma empresa y formaban grupos de trabajo llamados Task Force. Para los años ochenta, el mundo de los negocios comenzó gradualmente a dirigir sus esfuerzos por proyectos. Durante este tiempo el PMI, a través del comité de estándares y colaboradores (entre ellos empresas, universidades, asociaciones de profesionales, especialistas y consultores en proyectos) realizó el estudio, evaluación y revisión de los estándares generalmente aceptados a nivel internacional, dando como resultado los estándares que representan el cuerpo de conocimientos de la Dirección de Proyectos, cuyo título original es Project Management Body of Knowledge (PMBOK). En 1987 se publicó su primera edición Actividades El PMI está activamente involucrado en abogar por la profesión, estableciendo estándares profesionales, conduciendo investigación y proveyendo acceso a un acervo muy vasto de información y recursos. Del mismo modo, el PMI promueve el desarrollo de la profesión ofreciendo la posibilidad de hacer networking, creación de oportunidades de colaboración y de participar como voluntario en proyectos globales, y ofreciendo tres certificaciones, entre ellas, una de las más respetadas mundialmente: PMP CAPM PgMP El PMI (Project Management Institute Instituto de Gerencia de Proyectos), es la institución líder en el mundo, dedicada a impulsar la gestión de proyectos. El PMBOK (Project Management Body of Knowledge - Cuerpo de Conocimiento de Gerencia de Proyectos), es el libro que rige los conocimientos para la administración de proyectos. 60 Project Management Institute. Qué es el Project Management Institute?, Julio

83 Características de un proyecto Características de un Proyecto: Figura : Características de un proyecto 1. Tiene un principio y un fin. 2. Tiene un calendario definido de ejecución. 3. Se planea. 4. Necesita la concurrencia de varias personas en función de unas necesidades específicas. 5. Cuenta con un conjunto de recursos Etapas de la Administración de Proyectos Equipo del Proyecto Origen INICIO PLANEACIÓN EJECUCIÒN CONTROL CIERRE Carta Alcance Plan Avance Aceptación Entrega PRODUCTO FINAL Figura : Etapas de la Administración de Proyectos -74-

84 Inicio o o Carta Proyecto. Organización del proyecto. Planeación o o Plan del proyecto. Control de cambios. Ejecución y control o Reporte de estado: avances y desviaciones. Cierre o Carta entrega/aceptación de servicios. 4.3 Tecnología El uso de tecnología o herramientas para la administración del servicio de soporte técnico aumenta la calidad y mejora de este servicio, además de facilitar esta tarea. A continuación se describe la herramienta principal para la gestión del servicio de soporte técnico Tecnología para la Mesa de Ayuda Se encargan del seguimiento y control de eventos, con un fuerte enfoque y especialización hacia el soporte y mantenimiento de redes, sistemas (servidores) y aplicaciones. Permiten el seguimiento completo de cualquier incidente, desde la apertura hasta el cierre, garantizando el cumplimiento de los niveles de servicio acordados; ya sea enviando notificaciones oportunas mediante correo electrónico a las personas encargadas, realizando encuestas de satisfacción de usuario, ó generando reportes Características Generales Se accesan vía web a través de cualquier navegador (Internet Explorer, mozilla firefox, safari etc.), por lo cual no es necesario instalar ningún programa o plugin especifico, y puede ser accesadas desde cualquier parte del mundo. Basadas en tecnologías de Servidor de Aplicaciones Empresarial lo cual garantiza: o Alta seguridad -75-

