DIAGNÓSTICO DEL PLAN DE SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN UNA ORGANIZACIÓN

Transcripción

1 UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE INGENIERIA DIAGNÓSTICO DEL PLAN DE SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN UNA ORGANIZACIÓN TESIS QUE PARA OBTENER EL TÍTULO DE INGENIERO EN COMPUTACIÓN PRESENTA ANGELA MAZA CERÓN COLVER CABRERA VILLANUEVA DIRECTOR ING. SERGIO NOBLE CAMARGO CIUDAD UNIVERSITARIA 18/ 10/ P á g i n a

2 UNAM Dirección General de Biblitecas Tesis Digitales Restriccines de us DERECHOS RESERVADOS PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL Td el material cntenid en esta tesis esta prtegid pr la Ley Federal del Derech de Autr (LFDA) de ls Estads Unids Mexicans (Méxic). El us de imágenes, fragments de vides, y demás material que sea bjet de prtección de ls derechs de autr, será exclusivamente para fines educativs e infrmativs y deberá citar la fuente dnde la btuv mencinand el autr autres. Cualquier us distint cm el lucr, reprducción, edición mdificación, será perseguid y sancinad pr el respectiv titular de ls Derechs de Autr.

3 DIAGNÓSTICO DEL PLAN DE SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN UNA ORGANIZACIÓN 2 P á g i n a

4 Tabla de cntenid 3 P á g i n a

5 TABLA DE CONTENIDO INTRODUCCIÓN...5 CAPÍTULO I. FUNDAMENTOS TEÓRICOS DEFINICIONES METODOLOGÍAS MÁS POPULARES COBIT(OBJETIVOS DE CONTROL PARA INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS) COSO(COMITÉ DE ORGANIZACIONES PATROCINADORAS DE LA COMISIÓN TREADWAY) ITIL(BIBLIOTECA DE INFRAESTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN) ISO/IEC FIPS PUB 200 (FEDERAL INFORMATION PROCESSING STANDARS PUBLICATIONS) ISO/IEC (GESTIÓN DE LA INFORMACIÓN DE LA TECNOLOGÍA DE LAS COMUNICACIONES Y SEGURIDAD) ISO/IEC 15408: PRINCE 2 (PROJECTS IN A CONTROLLED ENVIRONMENT) PMBOOK(PROJECT MANAGEMENT BODY OF KNOWLEDGE) TICKIT CMMI(CAPABILITY MATURITY MODEL INTEGRATION) TOGAF(THE OPEN GROUP ARCHITECTURE FRAMEWORK) IT BASELINE PROTECTION MANUAL NIST (NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY) ISO MAAGTIC (MANUAL ADMINISTRATIVO DE APLICACIÓN GENERAL EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES) JUSTIFICACIÓN DE LAS METODOLOGÍAS SELECCIONADAS...74 CAPÍTULO II. PLAN DE SEGURIDAD DE UNA ORGANIZACIÓN DEFINICIÓN CONTEXTO POLÍTICAS Y PROCEDIMIENTOS AMENAZAS Y VULNERABILIDADES ESTÁNDARES SERVICIOS DE SEGURIDAD RESPONSABLES MONITORIZAR ACCIONES CORRECTIVAS Y PREVENTIVAS NIVEL DE IMPLEMENTACIÓN POLÍTICAS Y PROCEDIMIENTOS VULNERABILIDADES ESTÁNDARES P á g i n a

6 RESPONSABLES SERVICIOS DE SEGURIDAD MONITORIZAR ACCIONES CORRECTIVAS DIAGNÓSTICO ÁNALISIS DE RESULTADOS DIAGNÓSTICO GENERAL CONCLUSIONES GLOSARIO.114 REFERENCIAS P á g i n a

7 Intrducción 6 P á g i n a

8 INTRODUCCIÓN El bjetiv de este trabaj es btener un Diagnóstic General del Plan de Seguridad en l que se refiere a las Tecnlgías de Infrmación y Cmunicacines dentr de una Organización. Las Organizacines necesitan tener un buen nivel de seguridad en sus Tecnlgías de Infrmación y Cmunicacines, de esta frma lgrarán prtegerse ante riesgs que atenten cntra la estabilidad de la peración. Es necesari cntar cn un plan de seguridad que cubra lineamients que dicten ls estándares tales cm ISO 27002, COBIT e ITIL, entre trs, para establecer un óptim Mdel de Seguridad. Cn este trabaj se busca analizar ls Sistemas de Infrmación para pder identificar y crregir vulnerabilidades, de manera que se minimicen después de la revisión de la infraestructura tecnlógica cn la que cuenta la Organización en cuestión. La metdlgía aplicada cnsistió en desarrllar las siguientes actividades: 1. Investigación a. De nrmas. b. De estándares. c. De dcuments. d. De manuales. 2. Cmparación de las metdlgías. 3. Identificar áreas de análisis. a. Administración b. Energía c. Cntrl de Access d. Sftware e. Hardware f. Telecmunicacines 4. Desarrllar un cuestinari diagnóstic. a. Creación y redacción del banc de preguntas. b. Selección de preguntas. c. Observación de las instalacines, sistemas, cumplimient de nrmas y prcedimients. d. Revisión analítica de: i. Dcumentación Técnica. ii. Manuales Técnics (Instalación, Cnfiguración) iii. Manuales de Usuari Final iv. Dcumentación Administrativa. v. Plíticas y nrmas de actividad de sala. vi. Nrmas y prcedimients sbre seguridad física de ls dats. vii. Cntrats de segurs y de mantenimient. e. Prcess de Operación 5. Identificar Organizacines para aplicar el cuestinari. a. Ds universidades. b. Ds secretarías de gbiern. 7 P á g i n a

9 c. Una de diseñ de sftware. d. Una de publicidad. e. Una tienda departamental. 6. Aplicación del cuestinari. a. Aplicación de la versión 1 a ds de las rganizacines. 7. Nuevas versines del cuestinari. a. Aplicación de la versión 2 a tdas las rganizacines. b. Aplicación de la versión final a tdas las rganizacines. 8. Análisis de resultads. 9. Diagnóstic general. El resultad que buscams btener es cnfirmar el nivel en que la Organización implementa su Plan de Seguridad. Así mism cn base en el diagnóstic btenid prpner medidas crrectivas para que la administración y peración sean óptimas. 8 P á g i n a

10 Capítul 1 9 P á g i n a

11 CAPÍTULO I. FUNDAMENTOS TEÓRICOS 1.1 DEFINICIONES Para el adecuad entendimient de este trabaj a cntinuación se darán las definicines de ls términs más utilizads. 1. Cntrl de access Cnjunt de mecanisms y prtcls que se encargan de prteger física y lógicamente el acces al Site verificand que la persna que ingresa sea quien dice ser. 2. Diagnóstic Análisis que se lleva a cab cn el bjetiv de determinar cuál es la situación en que se encuentra la rganización respect a su seguridad infrmática. 3. Energía Se refiere al suministr adecuad de energía eléctrica necesari para que un sistema infrmátic funcine. 4. Hardware Se refiere al equipamient necesari para que un sistema infrmátic funcine. 5. Ingeniería Cnjunt de cncimients y técnicas aplicadas a la creación, perfeccinamient e implementación de sistemas lógics y físics que resuelven prblemas ctidians. 6. Metdlgía Cnjunt de métds que ns indican qué hacer y cóm hacerl a fin de tener un cntrl sbre l que se va desarrlland. 7. Organigrama Representación gráfica de la estructura jerárquica de cualquier rganización. 8. Rl Papel que desempeña una persna un grup de persnas en cualquier actividad. 9. Seguridad infrmática Cualquier medida que ayude a prevenir la ejecución de peracines n autrizadas sbre un sistema de infrmación. 10. Sftware Cmpnentes n físics de un sistema infrmátic, pueden ser sistemas perativs, prgramas y bases de dats. 10 P á g i n a

12 11. Site Nmbre que se le da al centr de prcesamient de dats que es aquel lugar destinad a cntener ls recurss necesaris para prcesar la infrmación de una rganización. 12. Telecmunicacines Sistemas que permiten la cmunicación a larga distancia mediante el enví y recepción de dats. 1.2 METODOLOGÍAS MÁS POPULARES COBIT(OBJETIVOS DE CONTROL PARA INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS) En españl COBIT se refiere a Objetivs de Cntrl para Infrmación y Tecnlgías relacinadas, es un cnjunt de prácticas para el manej de infrmación cread pr la Asciación para la Auditría y Cntrl de Sistemas de Infrmación (ISACA, en inglés Infrmatin Systems Audit and Cntrl Assciatin) y el Institut de Administración de las Tecnlgías de la Infrmación (ITGI, en inglés IT Gvernance Institute). 1 Desarrlla, publica y prmcina un cnjunt de bjetivs de cntrl generalmente aceptads para las tecnlgías de la infrmación que estén autrizads y actualizads para el us del día a día de ls gestres de negcis y auditres. Ls auditres y usuaris se benefician del desarrll de COBIT prque les ayuda a entender sus Sistemas de Infrmación y a decidir el nivel de seguridad y cntrl que es necesari para prteger a las cmpañías mediante el desarrll de un mdel de administración de las tecnlgías de la infrmación. Las rganizacines deben entender las ventajas de las tecnlgías de infrmación en el us diari de sus peracines y usar este cncimient para aumentar el valr del negci, para identificar la dependencia crítica de muchs prcess de negci sbre las TI, cm pr ejempl la necesidad de cumplir cn estándares y nrmas. Para ayudar a las rganizacines satisfactriamente en estas cuestines, el ITGI ha publicad la versión 4.0 de la herramienta. A. UTILIZACIÓN DE COBIT COBIT para manejar ls riesgs relacinads cn el negci: Seleccina, prcesa y cntrla las TI aprpiadas para la rganización. Revisa la funcinalidad del plan de negci de la rganización P á g i n a

13 Evalúa ls prcedimients y ls resultads cn las directrices de acuerd cn l que establece COBIT. Evalúa el estad de la rganización, identifica ls factres de éxit crítics que miden el funcinamient de las etapas y niveles de cntrl. De primera instancia, COBIT para su aplicación requiere de l siguiente: Vincular las metas del negci cn las metas de las Tecnlgías de Infrmación (TI). Así mism, rganiza las actividades de las TI en un mdel de prcess. Identificar ls principales recurss de las TI que guiarán ls prcess (CMMI, CMM, ITIL). COBIT cubre cuatr dminis (Ilustración 1): 1. Planificación y Organización. Se refiere al us óptim de la tecnlgía para que la rganización alcance sus bjetivs, se deben tmar en cuenta ls siguientes bjetivs: Definir un plan de TI estratégic Definir la estructura de la infrmación Determinar la infraestructura tecnlógica Definir ls prcess de TI Administrar la inversión en las TI Cmunicar ls bjetivs del plan estratégic Administrar ls recurss humans de las TI Administrar la calidad Evaluar y maneja ls riesgs de las TI Administrar ls pryects 2. Adquisición e Implementación. Hace referencia a cntar cn un plan de mantenimient para prlngar la vida del sistema de infrmación cn el que cuenta la rganización, para ell hay que llevar a acab l siguiente: Identificar las slucines que pueden ser autmatizadas Adquirir y dar mantenimient al sftware Adquirir y dar mantenimient a la infraestructura tecnlógica Facilitar la peración e implementación de la tecnlgía Administrar ls recurss de las TI Administrar ls cambis Instalar y aprbar las slucines y ls cambis 3. Entrega y sprte. Se enfca en ls prcess de apy que ayudan a us eficiente de ls sistemas de TI, tmand en cuenta l siguiente: Definir y administrar ls niveles de servici Administrar ls servicis de tercers 12 P á g i n a

14 Administrar el funcinamient y la capacidad Asegurar el servici cntinu Asegurar la seguridad de ls sistemas Identificar y asignar ls gasts Entrenar a ls usuaris Administrar una bitácra de servicis e incidentes que se presenten Administrar la cnfiguración del sistema de TI Administrar ls prblemas Administrar ls dats Administrar el ambiente físic Administrar las peracines 4. Supervisión y evaluación. Cubre el aspect de evaluar la eficiencia del sistema TI, para l cual es necesari l siguiente: Supervisar y evaluar ls prcess de TI Supervisar y evaluar el cntrl intern Asegurar el cumplimient Administrar adecuadamente las TI Ilustración 1. Dminis y prcess de COBIT 13 P á g i n a

15 RESULTADO ESPERADO La metdlgía COBIT se utiliza para implementar, cntrlar y evaluar las Tecnlgías de Infrmación y Cmunicación; añadiend bjetivs de cntrl, directivas de auditría, medidas de rendimient y resultads, factres crítics de éxit y mdels de madurez. 2 Permite a las Organizacines aumentar su prductividad en las Tecnlgías de Infrmación y Cmunicación (TIC s) y reducir ls riesgs tecnlógics a partir de parámetrs aplicables y aceptads y para mejrar las prácticas de planeación, cntrl y seguridad de las TIC s. COBIT cntribuye a reducir las diferencias entre ls bjetivs de negci, ls beneficis, ls riesgs, el cntrl y ls aspects técnics de las TIC s prprcinand un marc Referencial para su dirección efectiva. B. RESUMEN EJECUTIVO El resumen ejecutiv de COBIT cnsiste en una descripción ejecutiva que prprcina una ayuda al entendimient de ls cncepts clave de COBIT y sus principis. Así mism, incluye un resumen del marc que prprcina un entendimient más detallad de ests cncepts clave y sus principis, identificand ls cuatr dminis del COBIT (Planificación y Organización, Adquisición e Implementación, Entrega y Sprte, y, Supervisión y Evaluación) y ls 34 prcess de TI. C. MARCO Una rganización es cnstruida sbre un marc sólid de dats e infrmación. El marc explica cóm se entrega la infrmación en cada prces de TI y cóm el negci tiene que alcanzar sus bjetivs. Esta entrega es cntrlada pr 34 bjetivs de cntrl de alt nivel, un para cada prces de TI cntenid en ls cuatr dminis. El marc identifica ls criteris de seguridad de la infrmación (la eficacia, la cnfidencialidad, la integridad, la dispnibilidad, el cumplimient y la fiabilidad), así cm qué recurss de las TI (la gente, ls uss, la tecnlgía, las instalacines y ls dats) sn imprtantes para ls prcess de TI cn el fin de apyar ttalmente el bjetiv de negci. D. OBJETIVOS DE CONTROL Ls bjetivs de cntrl de COBIT brindan métricas y mdels de madurez para medir ls lgrs, e identifican las respnsabilidades asciadas de ls prpietaris de ls prcess de negci y de las TI. Se incluyen las declaracines de resultads deseads u bjetivs para ser alcanzads y pniend en práctica ls bjetivs de cntrl específics, detallads en ls 34 prcess de las TI P á g i n a

16 E. DIRECTRICES DE AUDITORÍA Las directrices de auditria ayudan a asignar respnsabilidades y medir el desempeñ, acnsejand una serie de actividades a realizar de acuerd cn ls 34 bjetivs de cntrl de las TI. Ayudan a identificar y asesrar en qué cass ls cntrles sn suficientes y cuánd ls prcess requieren ser mejrads. F. INSTRUMENTO DE PUESTA EN PRÁCTICA Un instrument de puesta en práctica debe cntener ls siguientes punts: El diagnóstic de cntrl de las TI. Preguntas frecuentes. Cass de estudi de rganizacines Las presentacines de diapsitivas que pueden ser usadas para intrducir COBIT en rganizacines. Está diseñad para facilitar la puesta en práctica de COBIT en ls ambientes de trabaj G. DIRECTRICES DE DIRECCIÓN Las directrices de dirección han sid desarrlladas para determinar si ls bjetivs de cntrl están debidamente implementads. Sus bjetivs sn: la administración del desempeñ, la seguridad y el cntrl de la infrmación. Las directrices de dirección están cmpuestas pr: Mdels de Madurez, ayudan a determinar las etapas y ls niveles de expectativas de cntrl y cmpararls cntra nrmas usadas en la industria. Factres Crítics de Éxit (CSFs, siglas de ls términs en inglés), identifican las accines más imprtantes para alcanzar el cntrl de ls prcess de las TI. Indicadres Clave de Objetivs (KGIs, siglas de ls términs en inglés), definen ls niveles óptims de funcinamient. Indicadres Claves de Desempeñ (KPIs, siglas de ls términs en inglés) miden cóm un prces de cntrl de las TI cumple su bjetiv. Las directrices de dirección están rientadas a reslver precupacines de área de administración 3 cm las siguientes: Medición del desempeñ - Cuáles sn ls indicadres de un buen desempeñ? Determinación del perfil de cntrl de las TI - Qué es imprtante? Cuáles sn ls Factres Crítics de Éxit para el cntrl? Cncimient cncientización - Cuáles sn ls riesgs de n alcanzar nuestrs bjetivs? 3 IT Gvernance Institute. Cbit. Directrices Gerenciales.3ª.ed. Juli: 200. Pág P á g i n a

17 Benchmarking - Qué hacen ls demás? Cóm medims y cmparams? COSO(COMITÉ DE ORGANIZACIONES PATROCINADORAS DE LA COMISIÓN TREADWAY) La implementación de COSO (en españl Cmité de Organizacines Patrcinadras de la Cmisión Treadway) en las rganizacines permite llevar a cab una evaluación cntinua del cntrl intern en la preparación de estads financiers, para que de esta manera se asegure la efectividad y eficiencia en las peracines, seguridad de la infrmación financiera, cumplimient de leyes y regulacines, así cm salvaguardar ls activs (Ilustración 2). El cntrl intern es tmad cm un prces, el cual cnsta de una serie de accines, mdificacines funcines que en cnjunt lgran un resultad. Td est recae en el persnal y se debe estar al pendiente de ls riesgs y cntrles para pder reslverls adecuadamente. Este métd indica l imprtante que es entender que existen limitacines en el cntrl intern ya que n se puede tener un cntrl para prevenir cada prblema que se presente siend que el aspect más imprtante es el cumplimient de ls bjetivs. Ilustración 2. Qué es COSO? 4 En el cntrl intern se identifican tres categrías de bjetivs: peracines eficientes, reprte financier y cumplimient de regulacines, y cinc cmpnentes, ls cuales sn: P á g i n a