85 Cumplen con todos los requisitos de un Servidor de Aplicaciones Empresarial, resistencia a ataques de red, encriptación, etc. Acceso a ellas únicamente de personal autorizado, los cuales pueden ser manejados desde un LDAP (Active Directory, OpenLdap, etc.) Su código fuente cumple con las especificaciones de estándares empresariales, lo cual le asegura resistencia a ataques en código. o Alto desempeño, disponibilidad y escalabilidad. Altamente configurables: Los catálogos (fallas, dispositivos, sucursales, etc.), las etapas ó ciclo de vida que debe seguir un evento, los niveles de servicio (incluyendo calendarios para días festivos y los horarios de atención por día de la semana) y los usuarios que lo usan y los que reportan, son totalmente configurables. Manejan multilenguaje: Todos los títulos, etiquetas y mensajes de error aparecen en el idioma configurado en el navegador web. Usualmente se tiene en inglés y español, pero puede ser adicionado cualquier otro idioma. Cuentan con múltiples perfiles de acceso: Se tienen definidos distintos perfiles a los cuales se les permite ó no ver partes de la aplicación o realizar determinadas acciones: administrador, supervisor, agente, operativo, cliente. Se encargan del seguimiento completo y control de eventos: Se tiene el control total de la historia de las etapas y el tiempo en cada una de ellas, los comentarios de todos los involucrados. Asimismo, se pueden enviar notificaciones por correo, por ejemplo, que un ticket le ha sido asignado a un Ingeniero de campo, o que un evento tiene un porcentaje de tiempo dado en base al nivel de servicio asignado hacia los responsables. Aplican encuesta de satisfacción: Para pasar un ticket a estado cerrado, es necesario que el usuario final llene una encuesta de satisfacción vía WEB. Se cuenta con reportes de estas encuestas, para saber, por ejemplo, la opinión desde el punto de vista usuario final de la calidad del servicio recibido en un mes, en determinada sucursal. Generan reportes: Se generan reportes predefinidos, algunos de los cuales aceptan parámetros como fechas y estados de los tickets para su generación, y son exportables a formatos Excel, PDF y Word. Se puede crear reportes personalizados de acuerdo a las necesidades especificas del cliente (se diseñan de forma independiente a la aplicación) y agregarlos fácilmente. -76-

86 Multiempresa: La aplicación puede ser usada para dar atención a más de una empresa. Si un cliente accede, solo vera la información que le pertenece, la información de otros clientes permanece totalmente oculta, inclusive en los reportes Descripción Detallada Las mesas de ayuda son sistemas que permiten el registro, seguimiento y control del ciclo de vida de un evento denominado TICKET. El sistema es una aplicación Web, esto quiere decir que se puede tener acceso a la aplicación desde cualquier computador con acceso a Internet siempre y cuando se disponga de un nombre y una clave de usuario. Este tipo de sistemas están formados por un menú que esta divido en 2 grandes módulos: Módulo de Catálogos Módulo donde se concentra la información requerida para que el sistema pueda operar, en este apartado se incluye el calendario laboral y los niveles de servicio que son la base para la gestión de los tickets en cada uno de los estados predefinidos. Módulo de reportes Modulo que contiene los reportes prediseñados con la información requerida tanto para coordinar y supervisar la operación del día a día de la empresa como la necesaria para la toma de decisiones. Al tratarse de mesas de ayuda que gestiona eventos, están especializadas en el seguimiento del ticket tomando como base 2 grandes rubros: Funciones generales 1. Acceso vía web a través de cualquier navegador (Internet Explorer, mozilla firefox, safari, etc.) 2. Función de uso independiente del Sistema Operativo, se puede utilizar Windows, Ubuntu, etc.) 3. Seguridad de acceso utilizando un servidor de aplicaciones. 4. Interfaz gráfica amigable. 5. Alta, modificación y eliminación de registros en cada uno de los catálogos que forman el menú. -77-