18 1. Ambiente de cntrl. Es cnsiderad el más imprtante debid a que radica en la integridad y cmpetencia del persnal de la rganización, es imprtante cntar cn persnal cmpetente, ya que debe ser respnsable de sus accines. 2. Evaluación de riesgs. Se enfca a identificar y analizar ls riegs interns externs, prestand atención a ls siguientes punts 5 : Avances tecnlógics, sistemas prcedimients en situación de cambi. Nuevas líneas de negci, prducts, actividades funcines. Reestructuración crprativa. Expansión adquisición de peracines extranjeras. Persnal de nuev ingres rtación de ls existentes. Índices de Crecimient. 3. Actividades de cntrl. Se llevarán a cab una vez cnciend ls riesgs a cntrarrestar y se agrupan de acuerd cn ds criteris: Objetivs Operacines Cnfiabilidad de la infrmación financiera Cumplimient de leyes y reglaments Tip de cntrl Preventiv/Crrectiv Manuales/Autmatizads Infrmátics. Gerenciales Directivs. 4. Infrmación y cmunicación. Se encamina a cntar cn la infrmación periódica y prtuna para rientar las accines que se llevarán a cab para alcanzar ls bjetivs de la rganización. 5. Mnitrizar. Su función es cercirarse de que el cntrl intern se realiza debidamente a través de actividades cntinuas de supervisión evaluación. Ests cmpnentes se ampliarn a 8 en la actualización del infrme COSO del , quedand ls cmpnentes siguientes: 1. Ambiente de Cntrl. 2. Establecimient de Objetivs.(nuev) 3. Identificación de Events.(nuev) 5 MORENO, Perdm Abraham. Fundaments de Cntrl Intern. 9ª.ed. THOMSON. Clmbia: 2004, pág P á g i n a

19 4. Evaluación de Riesgs. 5. Respuesta al Riesg.(nuev) 6. Actividades de Cntrl. 7. Infrmación y Cmunicación. 8. Mnitrizar. RESULTADO ESPERADO Se utilizan varias metdlgías y herramientas de evaluación, incluyend listas de cmprbación, cuestinaris, cuadrs estadístics y técnicas de diagramas de fluj. Cn base en est se genera un infrme aunad a la recpilación de dats ya sean presupuests, estads financiers, reglaments, etc. Se presentan ls resultads de ls dats btenids mediante entrevistas, encuestas y bservación durante la investigación y cn base en est se btiene un indicadr para ver el resultad y facilitar el análisis. APARTADOS QUE REVISA 1) Ambiente de Cntrl a. Filsfía de la administración de riesgs. b. Integridad y valres étics. c. Cmprmis prfesinal. d. Estructura rganizacinal. e. Asignación de autridad y respnsabilidad. f. Plíticas y prácticas de recurss humans. 2) Establecimient de Objetivs. a. Objetivs estratégics. Describen el alcance, estil e ideales de una rganización a median y larg plaz. b. Objetivs relacinads. Vinculads e integrads cn trs bjetivs específics. c. Riesg aceptad y Niveles de tlerancia. Cst que está dispuest a asumir la rganización para alcanzar su misión y visión. 18 P á g i n a

20 3) Identificación de Events. Utiliza las siguientes técnicas: a. Identificación de events. Listads de events psibles en un área específica. b. Talleres de trabaj. El bjetiv es aprvechar el cncimient clectiv. c. Entrevistas. Para averiguar las pinines y cncimients del entrevistad. d. Cuestinaris y encuestas. Centradas en factres interns y externs que pueden dar lugar a un event. e. Análisis del fluj de prcess. Se refiere a una representación esquemática de un prces, cn est se busca cmprender las relacines y respnsabilidades de cada cmpnente. f. Principales indicadres de events e indicadres de alarma. Medicines cualitativas y cuantitativas para un mejr cncimient de psibles riesgs. g. Seguimient de dats de events cn pérdidas. h. Identificar ls events. i. Identificar la relación de ls nuevs events que pueden afectar a ls bjetivs 4) Evaluación de Riesgs. a. Técnicas prbabilísticas. b. Metdlgías n prbabilísticas. c. Benchmarking. 5) Respuesta al Riesg. a. Evitar el riesg mediante actividades. b. Reducir accines para reducir la psibilidad del riesg. c. Cmpartir cn terceras partes para reducir el riesg, cm cntratar un segur. d. Aceptar el riesg y n llevar a cab una acción que afecte el impact del riesg. 6) Actividades de Cntrl. a. Análisis efectuads pr la dirección. b. Gestión directa de funcines pr actividades. c. Prces de infrmación. Cntrles para cmprbar exactitud, ttalidad y autrización de transaccines. d. Cntrles físics. Relativ a ls inventaris. 19 P á g i n a

21 e. Indicadres de rendimient. f. Segregación de funcines. Repart de actividades entre ls empleads. 7) Infrmación y Cmunicación. 8) Mnitrizar. a. Actividades cntinuas. b. Evaluacines puntuales ITIL(BIBLIOTECA DE INFRAESTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN) La Bibliteca de Infraestructura de Tecnlgías de Infrmación, abreviada ITIL es una metdlgía enfcada a la gestión de servicis de las TI, rientada al cntrl, peración y administración de ls servicis, garantizand la calidad y eficiencia en las peracines y la satisfacción del cliente a un cst manejable. Recmienda que para tda actividad que se realice se deba generar la dcumentación adecuada. Cabe aclarar que en esta metdlgía sól se certifican persnas, para ell se debe acudir a las institucines ISEB (Infrmatin Systems Examinatin Bard) y EXIN (Examinatin fr Infrmatin Science in the Netherlands) en las cuales, se debe aprbar el examen que crrespnde a cada nivel (Ilustracin 3). Ilustración 3. Estructura de ITIL 20 P á g i n a

22 Sus principales seccines sn: Estrategia del Servici Diseñ del Servici Transición del Servici Operación del Servici Mejra Cntinua del Servici Las cuales describen 26 prcess básics para la mejra cntinua de ls servicis. ITIL pstula que el servici de sprte, la administración y la peración se realizan a través de cinc prcess: 1. Manej de incidentes. Su principal bjetiv es restablecer el servici de la frma más rápida y eficazmente psible de manera que el cliente n l perciba y n sea afectad. L óptim es que el cliente n perciba las fallas que se presenten en el sistema, a est se le cnce cm dispnibilidad del servici, este prces cuenta cn fases en dnde se manejan cuatr pass básics: incidencia, mnitrización, manej de secuencias y cmunicación. 2. Manej de prblemas. Su prpósit es prevenir y reducir l más que se pueda ls incidentes que se presentan, además, debe prprcinar slucines rápidas y certeras para asegurar el us estructurad de ls recurss. Se manejan ds fases: Una relacinada cn el cntrl del prblema y la tra cn el cntrl del errr. 3. Manej de cnfiguracines. Su intención es prprcinar infrmación real de l que se encuentra cnfigurad e instalad en el sistema del cliente. Está relacinad cn cuatr fases: administración de cambis, administración de liberacines, administración de cnfiguracines y administración de prcess diverss. 4. Manej de cambis. Su meta es reducir en la medida de l psible ls riesgs técnics, ecnómics y de tiemp a la hra de realizar ls cambis, a l larg de este prces se da una fase de mnitrización para ver que n hub una desviación del bjetiv. 5. Manej de entregas. Su finalidad es la planeación y cntrl de la instalación de sftware y hardware baj tres ambientes: ambiente de desarrll, ambiente de pruebas cntrladas y ambiente de prducción. 21 P á g i n a

23 RESULTADO ESPERADO Se utilizan ls Indicadres Clave de Rendimient ITIL (KPI s, del inglés Key Perfrmance Indicatrs) para evaluar si ls prcess que han sid implantads en una rganización funcinan de acuerd cn l esperad. Ests sn definids cnfrme a l que se cnsidera una ejecución exitsa de un prces, estas definicines varían acrdes cn la naturaleza de la rganización y a la imprtancia de cada prces. Sin embarg, se cuenta cn una cantidad de KPI s típics para evaluar ls prcess de ITIL. Una buena definición de las métricas inicia cuand van de la man ls bjetivs del negci cn ls bjetivs de la rganización, en cas cntrari n se pdrán marcar ls beneficis pr parte de la implantación de ls prcess de servici de sprte y la prestación de servicis. Un principi extensamente aceptad mantiene que ls KPI s deben ser: Específic (Specific) Medible (Measurable) Alcanzable (Achievable) Orientad a resultads (Result-riented) Terminads a tiemp (Timely) Cnsiste en ls siguientes Indicadres Clave de Rendimient ITIL: KPI's ITIL - Estrategia del Servici KPI's Gestión del Prtafli de Servicis KPI Cantidad de nuevs servicis planeads Cantidad de nuevs servicis n planeads Cantidad de iniciativas estratégicas Descripción Prcentaje de nuevs servicis desarrllads a iniciativa de la gestión del prtafli de servicis Prcentaje de nuevs servicis desarrllads sin la iniciativa de la gestión del prtafli de servicis Cantidad de iniciativas estratégicas lanzadas pr el prces de la gestión del prtafli de servicis Cantidad de clientes nuevs Cantidad de clientes nuevs adquirids Cantidad de clientes perdids Cantidad de clientes perdids a cmpetidres que prveen servicis 22 P á g i n a

24 KPI's Gestión Financiera KPI Ajustarse al presupuest Estimación de cst/ benefici Revisión pst implementación Ajustarse al presupuest aprbad Ajustarse a ls recurss del pryect Prpuestas para ptimización de cst Descripción Definir el prcentaje de pryects a desarrllar de acuerd al presupuest de TI. Prcentaje de archivs de pryect que cntiene estimacines de cst-/benefici. Prcentaje de pryects dnde ls csts y beneficis se verifican después de la implementación. Prcentaje de gasts de TI que excede el presupuest aprbad. Prcentaje de gasts que exceden el presupuest de TI planificad para el pryect. Cantidad de prpuestas de la gestión financiera para el us óptim de recurss financiers. KPI's ITIL - Diseñ del Servici KPI's Gestión del Nivel de Servici (SLM) KPI Descripción Servicis cubierts Cantidad de servicis cubierts Servicis mnitrizads Cantidad de servicis mnitrizads que reprtan punts débiles. Servicis baj revisión Cantidad de servicis revisads regularmente. Cumplimient de niveles de servici Cantidad de asunts de Servici Cantidad de servicis que cumplen cn ls niveles de servici acrdads. Cantidad de asunts, al prveer servicis, que sn identificads y tratads en un plan de mejras al servici. KPI's Gestión de la Dispnibilidad KPI Descripción Dispnibilidad de servici Servicis en relación a la dispnibilidad. 23 P á g i n a

25 Cantidad de interrupcines de servici Duración de interrupcines de servici Cantidad de interrupcines de servici. Duración prmedi de interrupcines de servici. Mnitrización dispnibilidad Medidas de dispnibilidad de Prcentaje de servicis y cmpnentes de infraestructura sujets a mnitrización. Cantidad de medidas implementadas cn el bjetiv de aumentar la dispnibilidad. KPI's Gestión de la Capacidad KPI Incidentes debids a falta de capacidad Exactitud del prnóstic de la capacidad Ajustes a la capacidad Ajustes a la capacidad n planeads Tiemp para la reslución de carencias en la capacidad Reservas de capacidad Prcentaje de mnitrización de capacidad Descripción Cantidad de incidentes currids debid a insuficiencia de capacidad de servicis capacidad de cmpnentes Desviación del bjetiv curs real. Cantidad de ajustes a la capacidad de servicis y capacidad de cmpnentes debid a cambis en la demanda Cantidad de auments n planeads a la capacidad de servicis capacidad de cmpnentes cm resultad de limitacines de capacidad Tiemp emplead para la reslución de una limitación detectada en la capacidad Prcentaje de reservas de capacidad en tiemps de demanda nrmal y máxima Prcentaje de servicis y cmpnentes de infraestructura mnitrizads para capacidad KPI's Gestión de la Cntinuidad del Servici de las TI (ITSCM) KPI Prcess de negci cn acuerds de cntinuidad Opcines en preparación para desastres Descripción Prcentaje de prcess de negci cubierts pr metas específicas de cntinuidad del servici Cantidad de pcines identificadas en la preparación para events de desastres Duración de la Duración desde la identificación del riesg 24 P á g i n a

26 implementación Cantidad de prácticas para desastres Cantidad de defects identificads durante las prácticas para desastres relacinad a desastres hasta la implementación de un mecanism de cntinuidad adecuad Cantidad de prácticas para desastres que realmente se llevarn a cab Cantidad de defects identificads en la preparación para events de desastres identificads durante las prácticas KPI's Gestión de la Seguridad de las TI KPI Cantidad de medidas preventivas implementadas Duración de la implementación de medidas preventivas implementadas Cantidad de incidentes graves de la seguridad Cantidad de perids de inactividad de servici relacinads cn la seguridad Cantidad de pruebas de seguridad Cantidad de defects identificads durante las pruebas de seguridad Descripción Cantidad de medidas de seguridad preventivas implementadas cm respuesta a amenazas de seguridad identificadas. Duración desde la identificación de una amenaza de seguridad hasta la implementación de una cntramedida adecuada. Cantidad de incidentes de seguridad identificads, clasificads pr categría de gravedad. Cantidad de incidentes de seguridad que causan interrupcines de servici dispnibilidad reducida. Cantidad de pruebas y adiestramients de seguridad llevads a cab. Cantidad de defects identificads en ls mecanisms de seguridad durante las pruebas. KPI's Gestión de Prveedres KPI Cantidad de prveedres acrdads Cantidad de revisines de cntrats Cantidad de incumplimients de cntrat identificads Descripción Prcentaje de cntrats. Cantidad de revisines de cntrats y prveedres. Cantidad de bligacines cntractuales que n cumpliern ls prveedres. 25 P á g i n a

27 KPI's ITIL - Transición del Servici KPI's Gestión de Cambis KPI Cantidad de cambis mayres Cantidad de reunines de Cnsej Cnsultr para Cambis Tiemp para autrización para cambis Tasa de aceptación de cambis Cantidad de cambis urgentes Descripción Cantidad de cambis mayres evaluads pr el cnsej cnsultr para cambis. Cantidad de reunines cn cnsultr para cambis. Tiemp medi transcurrid desde la slicitud de una slicitud de cambi a la gestión de cambis hasta la autrización para el cambi. Cantidad de cambis aceptads vs. rechazads. Cantidad de cambis urgentes evaluads pr el cnsej cnsultr para cambis de emergencia. KPI's Gestión de Pryects (Planificación y Sprte Transición) KPI (Métrica de CSI) Cantidad de pryects Prcentaje de pryects cn Declaración de Pryect Cantidad de cambis a la Declaración de Pryect Adherencia a presupuest del pryect Retrass del pryect Descripción Cantidad de despliegues de edicines baj el cntrl de la gestión de pryects Prcentaje de pryects que cmienzan cn declaración de pryect ya firmada Cantidad de cambis a la Declaración de Pryect lueg de cmenzad el pryect Us de recurss humans y financiers, reales vs. planificadas Fechas de finalización de pryect, real vs. planificadas. KPI's Gestión de Versines e Implementación KPI Cantidad de edicines Descripción Cantidad de edicines desplegadas en el área de prducción de TI, agrupadas en edicines mayres 26 P á g i n a

28 (imprtantes, sujetas a riesgs) menres Duración de Edicines Mayres Cantidad de retrcess de edicines Prprción de edicines de despliegue autmátic Duración media de edicines mayres, desde su autrización hasta su finalización Cantidad de edicines que fuern revertidas Prprción de nuevas edicines distribuidas autmáticamente. KPI's Validación y Pruebas de Servicis KPI Prcentaje de fracass de pruebas de aceptación de cmpnentes de edicines Cantidad de errres identificads Tiemp para crregir un errr Incidentes causads pr edicines nuevas Prcentaje de fracass de pruebas de aceptación de servici Descripción Prcentaje de cmpnentes de edicines que n pasa las pruebas de aceptación Cantidad de errres identificads durante las pruebas de edicines pr edición Tiemp necesari para crregir ls errres identificads durante las pruebas de edicines Cantidad de incidentes atribuibles a edicines nuevas Prcentaje de pruebas de aceptación de servici que n sn aprbadas pr el cliente KPI's Activs de Servici y Gestión de la Cnfiguración KPI Frecuencia de verificación Duración de verificación Esfuerz para verificacines Prcentajes de gestión Actualización autmática Descripción Frecuencia de verificacines físicas de cnfiguración Duración prmedi de verificacines físicas del cntenid. Prmedi de esfuerz de trabaj para verificacines físicas del cntenid Prcentaje de elements de cnfiguración de la gestión. Prcentaje de elements de cnfiguración actualizan autmáticamente 27 P á g i n a

29 Cantidad de errres Númer de casines en las que se detectarn incrreccines KPI's ITIL - Operación del Servici KPI's Gestión de Incidentes KPI Cantidad de incidentes repetids Incidentes resuelts a distancia Cantidad de escalads Cantidad de incidentes Tiemp de reslución de incidente Tasa de Reslución de Primera Llamada Reslución a tiemp Esfuerz de reslución de incidente Descripción Cantidad de incidentes repetids cn métds para su reslución ya cncids Cantidad de incidentes resuelts a distancia pr la bitácra de servicis. Cantidad de escalads de incidentes n resuelts en el tiemp acrdad Cantidad de incidentes registrads pr la bitácra de servicis. Tiemp prmedi para reslver incidentes agrupads pr categrías. Prcentaje de incidentes resuelts en el bitácra de servicis durante la primera llamada, Prcentaje de incidentes resuelts durante el tiemp acrdad. Prmedi de esfuerz de trabaj para reslver Incidentes. KPI's Gestión de Prblemas KPI Cantidad de prblemas Tiemp de reslución de prblemas Cantidad de incidentes pr prblema Cantidad de incidentes pr prblema cncid Tiemp hasta la identificación del prblema Descripción Cantidad de prblemas registrads pr la gestión de prblemas. Tiemp prmedi para reslver prblemas. Cantidad prmedi de incidentes vinculads al mism prblema antes de identificar el prblema Cantidad prmedi de incidentes vinculads al mism prblema después de identificar el prblema Tiemp prmedi transcurrid entre la primera aparición de un incidente y la identificación de la raíz 28 P á g i n a

30 Esfuerz de reslución de prblemas del prblema Tiemp prmedi de esfuerz de trabaj para reslver prblemas. KPI's ITIL - Perfeccinamient Cntinu del Servici CSI KPI's Evaluación de Servicis KPI (Métrica de CSI) Cantidad de quejas de clientes Cantidad de quejas de clientes aceptadas Cantidad de encuestas de satisfacción de clientes Prcentaje de Cuestinaris Encuesta Cantidad de Evaluacines de Servicis Cantidad de debilidades identificadas Descripción Cantidad de quejas recibidas de ls clientes Cantidad de quejas recibidas de ls clientes que fuern aceptadas cm justificadas Cantidad de encuestas de satisfacción de clientes frmales realizadas durante el perid del infrme Prcentaje de cuestinaris encuesta, en relación a la cantidad ttal enviada Cantidad de evaluacines de servicis realizadas durante el perid del infrme Cantidad de punts débiles identificads durante la evaluación de servici. KPI's Evaluación de Prcess KPI (Métrica de CSI) Cantidad de Cmparativas de Prcess, Evaluacines de Madurez, y Auditrías Cantidad de Evaluacines de Prcess Cantidad de debilidades identificadas Descripción Cantidad de cmparativas de prcess frmales, evaluacines de madurez, y auditrías realizadas durante el perid del infrme Cantidad de evaluacines de prcess frmales realizadas Cantidad de punts débiles identificads durante la evaluación de prcess, para ser tratads mediante iniciativas de mejras KPI's Definición de Iniciativas de Mejramient KPI Cantidad de Iniciativas Descripción Cantidad de iniciativas, resultad de ls punts débiles identificads durante la evaluación de servicis y prcess 29 P á g i n a

31 Cantidad de Iniciativas cmpletadas Cantidad de iniciativas que fuern cmpletadas durante el perid del infrme ISO/IEC Se enfca al análisis de riesg debid a que utiliza métds tant cualitativs, cm cuantitativs, ls primers permiten agilidad en el prces y facilidad en la asignación de valres de impact riesg, y ls segunds ns permiten la precisión y exactitud, necesarias a la hra de tmar decisines de tip financier. Dentr del marc de la nrma de seguridad ISO se tratara de identificar ls siguientes elements: Pr medi de entrevistas se busca entender ls diferentes aspects que cnfrman a la rganización, tant en el aspect tecnlógic, cm en ls prcess crítics. Cn la evaluación de riesgs se pretenden descubrir las amenazas, vulnerabilidades y riesgs de la infrmación, cn el fin de generar un plan de implementación de ls cntrles que aseguren un ambiente infrmátic segur, baj ls criteris de dispnibilidad, cnfidencialidad e integridad de la infrmación, para psterirmente definir plíticas y mecanisms. El métd mdel que se empleará para el desarrll del este escrit será el mdel de cascada, ya que éste rdena rigursamente las etapas del cicl de vida del sistema, de tal frma que el inici de cada etapa debe esperar a la finalización de la inmediatamente anterir. Las etapas sn: 1. Análisis de requisits. En esta fase se analizan las necesidades de ls usuaris finales para determinar qué bjetivs debe cubrir el sistema. Es imprtante señalar que en esta etapa se debe cnsensuar td l que se requiere del sistema y será aquell l que seguirá en las siguientes etapas, n pudiéndse requerir nuevs resultads a mitad del prces de elabración del sistema. 2. Diseñ del sistema. Se descmpne y rganiza el sistema el prblema en elements que puedan elabrarse pr separad, aprvechand las ventajas del desarrll en equip. 3. Elabración del sistema. Se da marcha adelante en la elabración del sistema cntempland ls requisits establecids en la primera fase. 4. Pruebas. Ls elements se ensamblan para cmpner el sistema y se cmprueba que funcina crrectamente y que cumple cn ls requisits, antes de ser implementad. 5. Implantación. El sistema se pne en prducción. Durante la expltación del sistema pueden surgir cambis, bien para crregir errres bien para intrducir mejras. Td ell se debe de dcumentar. 6. Mantenimient. Se le hacen actualizacines al sistema, se mdifica cnfrme l requiere la dependencia. 30 P á g i n a

32 De esta frma, cualquier errr de diseñ detectad en la etapa de prueba cnduce necesariamente al rediseñ y nueva prgramación del códig afectad, mejrand así la seguridad al tmar en cuenta punts vulnerables n vists en un principi. RESULTADO ESPERADO Al implementar la ISO se espera btener l siguiente: Garantizar ls cntrles interns. Señalar que se respetan las leyes y nrmas de aplicación. Prprcinar una ventaja cmpetitiva al cumplir ls requisits y demstrar a ls usuaris que la seguridad de su infrmación es primrdial. Verificar que ls riesgs de la rganización estén crrectamente identificads, evaluads y gestinads a la vez que se frmalizan ls prcess, prcedimients y dcumentación de prtección de la infrmación. Demstrar el cmprmis cn ls Directivs de la rganización y la seguridad de la infrmación. Ls prcess de evaluacines periódicas ayudan a supervisar cntinuamente el rendimient y la mejra FIPS PUB 200 (FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATIONS) La FIPS PUB 200 es una publicación relacinada cn ls Requerimients Mínims de Seguridad para Infrmación Federal y Sistemas de Infrmación (del inglés Minimum Security Requirements fr Federal Infrmatin and Infrmatin Systems) desarrllada pr el Institut Nacinal de Estándares y Tecnlgía (NIST, del inglés Natinal Institute f Standards and Technlgy) a petición de la Ley de Gestión de la Infrmación Federal de 2002(FISMA, del inglés Federal Infrmatin Security Management Act f 2002). Para cumplir cn la nrma federal, las rganizacines deben primer determinar la categría de seguridad de su sistema de infrmación, de acuerd cn FIPS 199, "Nrmas para la categrización de Seguridad de la Infrmación y Sistemas de Infrmación Federal", y lueg aplicar la medida aprpiada al cnjunt de cntrles de seguridad cn base en el NIST publicación Especial (Ilustración 4). 31 P á g i n a

33 Ilustración 4. Plantilla del dcument de FIPS PUB 200 Al aplicar las dispsicines de la FIPS PUB 200, las Organizacines primer deben categrizar su sistema de infrmación cm es requerid pr FIPS 199, y lueg se seleccina un cnjunt adecuad de cntrles de seguridad del NIST Special Publicatin para satisfacer sus requerimients de seguridad. Est ayuda a asegurar que ls requisits y ls cntrles de seguridad sean aplicables a tda la infrmación federal y a ls sistemas de infrmación incluyend la cmputación en la nube. La evaluación rganizacinal de riesg crrbra la selección de valres de cntrl inicial y determina si ls cntrles adicinales sn necesaris para prteger: Las peracines de la rganización (incluyend la misión, las funcines, la imagen la reputación). Ls activs de ls prcess de la rganización (ls planes, las plíticas, ls prcedimients, ls lineamients, ls crngramas y dats sbre ls riesgs). Las persnas, tras rganizacines la nación. 32 P á g i n a

34 El resultad cnjunt de ls cntrles de seguridad acrdads establece un nivel de la seguridad para la rganización. 7 Incluyen ls siguientes prcedimients Cntrl de acces. Infrmación sbre el límite de acces al sistema a usuaris autrizads y de ls tips de transaccines y las funcines que ls usuaris autrizads tienen permis para ejercer. Certificación, acreditación y evaluación de la seguridad. Evaluar periódicamente ls cntrles de seguridad, elabrar y aplicar planes de acción destinads a crregir las deficiencias y reducir las vulnerabilidades, autrizar el funcinamient de ls sistemas y las cnexines del sistema asciad y supervisar ls cntrles de seguridad del sistema de frma cntinua. Evaluación de riesgs. Evaluar periódicamente el riesg de las peracines, activs y persnas que resultan de la peración de ls sistemas y el prcesamient asciad, almacenamient transmisión de la infrmación. Las rganizacines tienen la flexibilidad en la aplicación de ls cntrles de seguridad de acuerd cn las rientacines cntenidas en el NIST Special Publicatin Est permite a las rganizacines seleccinar ls cntrles de seguridad estrechamente alineads cn la misión y ls requerimients del negci y entrns de peración. RESULTADO ESPERADO Esquemas para clasificar la infrmación y ls sistemas de infrmación a nmbre de agencias federales, sus bjetivs sn prprcinar ls niveles adecuads de seguridad de la infrmación de acuerd cn un rang de niveles de riesg. Directrices para recmendar ls tips de sistemas de infrmación y la infrmación que se incluye en cada categría. Ls requisits mínims de seguridad de la infrmación y sistemas de infrmación para cada categría ISO/IEC (GESTIÓN DE LA INFORMACIÓN DE LA TECNOLOGÍA DE LAS COMUNICACIONES Y SEGURIDAD) La nrma ISO/IEC es la primera que se cupa de ls aspects de la planificación, implementación y peracines, incluyend el mantenimient de la seguridad, mantenimient de la infrmación y cmunicacines que sn una recpilación P á g i n a

35 de 5 dcuments que de frma práctica abrda la seguridad de las Tecnlgías de la Infrmación y rienta sbre ls aspects de su gestión. Ests dcuments sn: 8 Cncepts y mdels para la seguridad de las TI Gestión y planificación de la seguridad de las TI Técnicas para la gestión de la seguridad de las TI Selección de Prteccines Guía para la gestión de Seguridad en Redes OBJETIVOS Ls Objetivs, estrategias y plíticas deben ser frmulads cm una base para una seguridad efectiva dentr de una rganización. Las nrmas que deben tmarse en cuenta en la implantación de las estrategias y ls métds de aplicación de las plíticas se definen y desarrllan a través de diferentes niveles de una rganización. ASPECTOS ORGANIZACIONALES DE LA SEGURIDAD DE LAS TI Ls rles establecids deberán tmar en cuenta el recncimient explícit de tareas dentr de la rganización, el tamañ de la rganización determinará el nivel de ls cmprmiss que serán asignads. FUNCIONES DE LA GESTIÓN DE LA SEGURIDAD DE LAS TI El éxit de la seguridad y tecnlgías de infrmación requiere de una serie de actividades que se llevarán a cab mediante un cicl -Planificar -Implementar -Mnitrizar Actuar. CICLO DE VIDA Sn fundamentales para la cncepción y establecimient de un sistema de seguridad de infrmación y cmunicacines. En esta nrma se describen ls principales elements y su relación de participación en ls sistemas de seguridad, entre ls cuales pdems nmbrar: Activs. Pueden ser humans, físics, lógics, intangibles. Amenazas. Ya sean humanas ambientales. Vulnerabilidad de ls activs. Riesgs ptenciales a ls activs. Impact. Cm resultante de un incidente de seguridad-riesg-salvaguardas, de detección, limitación, detección, crrección. Limitacines. Pueden ser: financieras, técnicas, scilógicas, persnales, legales y de tiemp P á g i n a

36 RESULTADO ESPERADO El dcument discute las definicines clásicas de Seguridad de la Infrmación y ls riesgs de la infrmación, ns muestra ls principales prcess invlucrads en la seguridad de la infrmación cm sn: la gestión de la cnfiguración, gestión del cambi, gestión del riesg, análisis de riesg y respnsabilidad, cncientización de seguridad, mnitrizar, planificación de la cntingencia y recuperación de desastres. También muestra diferentes mdels útiles para entender ls elements de seguridad definids cnceptualmente y la gestión de riesg. En resumen el dcument define ls cncepts necesaris para pder entender ls elements de la seguridad de la infrmación y gestión de aspects cm l sn la planificación, implementación y peracines incluyend el mantenimient de la seguridad, infrmación y cmunicacines. La ISO describe las estrategias para pner en práctica tds ls prcess de seguridad, también mencina ls diferentes rles y respnsabilidades a nivel rganizacinal, así cm un mdel de seguridad de la infrmación amparad pr la gbernabilidad de Tecnlgía de la Infrmación enfcad ttalmente a ls aspects de tecnlgía de la infrmación ISO/IEC 15408:2005 Cmmn Criteria fr Infrmatin Technlgy Security Evaluatin (abreviad cm Cmmn Criteria CC) es una nrma internacinal (ISO / The Internatinal Electrtechnical Cmmissin 15408) para la certificación de la seguridad del sistema. Actualmente se encuentra en la versión 3.1. Cmmn Criteria, es un marc en el que ls usuaris del sistema infrmátic pueden especificar su seguridad funcinal y ls requisits de garantía, igualmente ls vendedres pueden aplicar y/ hacer declaracines sbre ls atributs de seguridad de sus prducts, y ls labratris de ensay puede evaluar ls prducts para determinar si, efectivamente, cumplen las reclamacines. Cmmn Criteria frece la garantía de que el prces de especificación, implementación y evaluación de un prduct de seguridad infrmática se ha realizad de frma rigursa y cumpliend estándares 10 CONCEPTOS CLAVE AL MOMENTO DE EVALUAR EL SISTEMA La evaluación sirve para validar las afirmacines hechas sbre el bjetiv. Para ser de us práctic, la valración debe verificar las características de seguridad del bjetiv, est se hace a través de ls siguientes parámetrs: Objetiv de la evaluación. Detecta la situación inicial para cmenzar un prces y el bjetiv es pder elabrar infrmes descriptivs del mism P á g i n a

37 Perfil de prtección. define un cnjunt de bjetivs y requisits de seguridad, independiente de la implantación, que cubre las necesidades de seguridad cmunes de ls usuaris. Objetiv de Seguridad. Herramienta útil ya que permite definir especificacines de seguridad independientes de implementación, que pueden ser utilizadas cm base de especificacines para prducts sistemas. Requisits de seguridad funcinal. Ests prprcinan mecanisms para hacer cumplir las plíticas de seguridad. Garantía de ls Requisits de Seguridad. Prprcinan la base para la cnfianza en que un prduct verifica sus bjetivs de seguridad. Nivel del Garantía de la Evaluación. Prprcinan una escala incremental que equilibra el nivel de cnfianza btenid cn el cste y la viabilidad de adquisición de ese grad de cnfianza PRINCE 2 (PROJECTS IN A CONTROLLED ENVIRONMENT) En españl Pryects en un Entrn Cntrlad, es un métd para la administración de pryects en especial para la rganización, la gestión y el cntrl, utilizad en el Rein Unid, es ampliamente recncid y utilizad en el sectr privad. Este métd divide ls pryects en fases para pder cntrlar ls recurss y la evlución del mism. PRINCE2 frece una serie de prcess que explican qué debe currir y cuánd dentr del pryect. Cualquier pryect guiad cn este métd debe incrprar ests prcess en alguna frma, per l más imprtante, es ajustar el Mdel de Prcess a ls requisits del pryect en el que estems trabajand, tenems que enfcar la gestión preguntándns hasta qué punt debe ser aplicad cada prces a cada pryect. La estructura de Prince2 está rganizada en tres partes: 1. Cmpnentes. Sn las áreas de cncimient que deben aplicarse al pryect cuand crrespndan. 2. Prcess. Ests ayudan a implementar ls cmpnentes, indican qué debe currir y cuánd a l larg del cicl de vida del pryect. 3. Técnicas. Sn métds de trabaj pcinales. Prince2 define 8 cmpnentes, 8 prcess y 3 técnicas para la versión 2005; para la versión 2009 a ls cmpnentes se les denmina temas y se definen 7 temas, 7 prcess 36 P á g i n a

38 y 2 técnicas además de 8 rles cntra 10 que se tenían cn la versión (Ilustración 5). Ilustración 5 Cmparación de versines de Prince P á g i n a

39 RESULTADO ESPERADO Existen ds maneras de acreditarse cm practicante de PRINCE2 y es mediante ls curss de PRINCE2 Fundatin y Practitiner Syllabus. En el primer curs se da una intrducción a PRINCE2 y se aprenden ls cncepts básics y terminlgía del métd, se debe demstrar que el practicante es capaz de describir el prpósit y cntenid principal de ls principis, temas y prcess. Así mism, cuáles sn ls prducts de entrada, salida y relacines entre ls prcess, ls resultads, rles y dimensines de la gestión de un pryect. Se realiza un examen que es de pción múltiple y dura una hra y cnsta de 75 preguntas que deben ser cntestadas a libr cerrad y de las cuales se debe tener al mens 38 preguntas cntestadas crrectamente para acreditar. El segund curs tiene pr bjetiv medir cóm el candidat: Puede aplicar PRINCE2 para el crrect funcinamient y gestión de un pryect dentr de un ambiente de apy. Tiene la cmpetencia necesaria para aplicar y ajustar las necesidades de un pryect específic. Es capaz de explicar detalladamente tds ls principis, temas, cnjunt de actividades events y ejempls práctics de tds ls prducts de PRINCE2. Explicar las relacines entre ests y las raznes detrás de ests principis. Aplicar esta cmprensión a diferentes circunstancias del pryect. El examen cnsta de 9 preguntas que valen 12 punts cada una cn una duración de 2.5 hras a libr cerrad y es necesari btener una puntuación de 59 de un ttal de 108 preguntas para acreditar. Cualquier pryect que utilice este métd debe incrprar ls siguientes prcess en alguna frma, bviamente l más imprtante es ajustar el Mdel de Prcess a ls requisits del pryect en el que se esté trabajand. (Ilustración 6) Dirección de un Pryect (DP, del inglés Directing a Prject). Este prces es para la Gestión Superir, es decir, la Junta de Pryect que se encarga de cntrlar el pryect. Puesta en Marcha de un Pryect (SU, del inglés Starting Up a Prject). Se refiere a un prces de pre-pryect muy crt que reúne ls dats necesaris para cmenzar el pryect. Iniciar un Pryect (IP, del inglés Initiating a Prject). Su bjetiv es examinar la justificación del plan y crear la Dcumentación de Inici del Pryect (PID) que incluye el Plan del Pryect (Prject Plan). 38 P á g i n a