87 6. Creación de ticket capturando información general tal como, nombre del cliente, detalle de falla, localización del lugar donde se localiza la falla. 7. Modificación de información del evento aun cuando este se encuentre activo. 8. Identificación del evento por medio de una ID única para cada ticket. 9. Ventana de tiempo de sesión configurable de acuerdo a la necesidad del cliente, representada por medio de un cronómetro en pantalla. 10. Asignación del evento a personal de campo 11. Especificación de estatus del evento (abierto, en atención, pendiente, cerrado) con la ventaja de poder aumentarlos de acuerdo a las necesidades. 12. Generación de reportes predefinidos utilizando periodos de tiempo específicos. 13. Personalización de reportes atendiendo necesidades especificas de información. Especificación de atención al seguimiento del ticket, la supervisión y el control del mismo. Ventanas de tiempo de atención (nivel de servicio) definidas para cada cliente; especificando diferentes horarios para cada tipo de atención. Las ventanas de tiempo son apoyadas por la creación de un calendario laboral especifico para cada cliente y tipo de atención, la funcionalidad básica se centra no solamente en el ciclo de vida de del ticket (apertura, seguimiento y cierres) La gestión de los eventos (tickets) se basa en la transición a través de estatus previamente definidos y la secuencia entre cada uno de ellos. Envío de alertas vía correo electrónico activadas por los siguientes eventos: o o o Cuando se asigna el evento a un usuario registrado en la aplicación, con copia a su jefe inmediato. Cuando se termina el evento o a la cancelación del mismo, tanto al personal asignado como a su jefe inmediato. Notificaciones vía correo electrónico a cualquier dirección electrónica; indicando el avance del ciclo de vida del ticket (al 50%, 75% y 100%) de acuerdo a la ventana de tiempo total asignado al nivel del servicio del cual depende el ticket registrado. -78-

88 o o o o Notificaciones vía correo electrónico a cualquier dirección electrónica, con un espacio de tiempo configurable indicando la expiración del estatus en el que se encuentra el evento. Indicadores en pantalla con la duración del evento, tomando en cuenta calendario laboral y tiempo y nivel de servicio asignado (ventana de tiempo) Indicadores en pantalla visualizado como una tabla con la trama del evento, estatus por el cual ha pasado, duración en cada estatus y responsable de la operación por estatus. Campos para capturar información adicional que pueda ser relevante para el seguimiento del evento Sistemas de automatización del ciclo de vida de TI Ofrecen soluciones de automatización del ciclo de vida de TI diseñadas para ayudar a las organizaciones de TI a administrar, asegurar y respaldar todos los activos de TI, ofreciendo una entrega de servicios efectiva, pueden reducir los costos operativos, aumentar la eficacia de las operaciones, establecer la base del crecimiento futuro y hacer que TI se ajuste a las prioridades de la empresa Funciones principales Aportan soluciones integradas de administración del ciclo de vida de TI. Poseen consola común basada en Web. Repositorio único extensible y base de datos de administración de configuraciones. Instalación y migración de SO sin intervención del usuario. Inventario integrado de hardware y software. Administración de software basada en políticas. Administración de parches automatizada. Auto reparación de aplicaciones y administración de configuraciones Ventajas de su uso Disminuyen los costos derivados de la entrega de servicios y mejoran la calidad de los servicios. -79-

89 Obtienen visibilidad y control de los recursos informáticos. Automatizan los procesos manuales. Aumentan el nivel de seguridad del sistema. Estandarizan y consolidan procesos. Disminuyen el tiempo de creación de imágenes, implementación y migración. Disminuyen el costo total de los activos informáticos corporativos. Reducen el tiempo fuera de servicio y los errores humanos Tecnología de Seguridad Las empresas deben estar preparadas para defenderse contra los riesgos actuales de la información electrónica, y no solo responder ante una intrusión, es una cuestión que va más allá de los virus. Personas y accesos. Normativa y aspectos legales. Auditabilidad y monitorización. El cambio es claro, cada pérdida de información empresarial impacta en el negocio negativamente, por tal motivo debe de cubrirse la seguridad interna y externa, desde los perímetros de acceso hasta los sistemas internos, de empleados que hagan mal uso, usuarios externos y accesos no autorizados. Datos electrónicos Redes y puntos de entrada Aplicaciones y procesos Por esta razón que el grado de incorporación de tecnología e innovación, y las exigencias en seguridad digital, son uno de los principales pilares de cualquier organización en la actualidad, a continuación se describen algunas herramientas que se encargan de dicha seguridad Software de encriptación de datos Son programas de encriptación para seguridad personal y profesional. Permiten proteger la privacidad de archivos, carpetas, y mensajes confidenciales encriptándolos (cifrándolos) con -80-