40 Cntrl de una Fase (CS Cntrlling a Stage). Describe las tareas diarias de vigilancia y de inspección que realiza el Jefe de Pryect sbre el Pryect. Gestión de ls Límites de Fase (SB, del inglés Managing a Stage Bundary). Se encarga de prprcinar una frma cntrlada de cmpletar una fase y planear la siguiente. Gestión de la Entrega de Prducts (MP Managing Prduct Delivery). Es dnde ls prducts que van a ser utilizads pr ls usuaris, sn entregads pr ls miembrs del equip. Cerrar un pryect (CP, del inglés Clsing a Prject). Se encarga de cnfirmar la entrega de ls prducts y el Jefe de Pryect prepara el cierre del pryect. Ilustración 6. Mdel de Prcess PRINCE PMBOOK(PROJECT MANAGEMENT BODY OF KNOWLEDGE) Es un estándar para dirigir pryects en diverss tips de industrias, desarrllad pr Prject Management Institute (PMI). Describe cuáles sn ls prcess, herramientas y técnicas para la gestión de pryects, establece 5 grups de prcess básics y 9 áreas de cncimient cmunes a tds ls pryects. (Ilustración 7) 39 P á g i n a

41 Grups básics de prcess: 1. Iniciación. Se define un pryect una nueva fase de un pryect existente. 2. Planificación. Define, refina ls bjetivs y planifica el curs de acción requerid para lgrar ls bjetivs y el alcance pretendid del pryect. Está frmad pr veinte prcess 3. Ejecución. Cmpuest pr aquells prcess realizads para cmpletar el trabaj definid en el plan a fin de cumplir cn las especificacines del mism. Implica crdinar persnas y recurss, así cm integrar y realizar actividades del pryect en cnfrmidad cn el plan para la dirección del pryect. 4. Seguimient y cntrl. Mide, supervisa y regula el prgres y desempeñ del pryect, para identificar áreas en las que el plan requiera cambis 5. Cierre. Frmaliza la aceptación del prduct, servici resultad, y termina rdenadamente el pryect una fase del mism Ilustración 7. Áreas de cnmient y prcess. 40 P á g i n a

42 La rganización debe cumplir ls siguientes niveles: Nivel I. Alcanzar ls bjetivs del pryect Tener la certeza dcumentada de que ls bjetivs del pryect se han cumplid. Nivel II. Eficiencia del pryect. Para medir la eficiencia se debe tmar en cuenta ls siguientes aspects: Nivel de interrupción del trabaj del cliente. Eficiencia en el us de ls recurss Crecimient del númer de miembrs del equip Gestión de cnflicts Nivel III. Utilidad para el usuari/cliente final. Saber el nivel de utilidad sbre el usuari es muy imprtante para saber si se ha cumplid cn ls bjetivs del pryect y est se puede saber si: Se ha slucinad el prblema inicial Se han incrementad ls beneficis El usuari actualmente usa el prduct Nivel IV. Mejra rganizacinal Aprender sbre la experiencia JEFE DE PROYECTO Se debe cntar cn un Jefe de Pryect que tendrá las siguientes respnsabilidades: El pryect. Objetivs de determinación de csts. Calendari. Funcinalidad. Calidad. Organización. Retrn de la inversión. Fluj de infrmación. Prprcinarla de frma practiva. 41 P á g i n a

43 El equip. Prprcinar realimentación y recncimient. Sbre él mism. Crecimient persnal. Gestión del pryect: Herramientas para la planificación y mnitrización. Relacines interpersnales Capacidad de liderazg, negciación y delegación. Capacidad cmunicativa ral y escrita. Reslución de cnflicts. Habilidades para desarrllar el rl de mentr. Cncimient tecnlógic Cncimient de la industria y de las áreas tecnlógicas Cncimient del prduct y/ prcess Habilidades de diseñ Habilidades persnales Hnestidad, integridad Pensar simultáneamente Alta tlerancia a la incertidumbre y a la ambigüedad Persuasiv y asertiv Abiert y accesible Decisiv Cmercial. Capacidad para vender ideas las prpias virtudes del pryect. Prfesr. Transmitir cncimient a ls miembrs del equip. DEFINICIÓN DEL PROYECTO La definición del pryect se encuentra cnstituida pr las siguientes fases: Fase I. Entender el prblema la prtunidad que se presenta. Fase II. Identificar la slución óptima. Fase III. Desarrllar una slución y prceder a la elabración de un plan. Fase IV. Lanzamient del pryect. 42 P á g i n a

44 FASE I. ENTENDER EL PROBLEMA O LA OPORTUNIDAD. Es fundamental identificar la necesidad real que el pryect pretende cubrir. El trabaj se evaluará en función de si esta necesidad ha sid cubierta satisfactriamente n. En primer lugar se requiere diferenciar entre necesidad y slución. Una necesidad: Describe el fin para el cliente. Especifica metas y bjetivs. Deja abierta la pregunta de Cóm hacerl? La respuesta al pr qué se está haciend debe apuntar a una justificación de negci. En cambi, una slución: Describe ls medis para el equip. Especifica estrategias e ideas para cnseguir las metas y bjetivs. Especifica cóm hacerl. La respuesta al pr qué se está haciend debe apuntar al requerimient del cliente. Preguntar para identificar la necesidad real puede hacer sentir incómds a tercers pr descnfiar de su criteri. Cn base en estas definicines, esta fase debe tener un dcument de salida cn ls requerimients del pryect, el cual n frece una slución sin que únicamente describe una necesidad. Este dcument debe cntener ls siguientes apartads: Descripción del prblema u prtunidad Impact efect del prblema Identificar quién qué se encuentra afectad pr el prblema Cuál es el impact al ignrar el prblema Situación deseada Beneficis asciads al cnseguir la situación deseada Alineación cn la estrategia de la rganización Cnflict de cmpatibilidades cn tras áreas de la rganización Incertidumbres Supsicines clave 43 P á g i n a

45 Limitacines de la slución Cnsideracines del entrn Infrmación histórica de sprte A partir de la recpilación de tda esta infrmación, se requiere valrar nuevamente si es suficiente para reslver el prblema y determinar si existe una slución ptencial. FASE II. IDENTIFICAR LA SOLUCIÓN ÓPTIMA Cn bjet de identificar slucines que cubran la necesidad establecida se puede seguir el siguiente prcedimient: Realizar una lluvia de ideas grupal cn miembrs del futur equip de trabaj las partes invlucradas. Cmprbar en qué grad satisfacen ls planteamients del dcument de requerimients del pryect. Seleccinar entre 2 y 5 slucines candidatas. Para las slucines candidatas seleccinadas cnviene realizar un análisis detallad para identificar cuál de ellas es la que mejr se adapta a la necesidad a cubrir e implica un cst asumible. ANÁLISIS FINANCIERO (COSTOS VS BENEFICIOS) Para validar la viabilidad financiera del pryect es necesari identificar ls flujs de entrada de diner que este puede generar, pr ejempl: beneficis btenids pr la implementación del pryect (increment en ventas, reducción en csts) y ls gasts que representa la puesta en marcha y gestión del pryect. FASE III. DESARROLLO DE LA SOLUCIÓN Y ELABORACIÓN DE UN PLAN En esta fase se desarrllará en un mayr detalle la slución elegida mediante el us de un esquema básic de definición del pryect. El esquema básic de definición del pryect se encuentra dividid en varis niveles: Objetiv Prpósit Resultads Actividades 44 P á g i n a

46 Para cada un de ests niveles se deben especificar: Indicadres que permitan verificar la evlución. Medis para btener la infrmación necesaria para cnstituir ls indicadres. Supuests clave y el riesg asciad. FASE IV. LANZAMIENTO DEL PROYECTO Antes de realizar el lanzamient, es imprtante verificar que dispndrems de tds ls recurss necesaris. Una vez cnfirmad este aspect, se requieren ds pass: 1. Obtener la aprbación definitiva de la dirección 2. Reunir al equip de trabaj seleccinad para infrmarles del pryect en el que van a participar. De cara a la aprbación pr la dirección, es recmendable la elabración de un dcument de prpuesta que cntenga ls siguientes apartads: Breve descripción de las necesidades Accines recmendadas Beneficis Riesgs a asumir si se lleva a cab la acción Riesgs a asumir si n se realiza alguna acción Csts y ahrrs (estimacines en rangs de valres) Calendari Métricas (cm se medirá el resultad para valrar el éxit) Incertidumbres Supsicines Limitacines Apy requerid Listad de rganizacines que deben invlucrarse y en qué medida Impact en el rest de la rganización Grad de apy activ pr parte de la dirección. Factres crítics para el éxit. 45 P á g i n a

47 Pr tra parte, la reunión inicial cn el equip de trabaj debe encntrarse dirigida hacia ls siguientes bjetivs: Recncer la frmación ficial del equip. Indicar cuáles sn las expectativas. Prmver la chesión del grup. CONSTRUIR Y MANTENER UN EQUIPO EFECTIVO. El equip de trabaj, es una de las partes claves del pryect. Antes de iniciar el trabaj, cnviene anticiparse a las preguntas y ansiedades del equip: Me cnviene el pryect? Qué se espera de mí? Cóm será el trabaj en equip? Cada equip es un mund y su evlución depende en gran parte de las capacidades y experiencias de ls miembrs del mism. N bstante, en términs generales se pdrían listar las siguientes fases evlutivas: Frmación Ls miembrs del equip requieren adquirir cncimients sbre el pryect y cmprbar su relación cn el rest. El jefe de pryect debe rganizar y prveer la máxima infrmación. Reacción Cn base en l aprendid, ls miembrs del equip valran ls bjetivs, rles y relacines establecidas. Puede dar lugar a cnflicts. El jefe de pryect debe guiar e intentar llegar a slucines pactadas para ls cnflicts generads. Nrmalización Si se superan ls psibles cnflicts de la etapa anterir, se pasa a la nrmalización mediante la creación de nrmas de cnducta. El jefe de pryect debe animar a cada un de ls miembrs a participar más activamente. Ptenciar la sensación de prpiedad pr parte de ls miembrs hacia sus bjetivs y tareas. Acción El equip funcina cn un buen grad de autnmía, prduciend resultads de calidad. El jefe de pryect debe ser un facilitadr del fluj de trabaj 46 P á g i n a

48 RESULTADO ESPERADO Identificar el prblema la prtunidad Identificar y definir la slución idónea Identificar las tareas y ls recurss necesaris. Preparar el calendari y la btención de recurss Estimar el cst del pryect y preparar un presupuest Analizar ls riesgs y establecer relacines que tda persna que tenga un interés direct indirect en el pryect: Gestión del riesg periódic. Mantener el cntrl y la cmunicación en el nivel adecuad durante la ejecución: Reunines periódicas para detectar y cmunicar desviacines. Gestinar un cierre satisfactri Listad de tareas para pder acabar el pryect. Ls miembrs del equip tienden a dispersarse dad que el pryect se encuentra casi cerrad TICKIT Es un esquema de certificación para la administración de calidad del sftware, es utilizad en Rein Unid y Suecia, en general permite que desarrlladres de sftware y prveedres alcancen sus bjetivs de acuerd cn l que dicta l nrma ISO 9001 referida a gestión de calidad. Esta herramienta, crea un marc metódic para que las rganizacines se encaminen a la mejra cntinua y acrecentand su cmpetitividad. La Guía TickIT se cmpne de 6 partes (Ilustración 8): Pieza A: Intrducción a TickIT y el prces de certificación, en esta fase describe de manera general cm pera TickIT y se relacina cn tras iniciativas cm la mejra de prces. Pieza B: Guía a ls clientes y explica cóm pueden cntribuir a la calidad de ls prducts y servicis entregads. Pieza C: Guía a las Organizacines y a sus prveedres en la cnstrucción de un sistema de gestión de la calidad usand ls prcedimients de TickIT P á g i n a

49 Parte D: Guía a ls auditres sbre cóm usar ls prcedimients de TickIT. Parte E: Requerimients del sistema de gestión de calidad del sftware siguiend las cláusulas del estándar e interpretand ls requisits de manera adecuada del ISO 9001:2000. Parte F: Requisits del sistema de gestión de calidad del sftware desde la perspectiva de prcess básics requerids para el desarrll, mantenimient y ayuda del sftware y siguiend la nrma ISO/IEC 12207:1995. Ilustración 8. Maneras de us de TickIT RESULTADO ESPERADO L que se espera al implementar TickIT es l siguiente: Mejrar la cnfianza del mercad mediante una certificación de calidad del sistema de gestión a través de ls rganisms de certificación acreditads para el sectr de sftware. Mejrar la práctica prfesinal entre ls auditres de sistemas de gestión de calidad en el sectr del sftware. 48 P á g i n a

50 Publicar una guía autrizada para tds ls interesads. TickIT utiliza ISO 9001:2000 est implica tener una excelente base para garantizar la calidad del diseñ, desarrll, prducción, instalación y servici del sftware al grad de cmpararl cn el estándar cn el cual se evalúan ls sistemas de gestión de calidad para el sftware CMMI(CAPABILITY MATURITY MODEL INTEGRATION) CMMI (en españl Integración de mdels de madurez de capacidades) se trata de un cnjunt de cuatr mdels elabrads pr el Institut de Ingeniería del Sftware (SEI) de ls Estads Unids, ls cuales permiten evaluar la madurez en ls prcess en una rganización y describir las tareas que se deben llevar a cab para mejrar dichs prcess. De ls cuatr mdels CMMI la rganización elige el que más se ajusta a sus necesidades, ls mdels sn ls siguientes: 1. SS-CMM. Prvisión Externa 2. IPPD-CMM. Desarrll Integrad de Prduct y Prces 3. SE-CMM. Ingeniería de Sistemas 4. SW-CMM. Ingeniería del Sftware SE-CMM y SW-CMM en la nueva versión que se cnce cm CMMI sn remplazads pr el títul CMMI para desarrll. Para cada área de prces se define una serie de buenas prácticas, cm l es: describir y dcumentar un prcedimient; prveer la infrmación necesaria; ejecutar de un md sistemátic, universal y unifrme; y, cntar cn medidas que estén verificadas. CMMI cuenta cn ds representacines diferentes: cntinua y pr etapas. La representación cntinua permite elegir un área de prces grup de áreas de prces y mejrar ls prcess que se relacinan cn esta. En esta representación se utilizan seis niveles de capacidad para identificar la mejra de un área de prces individual. Ls niveles de capacidad, sn ls siguientes: 0. Incmplet. El prces n se realiza n se cnsiguen ls bjetivs. 1. Ejecutad. El prces es ejecutad y cumple ls bjetivs. 49 P á g i n a

51 2. Gestinad. El prces es ejecutad, además se planifica de acuerd cn plíticas, se mnitriza, se cntrla, se revisa y se evalúa el prces. 3. Definid. El prces es gestinad, estableciend el prpósit, las entradas, ls criteris de entrada, las actividades, ls rles, las medidas, las etapas de verificación, las salidas y ls criteris de salida. Se ajusta a la plítica de prcess dentr de la rganización. 4. Cuantitativamente gestinad. Este prces se cntrla utilizand técnicas estadísticas y tras técnicas cuantitativas, tmand en cuenta la calidad y rendimient del prces. 5. En ptimización. El prces se enfca en una mejra cntinua, se revisa y mdifica para adaptarl a ls bjetivs del negci. La representación pr etapas emplea cnjunts predefinids de áreas de prces y especifica un camin de mejra el cual se describe pr niveles de madurez. Ls cinc niveles de madurez sn ls siguientes: 1. Inicial. Ls prcess n sn estables, exceden el presupuest y n cumplen calendaris. 2. Gestinad. Ls prcess se planifican, realizan y gestinan de acuerd a planes dcumentads. 3. Definid. Ls prcess se gestinan cnstantemente manejand las interrelacines entre las actividades del prces y las medidas detalladas del prces, ls prducts de trabaj y sus servicis. 4. Gestinad cuantitativamente. El prduct de ls prcess se cntrla utilizand técnicas estadísticas y tras técnicas cuantitativas. 5. En ptimización. El prces se mejra cntinuamente, ls efects de las mejras se miden y evalúan de acuerd cn ls bjetivs cuantitativs de mejra del prces. La elección de alguna de las ds representacines depende de la rganización y el cncimient que se tiene de ls prcess que necesitan ser mejrads. Si se ha detectad qué prcess requieren ser ptimizads y sus respectivas dependencias de las áreas en CMMI la representación cntinua es la pción a elegir. En cambi, si n se tiene idea de pr dónde empezar ni qué prcess elegir para su mejra, la representación pr etapas es la indicada. RESULTADO ESPERADO Para evaluar a las rganizacines que cupan CMMI se utiliza el métd SCAMPI (del inglés Standard CMMI Appraisal Methd fr Prcess Imprvement), el cual da cm resultad una calificación. 50 P á g i n a