90 diferentes tipos algoritmos de encriptación robustos. Una vez que la información ha sido encriptada, puede ser almacenada en un medio inseguro, o transmitida por una red insegura (como Internet), y aún así permanecer secreta. Luego, la información puede ser desencriptada (descifrada) a su formato original. Este tipo de Software es usado principalmente para encriptar discos duros enteros, particiones, dispositivos como unidades de memoria USB, archivos, carpetas, y además de dar la posibilidad de creación de unidades de disco virtuales. La mayoría de estos Software de encriptación tienen la característica de seleccionar la vida útil que tendrán nuestros datos, mediante el establecimiento de una fecha para su auto-destrucción. Pasada dicha fecha la información se vuelve ilegible Tecnología de Monitoreo En la actualidad la calidad de los servicios que ofrecen las Empresas, se ve reflejada en gran medida, en la disponibilidad y continuidad en la operación de su infraestructura de cómputo. Es por esta razón, que las áreas responsables de monitorear el funcionamiento de los equipos de cómputo y comunicaciones, requieren de herramientas que les permitan recibir e interpretar los diferentes mensajes, que de forma continua están enviando estos dispositivos y de ésta manera, contar con información valiosa, que les permita prevenir o corregir situaciones de error que puedan entorpecer o detener su operación de negocio. El monitoreo en tiempo real de los equipos de cómputo y comunicaciones, permite conocer información valiosa para prevenir -y posteriormente corregir, situaciones de error o de alerta que puedan entorpecer o detener los servicios y afectar la continuidad de operación de la plataforma tecnológica Herramientas de monitoreo Conforme a la recomendación de las mejores prácticas de ITIL para la selección de herramientas, la evaluación se debe basar en la capacidad de la herramienta para soportar la funcionalidad del proceso y la capacidad de soportar la interacción y flujo de información entre los procesos Las principales razones porque las Empresas requieren de herramientas son: Las demandas de los clientes son más complejas. Mayor dependencia del Negocio en los Servicios de TI. Mejorar la seguridad y servicio al cliente. Integración de ambientes de diferentes proveedores. Mayor complejidad en la infraestructura de TI. -81-

91 Creación de estándares internacionales. Incremento en el alcance y frecuencia de los cambios. Mayor exigencia en demostrar el ROI de los Servicios de TI. Incremento en la demanda de compartir datos entre los procesos de la Administración de Servicios de TI. Se deben tener claros cuales son los alcances para los que las Herramientas se van a orientar, desde el punto de vista de Administración de Servicios, se considera que esté enfocada en tecnología, que se permita el Monitoreo de componentes, que facilite la Gestión de sistemas y que integre una Perspectiva de TI. Para el enfoque desde la Administración de Servicios, se considera que maneje Integración entre los procesos, que permita el Mapeo de los Servicios de TI como son consumidos / experimentados, que funcione como Repositorio de datos compartido para la generación de reportes y permita la generación de Métricas de la perspectiva del cliente y de TI. Es recomendable para la selección de la herramienta, basar la decisión en el proceso de definición del servicio y operación de la Empresa. Por lo que se deberán considerar los requerimientos de la herramienta desde las etapas de Estrategia y Planeación, es decir incluir cuales son las herramientas y tecnología actual son empleadas para: Mesa de Servicio / herramientas de Administración de Servicios Herramientas de monitoreo y descubrimiento Funciones principales Las funciones principales que se deben considerar en la selección de la herramienta, tenemos: Monitoreo de los Niveles de Servicio, tiempos de respuesta y resolución. Escalabilidad. Clientes distribuidos con una base de datos centralizada y compartida. Conversión de datos previamente almacenados. Respaldo y almacenamiento de datos. Tipo de Reportes. -82-