52 Para la representación cntinua la calificación es un perfil del nivel de capacidad el cual cnsta de una lista de áreas de prcess cn el respectiv nivel de capacidad alcanzad. En cambi en una representación pr etapas la calificación es un nivel de madurez, se aprta la serie de perfiles bjetiv que tiene su equivalente a un nivel de madurez de la representación. SCAMPI incluye ls métds de evaluación de Clase A, B y C. SCAMPI A. Es el métd más rigurs y el únic métd que puede dar lugar a una calificación. SCAMPI B. Prprcina pcines en el alcance del mdel, per la caracterización de las prácticas está fijada en una escala y se realiza sbre prácticas ya implementadas. SCAMPI C. Ofrece un ampli rang de pcines, incluyend la caracterización de enfques planificads para la implementación de prcess de acuerd cn una escala definida pr el usuari. 13 SCAMPI es una serie de cuestinaris para cada una de las áreas de prces de CMMI, las cuales sn 22: 1. Análisis causal y reslución (CAR, del inglés Causal Analysis and Reslutin). 2. Análisis de decisines y reslución (DAR, del inglés Decisin Analysis and Reslutin). 3. Aseguramient de la calidad de prces y de prduct (PPQA, del inglés Prcess and Prduct Quality Assurance). 4. Definición de prcess de la rganización + IPPD1 (OPD + IPPD, del inglés Organizatinal Prcesses Defining). 5. Desarrll de requerimients (RD, del inglés Requirements Develpment). 6. Enfque en prcess de la rganización (OPF, del inglés Organizatinal Prcesses Fcus). 7. Frmación rganizativa (OT, del inglés Organizatinal Training). 8. Gestión cuantitativa de pryect (QPM, del inglés Quantitative Prject Management). 9. Gestión de acuerds cn prveedres (SAM, del inglés Supplier Agreement Management). 10. Gestión de cnfiguración (CM, del inglés Cnfiguratin Management). 13 CHRISSIS, Mary Beth, et al. CMMI, Guía para la integración de prcess y la mejra de prducts. 2ª. Ed. Pearsn Educación. Méxic: Pág P á g i n a

53 11. Gestión de requerimients (REQM, del inglés Requirements Management). 12. Gestión de riesgs (RSKM, del inglés Risk Management). 13. Gestión integrada del pryect + IPPD1 (IPM + IPPD). 14. Innvación y despliegue en la rganización (OID, del inglés Organizatin, Innvatin and Deplyment ). 15. Integración de prduct (PI, del inglés Prduct Integratin). 16. Medición y análisis (MA, del inglés Measure and Analysis). 17. Mnitrización y cntrl del pryect (PMC, del inglés Prject Mnitring and Cntrl). 18. Planificación de pryect (PP, del inglés Prject Planing). 19. Rendimient del prces de la rganización (OPP). 20. Slución técnica (TS, del inglés Technical Slutin). 21. Validación. 22. Verificación. En esta plantilla que prprcina SCAMPI (Ilustración 9) se ingresan las calificacines que btuviern ls representantes pr cada área de prces y se mstrarán ls resultads para su análisis, utilizand gráficas radiales. Cada pregunta se califica de acuerd cn la siguiente escala de puntuación: 0 1. Esta práctica n se requiere y casi nunca se realiza Esta práctica a veces se requiere y a veces se realiza Esta práctica es requerida per n siempre se realiza la práctica es regularmente realizada aunque n es requerida supervisada Esta práctica es nrmalmente requerida y usualmente realizada Esta práctica es requerida, es realizada y es supervisada. 10. Esta práctica está institucinalizada y es un ejempl de clase mundial.?. Si el participante n cnce la respuesta. NA. Si la práctica n es aplicable. 52 P á g i n a

54 Ilustración 9. Plantilla para evaluación de niveles de CMMI TOGAF(THE OPEN GROUP ARCHITECTURE FRAMEWORK) En españl significa Esquema de Arquitectura de Grup Abiert, es un marc de trabaj de arquitectura empresarial el cual se enfca en el diseñ, planificación, implementación y gbiern de la arquitectura empresarial de la infrmación. Cuenta cn cuatr niveles dimensines: 1. Arquitectura de Negcis Prcess de Negci. En esta fase se definen estrategias del negci, la manejabilidad, la estructura y ls prcess clave de la rganización. 2. Arquitectura de Aplicacines. Se refiere a la representación para cada sistema de aplicación que se debe implantar y a cóm interactúan ls sistemas y su relación cn ls prcess del negci en la rganización. 53 P á g i n a

55 3. Arquitectura de Dats. Se refiere a la estructura de ls dats físics y lógics en la rganización y cn qué recurss se cuenta para administrar ests dats. 4. Arquitectura Tecnlógica. Se enfca a la estructura de hardware, sftware y redes necesarias para implementar las aplicacines requeridas en la rganización. Ls principales cmpnentes de TOGAF sn: ADM (Architecture Develpment Methd). Es un métd que se encarga de que se cumpla cn las necesidades de la rganización y de las TIC s. Describe para cada fase ls bjetivs, el enfque, las entradas, las fases y las salidas. Prprcina resúmenes para administrar el cumplimient de ls requisits. Guías y Técnicas para ADM. Sn guías y técnicas que se adaptan a diferentes cntexts dependiend del prces. Framewrk del cntenid de la arquitectura. Prprcina una guía detallada de ls prducts que prduce la arquitectura mediante entregables. Enterprise Cntinumm y Herramientas. Prprcina métds para clasificar ls artefacts de la slución y la arquitectura mstrand cóm se relacinan y pueden ser usads. Se basa en patrnes, mdels y descripcines arquitectónicas que ya existen en la rganización. Mdels de Referencia TRM (Technical Reference Mdel). Es un catálg clasificación de ls servicis genérics de la platafrma. III-RM (Integrated Infrmatin Infrastructure Mdel). Enfcad a las aplicacines de negcis e infraestructura. Framewrk de la capacidad de la arquitectura. Sn un cnjunt de recurss, guías, plantillas, rles y respnsabilidades que ayudan al arquitect a establecer y perar una arquitectura empresarial. Ls prducts de TOGAF, se agrupan en 3 categrías: 1. Entregable. Es el prduct de trabaj que está definid y que es revisad, acrdad y firmad pr ls interesads. La unión de ests entregables frma un pryect. 2. Artefact. Es un prduct de trabaj más minucis que describe una arquitectura desde un punt de vista. Ejempls: diagrama de red, especificación de un servidr, especificación de un cas de us y se subdivide en: Catálgs (listas de elements). Matrices (relacines entre elements). 54 P á g i n a

56 Diagramas (dibujs de ls elements). 3. Blque cnstructiv. Representa un cmpnente de negcis (ptencialmente reusable), un cmpnente de tecnlgía de infrmación una capacidad arquitectural que cmbina trs blques cnstructivs. Ls blques cnstructivs pueden ser definids en varis niveles: ABBs (Architecture Building Blcks) típicamente describen la capacidad requerida en la frma SBBs (Slutin Building Blcks) que representan cmpnentes que sn usads para implementar una capacidad requerida. RESULTADO ESPERADO Hay ds niveles de certificación: 1. Nivel 1. Cncid cm Fundación TOGAF Nivel 2. Cncid cm Certificad TOGAF 9. El nivel 2 cntiene ls requisits de aprendizaje para el Nivel 1. El Prgrama está diseñad para seguir las mejres prácticas de la industria para ls prgramas de certificación equivalentes. El primer nivel de certificación valida que el candidat tenga el cncimient de ls cncepts y terminlgía básics de TOGAF 9 y cmprende ls principis básics de la arquitectura empresarial. El segund nivel, valida que el candidat sea capaz de analizar y aplicar ls cncimients de TOGAF. Se realizan cuatr exámenes: 1. TOGAF 9 Parte 1. Se debe btener una puntuación de 22 sbre 40 punts, las preguntas sn de pción múltiple. 2. TOGAF 9 Parte 2. Se debe btener una puntuación de 24 de 40 punts, sl sn 8 preguntas a libr abiert, las respuestas crrectas valen 5 punts, la segunda mejr respuesta vale 3 punts y la tercera mejr respuesta vale un punt. 3. TOGAF 9 Cmbinand parte 1 y parte 2. Para ls candidats que deseen alcanzar el nivel 2 de certificación directamente en un únic examen, la descripción de este crrespnde cn ls exámenes descrits anterirmente (Ilustración 10). 4. TOGAF 8 9 Avanzad. La primera sección es de 20 preguntas de pción múltiple que cubren el nivel 1 (ls resultads del aprendizaje). Para btener un pase para esta sección se requieren de 12 más punts sbre un máxim de 20. La segunda sección es idéntica al examen TOGAF 9 Parte 2 y se requieren 24 más punts de un máxim de 40 para pasar. 55 P á g i n a

57 Ls exámenes de certificación tienen un preci alrededr de USD 400 cada examen. Ls principales apartads sn: Arquitectura Sistema Operativ y Hardware Servicis de sftware y middleware. Aplicacines Infrmación de gestión. Hsting, tips de dats e intercambi. Métds de acces. Seguridad Sistema de Gestión. Arquitectura del sistema de ingeniería en general. Prcesadres. Servidres Clientes Métds de ingeniería de sistemas y herramientas. Arquitectura de las Guías de Cumplimient de Revisión. Directrices para la adaptación. Directrices para realizar el cumplimient de la arquitectura. Rles Niveles de gbiern dentr de la empresa. Administración de las TI. Es una clave de la capacidad, requisits y recurss para la mayría de las rganizacines. 56 P á g i n a

58 Ilustración 10. Plantilla de TOGAF IT BASELINE PROTECTION MANUAL El manual de prtección base de TI presenta un cnjunt de recmendacines de seguridad, establecidas pr la Agencia Federal Alemana para la Seguridad en Tecnlgía de la Infrmación (BSI, en alemán Bundesamt für Sicherheit in der Infrmatins Technik). Este estándar plantea en frma detallada aspects de seguridad en ámbits relacinads cn: Aspects generales. Relacinad cn la actividades de la rganización y sus prcedimients además manej de la infrmación y dats Gestión humana. Manej y administración del recurs human de la rganización. 57 P á g i n a

59 Criptgrafía. algritms, prtcls y sistemas que se utilizan para dtar de seguridad a las cmunicacines, a la infrmación y a las entidades que se cmunican Manej de virus. Prevención y manej aprpiad de virus infrmátics evitand prblemas subsecuentes. Infraestructura. la infraestructura en la que se apya ls prcedimients y actividades de la rganización Edificacines. Cnstruccines de us especific y su respectivas instalacines Redes Wifi. redes de cmunicacines inalámbricas prpensas a hacke he intrusión. Sistemas. Sistemas peracinales de desarrll que prveen el funcinamients de aplicacines y requerimients para ls prcess de una rganización Windws. Sistema perativ basad en ventanas. Nvell. Platafrma de servici para frecer acces a la red y ls recurss de infrmación, sbre td en cuant a servidres de archivs Unix. Sistema perativ prtable, multitarea y multiusuari Redes. Cablead, dispsitivs y tplgías de redes. Firewalls. parte de un sistema una red que está diseñada para blquear el acces n autrizad, permitiend al mism tiemp cmunicacines autrizadas. Módems. dispsitiv que cnvierte las señales digitales en analógicas (mdulación) y viceversa (demdulación), permitiend la cmunicación entre cmputadras a través de la línea telefónica del cable. Aplicacines. Aplicacines específicas prpietarias para la peración de la rganización Crre electrónic. servici de red que permite a ls usuaris enviar y recibir mensajes y archivs rápidamente mediante sistemas de cmunicación electrónics Manej de la web. Administración y manej de web Bases de dats. Cnjunt de dats pertenecientes a un mism cntext y almacenads sistemáticamente para su psterir us 58 P á g i n a

60 El manual de prtección base de TI presenta un cnjunt de medidas de seguridad estándar recmendadas para sistemas de TIC s. El blanc de estas recmendacines del manual de prtección base de TI es alcanzar un nivel de seguridad para sistemas de las TIC s que es raznable y adecuada para satisfacer requerimients de prtección que también pueden servir cm la base para sistemas de las TIC s y aplicacines que requieren un alt grad de prtección. Est es lgrad mediante la aplicación de estándares de seguridad rganizacinal, persnal, infraestructural y técnicas. Para facilitar la estructuración y prcesamient de áreas de las TIC s, incluyend el entrn peracinal, el manual de prtección base de TI está estructurad de una manera mdular. Ls móduls individuales reflejan áreas en las cuales las TIC s sn empleadas, pr ejempl: Redes cliente/servidr Edificis Cmunicacines Cmpnentes de aplicacines. Cada módul cmienza cn una descripción de amenazas que pueden ser esperadas en el área dada, junt cn su prbabilidad de currencia. Este escenari de amenaza prvee la base para generar paquetes de medidas específicas para las áreas de: Infraestructura Persnal Organización Hardware Sftware Cmunicacines Planes de cntingencia Ls escenaris de amenaza están presentads de md que puedan crear alertas, y n se requiere nada más para la creación de un cncept de seguridad prducid pr manual de prtección base de TI. Es suficiente cn identificar ls móduls que sn relevantes para el sistema activs de TI baj cnsideración e implementar de manera cnsistente tdas las buenas prácticas recmendadas en ess móduls. Usand el manual de prtección base de TI, es psible implementar cncepts simples y ecnómics en términs de ls recurss requerids. Baj la aprximación tradicinal de análisis de riesgs, antes que nada las amenazas deben ser identificadas y asignadas cn una prbabilidad de currencia y ls resultads de este análisis serán utilizads para seleccinar las medidas aprpiadas para las TI, dad que el riesg residual restante puede ser determinad. 59 P á g i n a

61 Pr tr lad, la aprximación adptada en el manual de prtección base de TI sól requiere de una cmparación entre el bjetiv y la situación actual para llevar a cab las medidas recmendadas y las ya implementadas. Ls defects de seguridad necesitan ser eliminads a través de la adpción de las medidas de seguridad que faltan n han sid implementadas. Sól dnde el requerimient de prtección es alt es necesari también llevar a cab un análisis de seguridad suplementari, tmand en cuenta el cst que implica implementar esas medidas adicinales. Sin embarg, pr l regular es suficiente implementar las recmendacines hechas en manual de prtección base de TI cn medidas adaptadas y más rigursas, que están descritas detalladamente en el manual que sirve cm instruccines específicas de implementación. Cn respect a la técnica usada, se ha tenid cuidad en asegurar que las descripcines sean entendibles para aquells que tienen que implementarlas ya sea pr un administradr experimentad un usuari. Teniend en mente el pas de la innvación y cambis de versión en el área de las TIC s, el manual de prtección base de TI ha sid diseñad para hacer fácil su utilización. El BSI trabaja cntinuamente y actualiza ls móduls existentes en intervals regulares para mantener las recmendacines hechas en el manual en línea cn ls últims desarrlls tecnlógics. RESULTADO ESPERADO El manual de prtección base de TI cmprende medidas de seguridad básicas para sistemas típics de TI cn necesidades de prtección nrmales. La detección y evaluación de punts débiles en ls sistemas de TI cn frecuencia curre en la Evaluación de Riesgs, dnde una amenaza ptencial es evaluada y ls csts de dañ al sistema sn investigads individualmente. Este acercamient cnsume much tiemp y también es muy car. La prtección prcede desde una típica amenaza ptencial, que se aplica al 80% de ls cass y recmienda las medidas adecuadas en cntra, de esta frma un nivel de seguridad puede ser alcanzad y vist cm adecuad en la mayría de ls cass y en cnsecuencia reemplazand la evaluación de riesgs que en esencia es más cara. Aspects generales. El primer nivel cncierne a cuestines rganizacinales afectand gestión, persnal subcntratación. Infraestructura. Se centra en aspects estructurales. Tratada pr Técnics interns. Sistemas TI. Este apartad cncierne a las características de ls sistemas de TI. Entre estas están incluidas, además de clientes y servidres, ls PBX máquinas de faxes. Tratada pr Administradres de Sistemas. Redes. Aspects de redes sn incluids en esta capa tratada pr Administradres de Redes. 60 P á g i n a

62 Aplicacines TI. Este apartad abarca las cuestines relevantes en sftware cm: Bases de dats Sistemas de gestión Servidres web. La situación de la amenaza se deduce a través de una descripción del cmpnente examinand ls hechs. Las medidas necesarias sn presentadas en text cn ilustracines crtas. El text sigue ls hechs del cicl de vida en cuestión e incluye planeación y diseñ, adquisición, realización, peración, selección y medidas preventivas. Después de realizar una deducción, las medidas individuales sn reclectadas en una lista, que es rdenada de acuerd cn la estructura del catálg de medidas y n de acuerd cn el cicl de vida (Ilustración 11). Las medidas sn rdenadas en categrías A, B, C, y Z: Categría A. Medidas para el punt de entrada en el tema. Categría B. Medidas que expanden la categría A. Categría C. Medidas necesarias para una certificación del manual de prtección base de TI. Categría Z. Presenta medidas adicinales que han sid prbadas en la práctica. Para mantener cada cmpnente tan cmpact cm sea psible será necesari reclectar aspects glbales en un cmpnente, mientras que la infrmación más específica es reclectada en un segund. Ambs cmpnentes, tant el de aspects glbales cm el de infrmación específica deben ser implementads satisfactriamente para garantizar la seguridad del sistema. Las respectivas medidas de amenazas, que sn intrducidas en el cmpnente, pueden ser relevantes para tr cmpnente en parte diferente. De este md una red de cmpnentes individuales surge en ls catálgs del manual de prtección base de TI P á g i n a

63 Ilustración 11. Plantilla IT Baseline NIST (NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY) En españl significa Institut Nacinal de Estándares y Tecnlgía. La serie 800 es una serie de dcuments de interés general sbre Seguridad de la Infrmación, su publicación inició en 1990 y es prduct de la unión de industrias, gbierns y rganizacines académicas interesadas en la seguridad. La publicación NIST prprcina las mejres prácticas y principis de seguridad que pueden rientar al equip de Seguridad en el pryect. Este dcument se debe cmbinar cn tras publicacines NIST para cntribuir a la estructura necesaria del prces de seguridad. 15 ( 62 P á g i n a