92 Alternativas de soporte ofrecidas por el proveedor. Opciones de capacitación ofrecidas por el proveedor. Costos: Software / Hardware (compra e instalación) Vs. los de Capacitación / desarrollo y customización / consultoría / mantenimiento y soporte. Seguridad, estructura de datos, manejo de datos e integración. Integración con herramientas de distintos proveedores. Alineado con estándares abiertos. Flexibilidad para la implementación, uso y compartir datos. Facilidad de uso (amigable). Capacidad de importar paquetes de datos (listas de correo, hojas de cálculo, CSV, etc.). Reputación y trayectoria del proveedor. Referencias con implementaciones similares (ej. Tamaño, industria, ubicaciones, distribución, etc.). Funcionalidad. Arquitectura. Requerimientos del Sistema Ventajas de uso Son independientes de la plataforma. Son independientes de la fuente de información. Alta escalabilidad. Alta confiabilidad. Alta disponibilidad Monitorean información en tiempo real. Son flexibles para adaptación al cambio de reglas de negocio. -83-

93 Tienen capacidad para conexión con otros sistemas, por ejemplo: Mesas de Ayuda y Sistemas de Análisis de Información para toma de decisiones. -84-

94 Capítulo V. Propuesta de Modelo de seguridad para Empresas de Outsourcing En este capítulo se presenta un modelo para facilitar la obtención de un adecuado control de riesgos para una Empresa que presta servicios de Outsourcing de Soporte Técnico dentro de las Tecnologías de Información y Comunicación, que permita entre otros evitar y/o disminuir las fallas en los sistemas, redes, equipo de cómputo y así como el software y el manejo de los mismo datos, de cualquier tipo de ataques o desastres antes de que estos sucedan. Además, de minimizar los riesgos propios a la información que se maneja. 5.1 Objetivos del Modelo Promover la adopción de un enfoque donde se establezcan las pautas para definir, formalizar, implementar, operar, monitorear y ajustar el proceso de servicio de soporte técnico de una organización considerando las medidas de seguridad adecuadas que mitiguen los riesgos a los que se enfrenta en cada una de sus etapas del ciclo del servicio. Buscando: Lograr una mejor alineación de las capacidades TI con las necesidades y las estrategias de negocio, garantizando la seguridad de la operación y del manejo de la información. Mejorar el control de la provisión de los servicios TI para el negocio. 5.2 Finalidad del Modelo Consiste en implementar una serie normas, políticas y procedimientos basados en los modelos de mejores prácticas y de normas internacionales que se describieron en el capítulo III de este documento, para verificar que la operación de cualquier Empresa dedicada a brindar los servicios de soporte técnico en Outsourcing, cumpla con las condiciones mínimas de seguridad, tanto en el manejo mismo de la información, como en cada una de las actividades que se llevan a cabo para la entrega del servicio al cliente final. Como resultado de la verificación, se generarán las recomendaciones propias a la Empresa, para que complemente, corrija o modifique su operación, para lograr cumplir con los objetivos de minimizar y mitigar los potenciales riesgos de seguridad encontrados. Así mismo, se harán las recomendaciones para que de manera regular, una vez implementado dicho modelo, se busque la mejora continua dentro de los procesos de la Empresa. Debido a que en las Empresas de servicio, el personal es uno de sus activos principales, se considera un análisis específico y detallado en medidas y recomendaciones de seguridad, que -85-