64 Debe utilizarse para btener detalles adicinales sbre cualquiera de las mejres prácticas que a cntinuación se mencinan. Plítica. Se refiere a la creación de un prgrama de seguridad infrmática, establece sus bjetivs y asigna respnsabilidades. También se refiere a las nrmas de seguridad específicas para sistemas particulares. Prgrama de plítica. Se refiere a la creación y definición de un prgrama de seguridad infrmática, al establecimient de las estrategias de la rganización, la asignación de respnsabilidades y verificación del cumplimient de ls punts anterires y en cas cntrari la aplicación de sancines. Debe ser clar en cuant a qué recurss, incluyend instalacines, hardware, sftware, infrmación y persnal debe abarcar. Prblema específic de la plítica. Debe tratar sbre ls temas de actualidad que precupan a la rganización y estar actualizads. Sistema específic de la plítica. Debe centrarse en las decisines. Mediante un análisis técnic gestinar las decisines. Variar de acuerd cn las necesidades. Explicar quién puede hacer una acción sbre ls registrs de dats. Tdas las plíticas deben ser apyadas pr la administración y ser cnsistentes cn las demás leyes, directivas y prcedimients presentes en la rganización. Prgrama de Gestión.Permite crear una estructura de sprte para la creación y administración de cntenids Central de prgrama de seguridad. Prprcina distints tips de beneficis: mayr eficiencia y ecnmía de seguridad en tda la rganización. Sistema de prgrama a nivel. Trata de ls recurss de cmputación dentr de un element perativ, una aplicación imprtante, un grup de sistemas similares (ya sea tecnlógicamente funcinalmente). Gestión de Riesgs. Adpta medidas para reducir el riesg a un nivel aceptable y mantener ese nivel de riesg. Se requiere el análisis de riesg en relación cn ls beneficis ptenciales, la cnsideración de alternativas, y, finalmente, la aplicación de la gestión de l que determina a ser el mejr curs de acción. Evaluación de riesgs. Prces de análisis e interpretación de riesgs. Identifica la parte del sistema que debe ser analizada y el métd analític. Después hace la recpilación y análisis de dats. Pr últim interpreta ls resultads. Mitigación de riesgs. Seleccina e implementa ls cntrles de seguridad para reducir el riesg a un nivel aceptable de gestión. 63 P á g i n a

65 Análisis de incertidumbre. Un análisis de incertidumbre se debe realizar y dcumentar de manera que el resultad se pueda utilizar. Cicl de planificación. La mayría cntiene cinc fases básicas: inici, desarrll adquisición, implementación, peración y dispsición. Plan de seguridad. Su bjetiv es asegurar que las actividades de seguridad se llevan a cab durante cada una de las fases. Fase de iniciación. Se debe definir el prpósit del sistema. Fase de desarrll adquisición. El sistema es diseñad, cmprad, prgramad, desarrllad y cnstruid. Fase de implementación. El sistema es prbad e instalad. Fase de peración mantenimient. El sistema está en marcha. Fase de eliminación del cicl de vida. Se dispne de infrmación, hardware y sftware. Persnal Herramientas de usuari. Aplicacines extra que ayudan al usuari a administrar y gestinar ls recurss del sistema Organización de persnal. Administración de usuaris. Asegurar la administración efectiva de acces a las cmputadras de ls usuaris y mantener la seguridad del sistema, incluida la gestión de cuentas de usuari, la auditría y la mdificación puntual eliminación del acces. Preparación para Cntingencias y Desastres. Un plan que tenga estrategias, métds y recmendacines para cualquier imprevist ls cuales cntienen: Plan de negcis. Identificar recurss. Desarrllar escenaris. Desarrllar estrategias. Prbar y mdificar el Plan. Seguridad para el Manej de Incidentes. Manejar el cicl de vida de tds ls Incidentes. El bjetiv principal del manej de incidentes es devlver el servici de TI a ls usuaris l antes psible Us de capacidad para el manej de incidentes de seguridad infrmática. 64 P á g i n a

66 Sensibilización y Capacitación. Para que la seguridad infrmática sea eficaz se debe cntar cn una adecuada planificación, implementación, mantenimient y evaluación periódica. Cnsideracines de seguridad en sprte infrmátic y de peracines. Referente a la administración del sistema y las tareas externas al sistema para apyar su funcinamient, pr ejempl la dcumentación. Seguridad física y ambiental. De esta manera se previenen interrupcines en ls servicis infrmátics, dañ físic, divulgación n autrizada de infrmación, pérdida de cntrl sbre la integridad del sistema y rb. Identificación y Autenticación. Ayuda a evitar que persnas n autrizadas entren en un sistema infrmátic. El sistema es capaz de identificar y diferenciar entre ls usuaris. Cntrl de acces lógic. Referente a ls medis cntenids en el sistema que permiten restringen el acces de alguna frma, estableciend qué usuaris deben tener acces sól a ls recurss que necesitan para realizar sus funcines ficiales. Auditría. Pueden prprcinar un medi para ayudar a lgrar varis bjetivs relacinads cn la seguridad, incluyend la respnsabilidad individual, recnstrucción de ls hechs, detección de intruss y la identificación del prblema. Criptgrafía. Ayuda a prprcinar muchs servicis de seguridad, cm la firma electrónica y garantizar que ls dats n se han mdificad. RESULTADO ESPERADO En esta metdlgía en lugar de llamarla rganización, ya sea del tip: cmercial, fabricante, universidad, federal, estatal lcal, nacinal extranjer; se le cnce cm labratri, si esta rganización realiza cualquiera de ls métds de ensay incluids en el Prgrama de Acreditación de Labratris (LAP) de acuerd cn el Cifrad y Cmprbación de Seguridad (CST) puede slicitar la acreditación al Prgrama Nacinal Vluntari de Acreditación de Labratris (NVLAP). La acreditación se cncederá si se cumplen las cndicines definidas en el dcument NIST Handbk y NIST Handbk 150 Checklist. La acreditación n implica una garantía de funcinamient de ls labratris de ls dats de prueba del sistema, sin que es un resultad de la cmpetencia del labratri y la habilidad para la realización de las pruebas. El NVLAP sigue la nrma ISO/IEC para ls tips de ensays de aptitud utilizads en el LAP CST. Est cnsiste en verificar que las herramientas de prueba cmpnentes de funcinamient sean identificadas y usadas adecuadamente pr el persnal de la rganización, así mism que dichas herramientas sean las aprpiadas. Se debe 65 P á g i n a

67 demstrar que se cmprenden e interpretan crrectamente ls dats y resultads de las pruebas btenidas de las herramientas de pruebas al igual que el cncimient teóric y la experiencia técnica para alcanzar la acreditación. El cuestinari que se plantea hace preguntas para cada métd de prueba para el labratri que busca la acreditación, las preguntas sn relativas a cuestines cm criptgrafía, cncimients de seguridad y cncimient de nrmas que regulan (ilustración 12). Ls resultads del ensay de aptitud se presentan pr un evaluadr dentr de ls primers 30 días a partir de haber cncluid el prces de pruebas. Ilustración12. NIST Handbk 150 Checklist. 66 P á g i n a

68 Ls principis de seguridad que examina sn ls siguientes: Seguridad Infrmática cm apy a la misión de la Organización. Está basada en la misión de la rganización, la visión y la cultura para garantizar el éxit del prgrama de seguridad de la infrmación. Seguridad Infrmática cm un element integral de la buena gestión. Una administración efectiva incluye planeación, rganización, liderazg y cntrl. Seguridad Infrmática rentable. El cst de la seguridad de la infrmación debe ser cnsiderad cm parte del cst del negci, que incluye el cst de las cmputadras, redes y sistemas de telecmunicacines. Ls prpietaris de ls sistemas tienen respnsabilidades de seguridad fuera de sus prpias rganizacines pr l que se debe asegurar la cnfidencialidad, integridad y dispnibilidad de ls sistemas. Respnsabilidades explícitas de seguridad y rendición de cuentas. Las plíticas deben identificar claramente las respnsabilidades de ls usuaris, administradres y gerentes. Las plíticas deben ser dcumentadas, leídas, cmprendidas y aceptadas pr tds ls miembrs de la rganización. Seguridad Infrmática requiere un enfque ampli e integrad. Las tecnlgías de la infrmación, ls usuaris y administradres deben participar en el prces para desarrllar un prgrama cmplet de seguridad de la infrmación. La seguridad infrmática debe ser evaluada periódicamente debid a que las tecnlgías de infrmación y cmunicación, ls dats, ls usuaris, ls riesgs cn el sistema y ls requisits de seguridad sn cambiantes. Seguridad Infrmática limitada pr factres sciales. Las medidas de seguridad deben ser seleccinadas e implementadas cn el cncimient de ls derechs e intereses de ls demás. La seguridad puede mejrar el acces y el fluj de dats e infrmación, prprcinand infrmación más precisa y cnfiable y una mayr dispnibilidad de ls sistemas ISO 9000 La serie ISO 9000 es un cnjunt de cinc nrmas relacinadas entre sí, sn nrmas genéricas, n específicas y que permiten ser usadas en cualquier actividad ya sea industrial de servicis. La imprtancia de la aplicación de las nrmas ISO 9000 para el desarrll e implementación de sistemas de aseguramient de la calidad radica en que sn nrmas prácticas. Pr su sencillez han permitid su aplicación generalizada sbre td en pequeñas y medianas empresas. 67 P á g i n a

69 Las nrmas ISO Serie 9000 brindan el marc para dcumentar en frma efectiva ls distints elements de un sistema de calidad y mantener la eficiencia del mism dentr de la rganización. La estructura de acción de las nrmas de aseguramient de la calidad ISO serie 9000 es prduct de un prces evlutiv que puede resumirse en ls siguientes pass: 1. El cliente inspeccina ls bienes entregads pr el prductr evaluand la calidad del prduct. 2. Cuand el mercad pasa a mans de ls cmpradres, ests aumentan sus exigencias respect a la calidad ttal, fecha de entrega, preci, etc. 3. Cmienzan a implementarse técnicas de cntrl en la recepción, a ls prveedres que entregan adecuadamente se les da la categría de Calidad Certificada. 4. Psterirmente las empresas cmpradras se diern cuenta de que: a) Alguns prveedres aprbaban y pasaban piezas defectusas prvcand incnvenientes imprtantes en la prducción. b) N se evitaban csts de prducción que psterirmente pagaba el cliente. 5. Aparece entnces el sistema de aseguramient de calidad implementad pr el prveedr que cnsiste en cntrlar tds ls factres que inciden en ls resultads de la actividad, es decir, asegurar la calidad de manera que esta sea una cnsecuencia del prces y n del cntrl. 6. El cmpradr cmienza a mirar cóm se desarrlla la actividad del prveedr e inclusive a quien le prvee ls insums. La razón de esta intrmisión es que únicamente auditand el sistema de calidad se asegura la cntinuidad y la ecnmía de ls prcess. Es el cmienz de las auditrias privadas. 7. Est es csts para el cliente (que debe pagar las auditrías) y para el prveedr que debe atender muchas auditrías de cada un de ls clientes. Se piensa así en la certificación pr tercers asegurand al cliente el sistema de calidad cn auditrías periódicas. 8. A fin de facilitar el cntrl del cliente sbre el prveedr y lgrar que ls sistemas de aseguramient de calidad sean auditables es que se generan las nrmas de aseguramient de calidad. 9. La verificación del sistema del prveedr cntra un sistema nrmalizad de aseguramient de calidad es realizada pr rganisms externs a las partes (prveedr-cliente) denminadas Registradras. Este mecanism unifica requerimients y ptimiza csts. 10. La necesidad de generar cnfiabilidad en las Registradras prduj la aparición de ls Organisms de Acreditación, generalmente institucines estatales 68 P á g i n a

70 La relación entre las distintas partes que intervienen en ls sistemas de aseguramient de la calidad se visualiza en estructuras de acción de la nrma ISO serie La serie de nrmas ISO (Ilustración 13) destinadas al aseguramient de la calidad están armnizadas entre sí y sn: ISO Cumple el papel de eje distribuidr del sistema. Expne el alcance real de la serie. Define la filsfía general de las nrmas, ls distints tips, niveles y pautas para la aplicación de las distintas nrmas. ISO Se aplica cuand la empresa debe respnsabilizarse pr tdas las etapas del cicl, es decir: diseñ, desarrll y elabración. ISO Se aplica cuand las características del bien servici sn definidas pr el cliente. ISO Cubre las bligacines de aseguramient de calidad en las áreas de cntrl final y pruebas. Es de limitada aplicación pr l que existen planes para su eliminación. En ls cass de exigencia cntractual, las nrmas aplicables sn las nrmas ISO 9001/2/3. La nrma a aplicar depende del alcance de la actividad de la empresa, n de una elección a vluntad. ISO / ISO Establecen cndicines y pautas para guiar a las empresas en la implementación de su prpi sistema de aseguramient de calidad. Su desarrll n es válid para certificación registr. Ilustración 13. Familia ISO P á g i n a

71 Calidad. La ttalidad de las características de una entidad que le cnfieren la aptitud para satisfacer las necesidades establecidas e implícitas. Plítica de calidad. Orientacines y prpósits generales de un rganism cncerniente a la calidad, expresads frmalmente pr el más alt nivel de la dirección. Sistema de calidad. La rganización, ls prcedimients, ls prcess y ls recurss necesaris para implementar la gestión de la calidad. Aseguramient de la calidad. Cnjunt de actividades preestablecidas y sistemáticas, aplicadas en el marc del sistema de la calidad, que han demstrad ser necesarias para dar la cnfianza de que una entidad satisfará ls requisits para la calidad. Cntrl de la calidad. Técnicas y actividades de carácter perativ, utilizadas para satisfacer ls requisits de la calidad. Prces. Cnjunt de recurss y actividades relacinads entre sí que transfrman elements entrantes en elements salientes. Prcedimient. Manera especificada de realizar una actividad. RESULTADO ESPERADO Se entiende pr Certificación el dcument emitid pr un rganism acreditad que da fe de que el Sistema de Calidad de una rganización cumple cn ls requisits de la ISO 9001, ISO La validez de la certificación es nrmalmente de tres añs, debiend realizarse auditrías de mantenimient, que pueden ser anuales semestrales, dependiend de la cmpañía auditra. Transcurrid el períd de tres añs se efectúa una nueva auditría de certificación cmpleta. Un prces cnsiste en un grup de actividades relacinadas y secuenciales que transfrman las entradas, el material, la man de bra, el capital, etc., en las salidas deseadas (bienes servicis), añadiend valr. Ls prcess atraviesan las funcines de la rganización, se rientan a resultads y muestran las relacines prveedr/cliente entre funcines y cóm se realiza el trabaj realmente. Tienen asciadas las siguientes características: Cst Plaz Impact en calidad 70 P á g i n a

72 Valr añadid Al ser prcess empresariales cabe citar el prces de desarrll de un nuev bien servici, el prces de tratamient de reclamacines, el prces de crédits, el prces lgístic, el prces del pedid, etc. El prces de implantación de la ISO 9000, cnstituye en sí mism un prces que debe iniciarse cn un diagnóstic de la situación inicial de la empresa en relación cn ls requisits del mdel ISO MAAGTIC (MANUAL ADMINISTRATIVO DE APLICACIÓN GENERAL EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES) Se trata de un manual para llevar a cab ls prcess en el área de Tecnlgías de la Infrmación de una Institución. Facilita una guía que describe las actividades, rles y prducts de prcess crítics en Dirección, Cntrl, Gestión y Operación de una unidad tecnlógica; sumándle a est una serie de indicadres que permitirán medir ls resultads, efectividad y eficiencia de ls prcess. Este manual está basad en estándares cm l sn: PMBOOK, CMMI, ITIL, ISO 27001, Balanced Scre Card, TOGAF, ISO 9001, VAL IT, MOPROSOFT, RISK IT. 16 Se cmpne pr 30 prcess estructurads pr 11 grups cnsiderads en 4 niveles de gestión que describen que hay que abrdar en cada un de ells (Ilustración 14): Gbiern Dirección Establecimient del mdel de gbernabilidad de las TIC. Planeación estratégica de las TIC. Determinación de la dirección tecnlógica. Cntrl Administración de la evaluación de las TIC. Administración de riesgs de las TIC. Organización/Estrategia Administración de Pryects P á g i n a

73 Administración del prtafli de pryects de las TIC. Administración de pryects de las TIC. Administración de Prcess Operación del sistema de gestión y mejra de ls prcess de la UTIC. Administración de Recurss. Administración del presupuest de las TIC. Administración de prveedres de prducts y servicis de las TIC. Administración de adquisicines de las TIC. Administración de servicis. Administración del prtafli de servicis de las TIC. Diseñ de servicis de las TIC. Ejecución/Entrega Administración y desarrll de slucines Definición de requerimients de slucines. Desarrll de slucines tecnlógicas. Calidad de slucines tecnlógicas. Transición y entrega. Administración de cambis. Liberación y entrega. Transición y habilitación de la peración. Administración de la cnfiguración. Operación de servicis. Operación de la mesa de servicis. Administración de servicis de tercers. Administración de niveles de servici. 72 P á g i n a

74 Administración de la seguridad de ls sistemas infrmátics. Sprte Administración de Activs. Administración de dminis tecnlógics. Administración del cncimient. Integración y desarrll persnal. Operacines Administración de la peración. Administración de ambiente físic. Mantenimient de infraestructura. L que se busca lgrar es: Tener un manual de prcedimients que describa el marc rectr de prcess de las TIC s. Demstrar que ls registrs prducts se están llevand a cab de acuerd al MAAGTIC. Mstrar la relación que se tiene cn las demás unidades respnsables, incluyend planeación y peración. Crear una mesa de servicis cm punt únic de cntact para slicitar servicis y prducts, así cm para infrmar de incidencias y prblemas. Ls acuerds de niveles de servici cn las unidades respnsables, acmpañads de una previsión presupuestal suficiente para prveer el servici en ls términs acrdads. Cntar cn las herramientas para sprtar el mdel de peración que exige el MAAGTIC. La recpilación de métricas e indicadres. 73 P á g i n a

75 Ilustración 14. Niveles de Gestión de MAAGTIC. 17 Se debe analizar la situación y tamañ actual de la Unidad de Tecnlgías de la Infrmación y Cmunicacines (UTIC) tmand en cuenta recurss, infraestructura, servicis y capacidad de peración. El manual requiere que se establezcan prcess de acuerd cn su marc rectr, ell implica la dcumentación de ls prcess y sus prducts, así cm establecer indicadres de evaluación y asignación de rles. Al detectar ls elements que cnfrman ls prcess se entenderá el mecanism de ls misms. Se debe frmar un equip de trabaj en el cual se incrpre persnal de ls niveles más alts de la institución, asignar rles y respnsabilidades y cmunicarl a tds ls integrantes. Se debe establecer una fecha límite para generar ajustes a ls dcuments y determinar un frmat y estil únic. Es necesari cmunicar prtunamente y mantener infrmads a tds ls empleads sbre ls beneficis de adptar ls prcess y apegarse a ells, para minimizar la resistencia y favrecer el éxit de la implantación. 17 ( 74 P á g i n a