95 implican desde los procesos de reclutamiento y selección, hasta la entrega del servicio y la evaluación de desempeño por parte del cliente final. De los principales aspectos de seguridad que se incluyen en el modelo son: Desarrollo e implantación de políticas, estándares y procedimientos operativos de seguridad. Desarrollo, configuración y operación de controles de seguridad congruentes con la estrategia de seguridad de la empresa. Identificar vulnerabilidades en la infraestructura tecnológica y lograr su corrección. Monitoreo de indicadores de control y de cumplimiento normativo. Asesoría y apoyo a la organización en requerimientos de seguridad de la información. Proveer a la organización de reportes operativos periódicos de seguridad de la información. En esencia, el modelo propuesto busca cambiar la visión tradicional que se tiene en la prestación de servicios, hacia una orientación sustentada, como hemos hecho énfasis, en las mejores prácticas descritas en el capítulo anterior. Se busca la implementación de un ciclo completo y bien definido del servicio, que permita la entrega final del Valor que el cliente espera. Figura 5.2: Transformación de TI Tradicional a TI Orientado. 61 Para la construcción de nuestro modelo, se tomó como lineamiento principal la definición de servicios propuesta en ITIL, esto es, nuestro modelo hace referencia a las etapas del ciclo de vida 61 Pink Elephant. Metodología ITIL V3, Septiembre

96 de servicio, y las complementamos con las recomendaciones y sugerencias, normas y procedimientos que promuevan la seguridad en cada etapa del ciclo. 5.3 Arquitectura del Modelo Este modelo considera los principales elementos referidos en las normas, recomendaciones de mejores prácticas y estándares internacionales relacionados con la seguridad de la información, según se describe en el capítulo III de este documento. Uno de los beneficios adicionales de contar con este modelo, es el reforzamiento a encaminarse hacia el Gobierno de las TI, aún y cuando en su diseño no se enfocó esta orientación, ya que esto implica que no solo se cubran temas de seguridad y de riesgos, sino que al mismo tiempo apoya a lograr aspectos de estructura organizacional, descripciones de cargo y tareas, definiciones de misión y visión, no solo a nivel gerencial, operacional y directivo, sino que a nivel de cada área de TI. Se presenta el modelo de seguridad propuesto para Empresas de servicios de soporte técnico de Outsourcing en forma esquemática. Se resume agrupando todas las actividades, con la recomendación de en que cada una de estas, se deberá aplica el ciclo de mejora continua de manera permanente. Las actividades son secuenciales y a la vez se comportan en un estado cíclico con periodos de tiempos en su ciclo, que varían dependiendo de cada organización y del estado de avance que ella tenga respecto a temas de seguridad de la información. El diagrama conceptual del modelo es el siguiente: Modelo de Seguridad Detección de necesidades Análisis de Riesgo Sensibilización Apoyo de la Dirección Oficial de la S. I. Elaboración de PSI Elaboración de Procedimientos Controles de las TI Evaluación y control Evidencias Mejora Continua Control de la documentación Planes de Acción Figura 5.3 Modelo de Seguridad. -87-

97 A continuación se presenta una descripción de cada una de las fases y actividades que ellas consideran, basadas en las normas y recomendaciones de las mejores prácticas: COSO, COBIT, ITIL, ISO e ISO Detección de Necesidades: Corresponde al levantamiento de todas las actividades relacionadas con los impactos que la organización pueda tener en relación con su seguridad de la información. Incluye una identificación clara de las dependencias, relaciones y límites que existen entre el alcance definido y aquellas partes que no hayan sido consideradas 2 Análisis y evaluación de Riesgo: Corresponde a evaluar todos los potenciales riesgos en los cuales se pueda ver envuelta la organización por aspectos emanados de las TI y que impactan en la seguridad de la información. Incluye la preparación del Informe resultado de aplicar la Metodología de Evaluación de riesgos, que es la descripción de cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado, así como el tratamiento y desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables. 3 Apoyo de la Dirección: Corresponde a la presentación del resultado de las etapas anteriores con el fin de conseguir el apoyo para concretar la implementación de la seguridad de la información. Incluye la elaboración del Plan de tratamiento de riesgos, documento que identifica las acciones de la Alta Dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas en el análisis y evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles (presupuestos, personal, capacitación, etc.). 4 Oficial de la Seguridad de la información - OSI: La organización debe designar a un OSI para que realice, apoye, dirija y pueda llevar el control de implementación y posterior seguimiento a todo el modelo de seguridad de la información. Además el OSI estará presente en todas las actividades y con énfasis en la fase de aplicación en la cual participa en forma activa en todas las actividades que se indican de aquí en adelante. 5 Elaboración de la Política de Seguridad de la Información - PSI: Corresponde al diseño de las Políticas de Seguridad de la Información de la organización. Documento que establece el compromiso de la Alta Dirección y el enfoque de la organización en la gestión de la seguridad de la información. 6 Elaboración de procedimientos, instructivos y guías: Corresponde al desarrollo de documentos que formalicen como se deben realizar las actividades y que información es la que se debe retener como evidencia para dar conformidad a las PSI y que regulan el propio -88-