76 Para abrdar la implantación de MAAGTIC hay varias maneras: Iniciar pr ls prcess fáciles. Enfrentar ls prcess cmplejs. Que la implantación de ls prcess l realice persnal de mayr experiencia. Identificar las excepcines y darles un tratamient especial. Buscar un punt medi en el grad de madurez de ls prcess. Pr últim cncluir el dcument de administración de prcess para pder iniciar la implantación. L que sigue es pner en marcha la implantación. Es cnveniente revisar que se lleven a cab las actividades para pder cnfirmar rectificar el camin. Pr últim viene una etapa de evaluación de resultads en la que se debe cntar cn evidencia dcumental de ls prcess. 1.3 JUSTIFICACIÓN DE LAS METODOLOGÍAS SELECCIONADAS Las metdlgías elegidas para la realización de este apartad, han sid seleccinadas cn base en ls alcances y factres que se implementan universalmente para la aplicación de estándares y nrmas. Ahra bien, td est aunad a la imprtancia que las Tecnlgías de la Infrmación y Cmunicación (TIC) han alcanzad, ha dejad de ser una herramienta de sprte para cnvertirse en una necesidad para cualquier dependencia. COBIT ns prprcinará un marc de referencia que ns asegurará que ls recurss de las TIC s sn utilizads, gestinads y dirigids de manera adecuada y respnsable. Ns ayudará a tmar en cuenta ls bjetivs, riesgs y recurss cn ls que cuenta la entidad. Así mism ns ayudará a lgrar una mayr adaptabilidad de ls prcess de la entidad y ver la interrelación entre ls bjetivs de cntrl de manera que se evite aislar ls prcess para evitar distrsines en el análisis y resultads de ls misms, pr l que COBIT prprcina el enlace entre COSO e ITIL. Evaluar el cumplimient de las nrmas internas de prtección, así cm ls prcedimients y cntrles establecids, recmendand y asesrand a la administración en la implementación de aquells que se cnsideren cnvenientes para que las peracines se realicen cn seguridad y eficiencia, lgrand el mejramient efectiv de la dependencia. Para la gestión de seguridad, infraestructura, aplicacines y el manej de incidentes se utilizará ITIL. De cualquier md, sn muchs ls prblemas que se presentan al gestinar estas TIC s, en el sentid de cóm lgrar que éstas sean una ventaja para las dependencias y cóm hacer que las TIC s sean una inversión cn retrn y n slamente un gast innecesari. Cn td est y ls psibles prblemas que se pueden presentar en una rganización, elegims las metdlgías que más se adaptan a las necesidades y se enfcan en brindar servicis de calidad para lgrar la máxima seguridad. Para ell, se parte de un 75 P á g i n a

77 enfque basad en el triángul prcess-persnas-tecnlgía que determina la frma de ejecutar prcess estándar ayudads de la tecnlgía para lgrar el cumplimient satisfactri del plan de seguridad y para el us adecuad de ls servicis de las TIC s pr parte de ls usuaris. Pr tr lad, quisims establecer una guía que permita a las Organizacines mejrar ls prcess y su habilidad para rganizar, desarrllar, adquirir y mantener prducts y servicis infrmátics respect a sus prcess de seguridad, cn el prpósit de cntrarrestar las vulnerabilidades adecuadamente y así cumplir cn ls bjetivs del plan de seguridad. Sabems que ls estándares n siempre encajan el un cn el tr ya que cada un de ells fue cread pr persnas diferentes, en un tiemp, un lugar y cn un prpósit diferente. Aunque pueden existir varis estándares que den slución a un determinad prblema, cada un de ells fue cread para tratar un rubr específic, cn un enfque determinad y cn un nivel de implementación distint. Es necesari saber qué partes de cada estándar mdel pueden ser utilizadas para cada cas. En definitiva, es primrdial saber elegir las mejres prácticas, manuales, guías, prcess y estrategias que abarcan tds ests mdels y así pder generar un mdel persnalizad y adaptad ttalmente para la realización de un diagnóstic que detecte prblemas, vulnerabilidades errres dentr de la rganización. 76 P á g i n a

78 Capítul 2 77 P á g i n a

79 CAPÍTULO II. PLAN DE SEGURIDAD DE UNA ORGANIZACIÓN 2.1DEFINICIÓN Un plan de seguridad es un cnjunt de requisits, reglas y prcedimients mediante ls cuales la rganización previene, prtege y maneja ls recurss cn ls cuales cuenta. Es una descripción de l que necesitams prteger, de qué necesitams prtegerl y cóm vams a prtegerl. El bjetiv principal del plan de seguridad es cncientizar a td el persnal de la necesidad de cncer qué principis rigen la seguridad de la rganización y cuáles sn las nrmas para cnseguir ls bjetivs de seguridad. Un plan de seguridad se cmpne de plíticas que pueden ser: Prhibitivas. Si td l que n está expresamente permitid está denegad. Permisivas. Si td l que n está expresamente prhibid está permitid. Cualquier plítica de seguridad debe cntemplar ls elements clave en materia de seguridad de un sistema infrmátic 18 : Integridad. Certificar que la infrmación del sistema n ha sid mdificada desde que fue almacenada pr persnal autrizad. Dispnibilidad. Garantizar que ls recurss del sistema estarán dispnibles cuand se necesite acceder a ells, cuand sea requerid y tantas veces cm sea necesari pr el persnal autrizad. Cnfidencialidad. Se refiere a que la infrmación sól puede ser cncida pr persnal autrizad. Cntrl. Cnsiderar el cntrl del acces y registr del us de ls recurss prtegids e identificación de ls usuaris. Autenticidad. Se refiere a que el sistema debe ser capaz de verificar la identidad de ls usuaris a través de una cntraseña, un númer persnal de identificación, alguna tarjeta para verificar su identidad, us de algún bimétric, entre trs. Utilidad. Ls recurss del sistema y la infrmación que se maneja deben ser útiles para alguna función a desempeñar. N repudi. Hace referencia a que cuand se envía un mensaje el receptr pueda prbar que este fue enviad pr el emisr. 18 Dnn B. Parker. Demnstrating the elements f infrmatin security with threats. In Prcessing f the 17 th Natinal Cmputer Security Cnference, pág , P á g i n a

80 2.2CONTEXTO 2.2.1POLÍTICAS Y PROCEDIMIENTOS Una Plítica de Seguridad es un cnjunt de requisits definids pr ls respnsables de un sistema, que indica en términs generales qué está y qué n está permitid en el área de seguridad durante la peración general del sistema. 19 De acuerd cn la RFC 2196, la cual es una guía para el desarrll de plíticas y prcedimients de seguridad infrmática para ls sitis que tienen sistemas en Internet, se define una plítica de seguridad cm: una declaración de intencines de alt nivel que cubre la seguridad de ls sistemas infrmátics y que prprcina las bases para definir y delimitar respnsabilidades para las diversas actuacines técnicas y rganizativas que se requerirán. 20 Cualquier plítica de seguridad debe cntemplar ls elements clave en materia de seguridad: la Integridad, Dispnibilidad, Privacidad, Cntrl, Autenticidad, Utilidad y n repudi. Un prcedimient de seguridad infrmática es una técnica herramienta que se utiliza para frtalecer la cnfidencialidad, la integridad y/ la dispnibilidad de un sistema infrmátic. Existen muchs y variads mecanisms de seguridad infrmática 21. Su selección depende del tip de sistema, de su función y de ls factres de riesg que l amenazan, cm sn: Preventivs: Actúan antes de que un hech curra y su función es detener agentes n deseads. Detectivs: Actúan antes de que un hech curra y su función es revelar la presencia de agentes n deseads en algún cmpnente del sistema. Se caracterizan pr enviar un avis y registrar la incidencia. Crrectivs: Actúan lueg de currid el hech y su función es crregir las cnsecuencias. Disuasivs: Actúan manipuland las circunstancias para que el hech n curra y así evitar las que sucedan. 19 HUERTA, Antni Villalón. Seguridad en Unix y redes. (Versión 1.2). Capítul 16-Página RFC 2196: Site Security Handbk. Fraser, Ed. Septiembre P á g i n a

81 AMENAZAS 2.2.2AMENAZAS Y VULNERABILIDADES Una amenaza es td aquell que puede, intenta pretende destruir un activ. Es decir dañs latentes que n se han cncretad. Las amenazas se clasifican dependiend de las fuentes que las generan, en: a) Naturales. Surgen de las fuerzas naturales tales cm inundacines, ls terremts, el fueg, el vient. Dichs desastres hacen surgir amenazas directas, pues repercuten indiscriminadamente en el funcinamient físic de las cmputadras, redes, instalacines y líneas de cmunicación. b) Hardware. Se dan pr fallas físicas que presenta cualquiera de ls dispsitivs que cnfrman nuestr Site cm desperfect de ls equips, baj rendimient, deterir incrrect funcinamient, entre trs. c) Sftware. Se presenta cuand un mecanism de seguridad se implementa se diseña en frma incrrecta incumpliend cn las especificacines. d) Red. Se presentan cuand n se calcula bien el fluj de infrmación que va a circular pr el canal de cmunicación pr una descnexión del canal de cmunicación de varis equips cnectads a la red. e) Human. La amenaza surge pr ignrancia, descuid, negligencia incnfrmidad en el manej de la infrmación pr parte del persnal simplemente pr mala intención. Dependiend de las fuentes de amenaza, la seguridad puede dividirse en ds partes: La seguridad lógica. Cnsiste en la aplicación de barreras y prcedimients que resguarden el acces a ls dats y sól se permita acceder a ells a las persnas autrizadas para hacerl. Dicha seguridad tiene cm bjetiv restringir el acces a ls prgramas y archivs asegurand que se estén utilizand ls dats y el prcedimient crrects, para que ls peradres trabajen sin una supervisión minucisa y n puedan mdificar ls prgramas ni ls archivs que n crrespndan, cnfiand en que la infrmación recibida sea la misma que ha sid transmitida, verificand que existan sistemas alternativs secundaris de emergencia para la transmisión entre diferentes punts. La seguridad física. Cnsiste en la aplicación de barreras físicas y prcedimients de cntrl, cm medidas de prevención ante amenazas a ls recurss e infrmación cnfidencial. Se refiere a ls cntrles y mecanisms de seguridad dentr y alrededr del centr de cómput, así cm ls medis de acces remt al y desde el mism; ests mecanisms sn implementads para prteger el hardware y medis de almacenamient de dats. 80 P á g i n a

82 VULNERABILIDADES Las vulnerabilidades sn punts débiles existentes en el activ en el entrn que al ser expltads aprvechads pr una amenaza, casinan un ataque. Las vulnerabilidades, dependiend de las fuentes que las generan, se clasifican en: a) Naturales. Se refiere al grad en que el sistema puede verse afectad pr desastres ambientales naturales. b) Hardware. El n verificar las características técnicas de ls dispsitivs junt cn sus respectivas especificacines, la falta de mantenimient y el adquirir equip de mala calidad, sn alguns ejempls de este tip de vulnerabilidad. c) Sftware. Ciertas fallas debilidades de ls prgramas del sistema hacen más fácil el acces de persnas n autrizadas y l hacen mens cnfiable. Este tip de vulnerabilidad incluye tds ls errres de prgramación del sistema perativ u tras aplicacines. d) Red. La cnexión de las cmputadras a las redes supne un enrme increment de la vulnerabilidad del sistema, aumentand cnsiderablemente la escala del riesg al que está smetid al aumentar la cantidad de usuaris que pueden tener acces al mism. e) Human. Alguns ejempls sn: cntratar persnal cn el perfil psiclógic y étic n adecuad, n tener persnal para tdas las áreas, el descuid, cansanci, maltrat al persnal, mala cmunicación cn el persnal. f) Infraestructura fisica. La pdems encntrar en la estructura del edifici entrn del sistema. La relacinams cn la psibilidad de pder entrar físicamente al lugar dnde se encuentra el sistema para rbar, mdificar destruir al mism ESTÁNDARES Existen alguns estándares de plíticas de seguridad creads pr países y pr áreas (gbiern, medicina, militar, etc.), per ls internacinales sn ls definids pr la ISO (Internatinal Organizatin fr Standardizatin). Un estándar es una regla que especifica una acción respuesta que se debe seguir a una situación dada, se trata de rientacines bligatrias que buscan prmver la implementación de plíticas de alt nivel en la rganización antes de crear nuevas plíticas. Para cntemplar ls elements clave en materia de seguridad de un sistema infrmátic, la ISO define ls siguientes cntrles ls cuales también hacen recmendacines: Seguridad rganizacinal. Aspects relativs a la gestión de la seguridad dentr de la rganización (cperación cn elements externs, utsurcing, estructura del área de seguridad). 81 P á g i n a

83 Clasificación y cntrl de activs. Inventari de activs y definición de sus mecanisms de cntrl, así cm etiquetad y clasificación de la infrmación crprativa. Seguridad del persnal. Frmación en materia de seguridad, cláusulas de cnfidencialidad, reprte de incidentes, mnitrización de persnal. Seguridad física y del entrn. Baj este punt se englban aspects relativs a la seguridad física de ls recints dnde se encuentran ls diferentes recurss, incluyend ls humans, de la rganización y de ls sistemas en sí, así cm la definición de cntrles genérics de seguridad. Gestión de cmunicacines y peracines. Este es un de ls punts más interesantes desde un punt de vista estrictamente técnic, ya que englba aspects de la seguridad relativs a la peración de ls sistemas y las telecmunicacines, cm ls cntrles de red, la prtección frente a malware, la gestión de cpias de seguridad el intercambi de sftware dentr de la rganización. Cntrles de acces. Definición y gestión de punts de cntrl de acces a ls recurss infrmátics de la rganización: cntraseñas, seguridad perimetral, mnitrización de access. Desarrll y mantenimient de sistemas. Seguridad en el desarrll y las aplicacines, cifrad de dats, cntrl de sftware. Gestión de cntinuidad del negci. Definición de planes de cntinuidad, análisis de impact, simulacrs de catástrfes. Requisits legales. Evidentemente, una plítica ha de cumplir cn la nrmativa vigente en el país dnde se aplica. En este apartad de las plíticas se establecen las relacines cn cada ley: derechs de prpiedad intelectual, tratamient de dats de carácter persnal junt a tds ls aspects relacinads cn registrs de events en ls recurss (lgs) y su mantenimient. También se han prpuest trs mdels para representar las prácticas y cmpetencias en materia de seguridad implantadas pr una rganización. Entre ells, "Systems Security Engineering - Capability Maturity Mdel" (SSE-CMM) desarrllad pr la Asciación Internacinal de Ingeniería de Seguridad de Sistemas (ISSEA, y en el que se distinguen cinc niveles de madurez: Nivel 1: Prácticas de seguridad realizadas de manera infrmal Nivel 2: Planificación y seguimient de las prácticas de seguridad Nivel 3: Definición y crdinación de las plíticas y prcedimients de seguridad Nivel 4: Seguridad cntrlada a través de distints cntrles y bjetivs de calidad 82 P á g i n a

84 Nivel 5: Implantación de un prces de mejra cntinua SERVICIOS DE SEGURIDAD Mejran la seguridad de un sistema de infrmación y el fluj de la misma en una rganización, se trata de servicis que están dirigids a evitar ls ataques de seguridad y utilizan un más mecanisms de seguridad. Es una actividad que mediante un dispsitiv físic lógic permite resguardar un activ, disminuir un dañ evitarl. En términs generales y cn base en su bjetiv se agrupa en cuatr tips de cntrl: Cntrles detectres. Están rientads a detectar la presencia de amenazas riesgs. Están asciads a ls recurss, bjetivs metas. Descubren ataques y disparan cntrles preventivs y crrectivs. Cntrles preventivs. Prtegen vulnerabilidades y hacen que un ataque fracase reduzca su impact. Cntrles crrectivs. Actúan lueg de currid el hech y su función es crregir las cnsecuencias. Cntrles disuasivs. Sn medidas encaminadas a desanimar a las persnas, para que lleven a cab accines que pdrían transfrmarse en amenazas para la peración. Pr ejempl, mensajes de n utilización de elements inflamables dentr de las áreas de cómput. Reducen la prbabilidad de un ataque deliberad. Ls mecanisms de seguridad se encuentran relacinads cn ls servicis, ya que un mecanism puede prteger un más servicis. Ls mecanisms de seguridad necesaris para prteger un activ deben haberse analizad previamente para detectar cuáles sn ls más adecuads y qué servicis de seguridad deben prveer. Es decir, la decisión de qué mecanisms se deben diseñar, desarrllar implementar se lleva a cab después de detectar ls activs a prteger y de qué se deben prteger. Un mecanism puede implementar un varis servicis de seguridad y el nivel de prtección se basarán en la cantidad de servicis implementads la rbustez de ésts. Cm ejempls de mecanisms de seguridad se tienen ls dats que se enmascaran usand una clave especial y siguiend una secuencia de pass preestablecids, cncida cm algritm de cifrad. El prces invers se cnce cm descifrad, usa la misma clave y devuelve ls dats a su estad riginal frtaleciend la cnfidencialidad. 83 P á g i n a