98 funcionamiento del modelo. Documentación necesaria para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados -Métricas. 7 Controles de las TI: Esta etapa es la que constituye la principal herramienta para que las Empresas lleven a cabo la implementación de controles y por lo tanto es la que se aplicará en el capítulo siguiente, donde se da a conocer el caso práctico con la empresa Net & Services Trantor. En esta etapa se diseñan y definen los procesos, objetivos de control, controles y evidencias formales de las actividades de seguridad que darán sustento a los procesos de revisiones o auditorias del modelo. Nuestro modelo cubre los siguientes conceptos basados en las mejores prácticas estudiadas en el capítulo IV: Política de Seguridad Organización de la Seguridad de la Información Gestión de Activos Seguridad de los recursos humanos Seguridad física y mental Gestión de las comunicaciones y operaciones. Control de acceso Adquisición, desarrollo y mantenimiento de los sistemas de información. Gestión de incidentes en la seguridad de la información. Gestión de la continuidad comercial. Cumplimiento 8 Evaluación y control: En esta etapa se debe realizar, preparar y desarrollar la revisión que avale que todos los procesos de TI se están cumpliendo y llevando a cabo adecuadamente, lo cual será evaluado por el mismo proceso de auditoría que se defina (interna y/o externa). 9 Evidencias: En esta etapa se busca verificar de manera adecuada que todos los registros de TI para todos sus procesos y controles estén disponibles para cualquier tipo de revisión, particularmente a los procesos de auditoría. 10 Control de la Documentación: Se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para garantizar en los documentos los cambios, sus versiones, que sean legibles, vigentes y disponibles, identificados, su distribución controlada, obsolescencia y administración de uso y consulta. -89-

99 11 Planes de Acción: Esta etapa consiste en la aplicación de los planes de acción conforme a los plazos y actividades que fueron indicados en el proceso de auditoria. Estos planes de acción pueden conformar la revisión y ajustes de todo tipo de actividades ya sea a nivel de procesos de seguridad, de evidencias, de políticas o de cualquier otra actividad que sea identificada. 12 Sensibilización: Esta etapa permite entregar constante información a la organización sobre la importancia de mantener la seguridad de la información y el resguardo de todas las actividades de TI, y evidentemente en cada etapa del modelo. Recibe un apoyo directo de la dirección de la organización. El detalle de cada uno de los controles que componen el modelo propuesto, se validará mediante el uso de una matriz de cumplimiento basada en las normas ISO 27001:2005/ CobIT e ITIL, donde se detallan los rubros específicos, los documentos de referencia para los controles de seguridad de la información y la evidencia del estatus de implantación que tiene la Empresa de servicios de Outsourcing. 5.4 Bases del modelo Para la estructuración del modelo se basó en las mejores prácticas y estándares internacionales tales como COSO, COBIT, ITIL, ISO e ISO El modelo que proponemos para implementar en la Empresa, se basa en los siguientes alcances de acuerdo a los estándares y procesos de mejores prácticas: Figura 5.4 Bases del Modelo Pink Elephant,Presentación de la 5a Conferencia de IT Service Management. Mejores Practicas, Septiembre 28-29/