85 Ls servicis de seguridad se clasifican en 6 tips: 1. Cntrl de acces. El acces a un medi de infrmación puede ser cntrlad ya sea a través de un dispsitiv pasiv tal cm una puerta cerrada, a través de un dispsitiv activ cm puede ser un mnitr. 2. Cnfidencialidad. La privacidad es la capacidad de asegurar que sól las persnas autrizadas tienen acces a alg. La frma más cmún de prteger las csas en el mund físic es el us de candads y cerraduras. 3. Integridad. La integridad prevé que ls dats n hayan sid mdificads y que la secuencia riginal se mantenga durante la transmisión. 4. Autenticación. Cn este mecanism sól se verifica la identidad a través de: Alg que se sabe: una cntraseña y un númer persnal de identificación. Alg que se tiene: cm una tarjeta un pasaprte el cual es utilizad pr el sistema para verificar la identidad. Alg que se es: la vz y la retina que pueden identificar de quién se trata y pueden ser utilizads en el prces de autenticación. 5. N repudi. Previene a ls emisres a ls receptres de negar un mensaje transmitid, pr l que cuand el mensaje es enviad el receptr puede prbar que el mensaje fue enviad pr el presunt emisr. 6. Dispnibilidad. Se cumple si las persnas autrizadas pueden acceder a la infrmación deseada cuand l requieran y tantas veces cm sea necesari RESPONSABLES Un respnsable es una persna que tiene a su dispsición recurss y deberes pr desempeñar y quien ante algún incidente debe actuar bligatriamente de la manera más aprpiada para reslver ls prblemas que se presenten. El respnsable del área de sistemas se encarga de definir una serie de reglas para pder salvaguardar la seguridad del sistema de la rganización, para definir estas reglas es más que recmendable basarse en nrmas, reglaments, prtcls y estándares vigentes en el país. Las persnas que participan en la elabración de dichas plíticas definidas anterirmente sn: Administradr. Persna que gestinará ls recurss a prteger. Persnas cn autridad. Persna que pdrá impner la sanción (jefes de área, supervisres). Respnsable jurídic. Persna que vigilará que se cumplan ls derechs de ls individus. 84 P á g i n a

86 Redactr. Persna que se encargará de escribir las plíticas cn la redacción y rtgrafía debidas. Usuari. Persna que hará us de ls recurss prprcinads pr el administradr. Ls respnsables deben tmar en cuenta que una plítica incluye l siguiente 22 : 1. La declaración de la plítica (cuál es la psición de la administración qué es l que se desea regular). 2. Nmbre y carg de quien autriza aprueba la plítica. 3. Nmbre de la dependencia, del grup de la persna que es el autr el prpnente de la plítica. 4. Especificar quién debe acatar la plítica y quién es el respnsable de garantizar su cumplimient. 5. Indicadres para saber si se cumple la plítica. 6. Referencias a tras plíticas y regulacines en las cuales se sprta cn las que se tiene relación. 7. Enunciar el prces para slicitar excepcines. 8. Describir ls pass para slicitar cambis actualizacines en la plítica. 9. Explicar qué accines se seguirán en cas de cntravenir la plítica. 10. Fecha a partir de la cual tiene vigencia la plítica. 11. Fecha de cuand se revisará la utilidad la calidad de la plítica. 12. Incluir un medi de cntact junt cn el nmbre de las persnas en cas de preguntas sugerencias. 13. Utilizar lenguaje sencill. 14. Escribirl de tal md que pueda leerl cualquier miembr de la Organización. 15. Evitar técnicas métds particulares que definan una sla frma de hacer las csas. 22 Text traducid y adaptad de The Security Plicy Life Cicle: Functins and Respnsibilities de Patrick D. Hward, Infrmatin Security Management Handbk, Editad pr Tiptn y Krause, CRC Press LLC, P á g i n a

87 2.2.6 MONITORIZACIÓN El prces de mnitrización va de la man del cntrl del servici, este cicl es imprtante para prveer, dar sprte y mejrar ls servicis. La mnitrización cnsiste en la bservación atenta de una determinada situación cn el fin de detectar cambis a l larg del tiemp, la mnitrización implica: Mnitrizar ls elements a cnfigurar y actividades clave. Asegurarse de que se cumplen las cndicines establecidas y, en cas cntrari, advertir al grup adecuad. Asegurar que el rendimient y utilización de ls cmpnentes, sistemas, etc. están dentr de un rang previst. Detectar niveles anrmales de actividad en la infraestructura. Detectar cambis n autrizads. Asegurar el cumplimient de las plíticas de la empresa. Rastrear las salidas al negci y garantizar que casan cn ls requisits de calidad y rendimient acrdads. Rastrear cualquier infrmación empleada para medir ls indicadres crítics de rendimient. Hay ds tips de cicls de mnitrización: 1. Sistemas de cicl abiert. Se refiere a la prgramación actividades específicas sin tener en cuenta las cndicines del entrn. Pr ejempl, un respald periódic, que se realiza sin imprtar las circunstancias del sistema. 2. Sistemas de cicl cerrad. Se refiere a mnitrizar un entrn cn el fin de respnder sól a ls cambis que se prduzcan. Pr ejempl, btener un balance de carga de una red, en el que se ejercen tareas de cntrl sól si la mnitrización indica que se está sbrepasand el tráfic nrmal. Así mism, existen ds niveles de mnitrización: 1. Mnitrización y cntrl interns. Cuand desde un equip departament se cntrlan ls elements y actividades de esa misma unidad. 2. Mnitrización y cntrl externs. Cuand un equip departament realiza el cntrl de elements y actividades que dependen de trs grups, prcess funcines. Se pueden distinguir varis tips de mnitrización: Mnitrización activa. Cnsiste en hacer una cmprbación directa del estad de un sistema dispsitiv. Mnitrización pasiva. Genera y transmite events a un agente de mnitrización de frma autmática. Mnitrización reactiva. Está diseñada para ejecutar accines al prducirse ciert tip de events falls. Mnitrización practiva. Se utiliza para detectar ls patrnes de events que predicen el fall de un dispsitiv. 86 P á g i n a

88 Medición cntinua. Enfca la mnitrización cm un registr del rendimient en tiemp real, Medición basada en excepcines. Se limita a ntificar las interrupcines ACCIONES CORRECTIVAS Y PREVENTIVAS Una acción crrectiva ayuda a la rganización a identificar y psterirmente a eliminar las causas que generan la n cnfrmidad incumplimient de requerimients del sistema de gestión de la calidad. Se hace para evitar que alg pueda a prducirse. Una acción preventiva es aquella acción tmada para eliminar la causa de una n cnfrmidad situación indeseable. Se tma para evitar que alg suceda. Las accines crrectivas y preventivas en cnjunt (apartads y de ISO 9001:2008) sn unas herramientas básicas para la mejra cntinua de las rganizacines. El bjetiv de estas accines es eliminar las causas reales y ptenciales de ls prblemas las n cnfrmidades, evitand así que estas incidencias puedan vlver a repetirse. Ls factres que deben cnsiderarse para realizar accines crrectivas y preventivas sn ls siguientes: Apertura de la acción. Se refiere a la iniciativa de implementar una acción crrectiva y preventiva de acuerd a ls siguientes punts: 1. Reprte de Incidencia Infrme de n Cnfrmidad. N tds ls prblemas que curren deben tener asciada una acción crrectiva, se debe cnsiderar la gravedad y frecuencia cn que curre la incidencia. 2. Resultads de auditría. Ls prblemas encntrads a l larg de ls prcess de auditría deben ser slucinads prtunamente cn la acción crrectiva. Ls cmentaris y bservacines de la auditría sn una imprtante fuente de accines preventivas. 3. Análisis de dats e indicadres. Ls resultads de ls indicadres deben analizarse periódicamente, al btener un valr negativ cn tendencia negativa pueden generarse accines crrectivas y preventivas. 4. Revisión del sistema pr la dirección. Al mens una vez al añ se debe revisar el crrect desempeñ del sistema, así cm su capacidad para btener ls resultads esperads; cn base a ests resultads se pueden detectar necesidades que pdrían rientarse a accines crrectivas y preventivas. Análisis de causas. Cncer la causa facilita la elección de la acción adecuada. El us de diagramas causa-efect (Ilustración 15 y 16) es una herramienta útil, también cncida cm diagrama de Ishikawa Esquelet de Pescad, cnsiste en una representación gráfica de tdas las psibles causas de un fenómen GALGANO, Albert. Ls siete instruments de la Calidad Ttal. Edicines Díaz de Sants, S.A., Madrid: 1995, pág P á g i n a

89 Está cmpuest pr un recuadr (cabeza), una línea principal (clumna vertebral) y 4 ó más líneas que apuntan a la línea principal frmand un ángul de 45 (espinas principales), mismas que pseen a su vez ds tres líneas inclinadas (espinas), y así sucesivamente (espinas menres), según sea necesari. Al hablar de espinas ns referims a las causas del prblema a analizar. Ilustración 15. Estructura del Diagrama Causa-Efect. Un ejempl aplicand este diagrama sería que el fc n enciende. Ilustración 16. Ejempl de aplicación del Diagrama Causa-Efect 88 P á g i n a

90 Planificación de actividades. Las accines para eliminar la causa de la n cnfrmidad deben estar planificadas, est significa que deben estar rganizadas en el tiemp y que se deben definir ls recurss y respnsabilidades adecuads. Resultads de accines. La rganización debe registrar y verificar que se han llevad a cab las accines planificadas. Verificación de eficacia. Una vez realizadas las accines se debe cmprbar que han sid eficaces y que se ha eliminad la causa de rigen de las n cnfrmidades. Al implementar las accines crrectivas y preventivas, se btienen beneficis cm la mejra cntínua y la rganización apta para implementar más medidas preventivas para hacer frente a ls prblemas que surgen en sus actividades. Una metdlgía para el tratamient adecuad de la Acción Crrectiva cnsta de ls siguientes pass: Detección de una N cnfrmidad. Cnsiderar las psibles fuentes que pueden prducir una n cnfrmidad. Aminrar el Efect. Reslver ls desperfects que la n cnfrmidad ha causad mediante accines inmediatas. Análisis de ls Síntmas. Cnsiderar que un síntma "es la evidencia externa y medible de un prblema". Análisis de Causalidad. Llegar a la identificación de la raíz de las causas ya cncidas, prduct del análisis de ls síntmas. Definir la Acción Crrectiva. Evitar la repetición del prblema. Implantación de la Acción Crrectiva. Aplicar la acción crrectiva crrespndiente. 2.3 NIVEL DE IMPLEMENTACIÓN Durante nuestra investigación hicims una cmparación de las metdlgías y elegims las que a nuestr juici sn las 5 áreas más imprtantes dentr del Site a revisar: 1. Energía 2. Cntrl de acces 3. Sftware 4. Hardware 89 P á g i n a

91 5. Telecmunicacines El siguiente pas fue revisar el alcance de cada una de ellas y psterirmente generams un cuestinari que en un principi cnstaba de 92 preguntas de pción múltiple en dnde las pcines de respuesta las limitams a 3 pcines (sí, n y n sé) pensand en las psibles repuestas que prprcinaría el respnsable del área. En un principi, hicims el cuestinari usand la herramienta de Ggle Dcs y debid a que rebasams la cantidad de preguntas sprtadas en memria ptams pr buscar tra herramienta que se llama Mdle, la cual está enfcada para hacer evaluacines y ns permite administrar rles, cm el de alumn, que en este cas se refiere a las empresas, también ns permite visualizar ls resultads cn varis niveles de detalle y exprtarls a Excel para pder hacer un análisis más prfund. Inicialmente aplicams el cuestinari a ds rganizacines en dnde ls respectivs respnsables ns hiciern sugerencias y bservacines cn las cuales elabrams una segunda versión del cuestinari aumentand a 100 el númer de preguntas. Psterirmente, al aplicar el cuestinari cn una tercera Organización el entrevistad también ns hiz cmentaris y sugerencias que derivó en una tercera versión del cuestinari e inclusive ptams pr agregar una nueva área denminada Administración. Pr tr lad ns dims cuenta que hay preguntas que tienen una ds preguntas derivadas pr l cual elegims un criteri de evaluación de acuerd cn númer de niveles dependencias que se tuvieran. a) Para una pregunta cn ds derivacines se ptó pr una pnderación de 0.6 y 0.4 para el cas de respnder afirmativamente en ls ds niveles (Ilustración 17). Partiend del criteri que la primera pregunta depende de la segunda pregunta, si la primera pregunta es cntestada ésta tendría un valr mayr, ya que la segunda pregunta dependería de la respuesta de la primera y pr ningún mtiv pdría tener más valr la segunda respuesta si la respuesta de la primera es negativa, si las 2 sn psitivas se cmplementan bteniend un valr de = 1.0 punt Ilustración 17. Pregunta cn ds niveles b) Para una pregunta que tenga tres derivacines el criteri es 0.6, 0.2 y 0.2 para las respuestas afirmativas (Ilustración 18). Partiend del criteri que la primera pregunta depende de la segunda pregunta y a su vez la tercera pregunta de la segunda pregunta, dependiend de las respuestas, si la primera pregunta es 90 P á g i n a

92 cntestada afirmativamente ésta tendría un valr mayr, ya que la segunda dependería de la respuesta de la primera y la tercera dependería de la respuesta de la segunda y pr ningún mtiv pdría tener más valr la segunda respuesta si la primera es negativa la tercera si la segunda es negativa = 1.0 punt Ilustración 18. Pregunta cn tres niveles De esta frma al respnder tds ls niveles afirmativamente se btiene el punt que designams cm valr máxim de la pregunta. Este criteri de pnderar cn un mayr valr la primera pregunta l elegims debid a que la primera respuesta es la que tiene mayr pes sbre las tras. Debid a la cnfidencialidad que ns pidiern guardar las rganizacines entrevistadas ns referirems a ellas cm O1, O2, O3, O4, O5, O6 y O7. Para ls subtemas siguientes ns limitams a mencinar las rganizacines que btuviern una evaluación n satisfactria POLÍTICAS Y PROCEDIMIENTOS De acuerd cn l investigad teóricamente, en el tema 2.2.1, se pud cnstatar, las 7 rganizacines diagnsticadas n cntaban cn la dcumentación suficiente que acreditara las plíticas y prcedimients. Entre ls prcedimients cn ls que n se cuenta está el de recepción de infrmación, que es vital, prque si esta infrmación llegara a caer en mans de tercers pdría ser manipulada, dándle un mal us que rmpería cn la integridad en el fluj de la infrmación. Respect a las plíticas de seguridad, se encntró que el reglament de seguridad era inexistente, únicamente se cntaba cn un manual de us del equip de cómput, l cual n cnstituye un plan de seguridad. El manej de la seguridad física se mantenía en regla 91 P á g i n a

93 según las características del reglament de COBIT, sin embarg la seguridad en el acces n era cnveniente. Referente a la seguridad en la red LAN se cntaba cn un firewall cnfigurad para filtrar el cntenid malicis que pudiera presentarse al navegar en internet, redes sciales y páginas cn cntenid para adults. El resguard físic del equip n era el adecuad debid a que cualquier persna pdría acceder al CPD y prvcar alguna avería debid a que ls cables de cnexines en el área se encntraban expuests a cualquier tirón destrucción aunque en ls demás lugares el cablead se encntraba debidamente prtegid VULNERABILIDADES De acuerd cn l investigad teóricamente, en el tema 2.2.2, las vulnerabilidades encntradas en las 7 rganizacines se enfcarn en que la clcación de ls equips n era adecuada l que incrementaba ls riesgs de integridad pr derrames de líquids fallas prvcadas pr el usuari. También, se encntrarn incidentes que llevarn a la pérdida ttal de reguladres de energía. En cuant al sftware utilizad se descubrió que la gran mayría era sftware ilegal, l cual hace vulnerable a la rganización en la realización de actividades que requieren sftware especializad, en muchas casines el sftware era inadecuad y ls parches en muchas tras casines cntenían sftware malicis que puede causar estrags en sus sistemas. Las vulnerabilidades en las redes eran más grandes, debid a que la red n estaba debidamente prtegida cntra intruss, además de depender de una estación eléctrica la cual n tenía respald y en cas de presentarse algún incidente td el persnal se encntraría inactiv. Las cuestines ilógicas que también se presentaban cn ls usuaris eran entre tras el tener a la vista su clave de usuari y cntraseña de acces, l que permitía que cualquier persna hiciera us de ells ESTÁNDARES De acuerd cn l investigad teóricamente, en el tema 2.2.3, para la O2 se encntró que si bien tienen las reglas a seguir en una situación dada, realmente n sn implementadas aunque se cuente cn ellas. Para la O3 su instalación eléctrica está de acuerd a la nrma ficial NOM-001. Para O1, O2 y O3 se cuenta cn ls inventaris de sus activs, cláusulas de seguridad, reprte de incidentes y mnitrización de persnal, así cm cn la prtección de malware, respald de la infrmación, cntraseñas y mnitrización de ls access. 92 P á g i n a

94 L que falta implementar en algunas de las rganizacines es un plan de cntingencias (O1, O2) RESPONSABLES De acuerd cn l investigad teóricamente, en el tema 2.2.5, la O1 cuenta cn un servici de utsurcing para administrar el CPD y ls respnsables se encuentran implementand una serie de accines para pder salvaguardar la seguridad de ls sistemas. La O2 cuenta cn un reglament de infrmática y cuenta cn la firma de ls usuaris que sustenta que l han leíd y saben que existe. Sin embarg n se verifica su cumplimient SERVICIOS DE SEGURIDAD De acuerd cn l investigad teóricamente, en el tema 2.2.4, el acces a la infrmación se encuentra cntrlad cn las cuentas de usuari definidas y ls respectivs privilegis de acces. El acces a las instalacines se hace, en su mayría, mediante un dispsitiv bimétric. Sin embarg, respect al ingres al CPD en ds de las rganizacines (O1, O2) es cmpletamente libre dad que cualquier persna puede estar en cntact cn ls servidres, pudiend prvcar algún desperfect sin que la rganización se entere debid a que n se cuenta cn alguna cámara de vigilancia. Además de que sus CPD n están acndicinads y carecen de una instalación eléctrica únicamente para el equip de cómput MONITORIZACIÓN De acuerd cn l investigad teóricamente, en el tema 2.2.6, en general se cuenta cn mecanisms de seguridad a ls cuales se les aplica un algritm de cifrad. También, cuentan cn un sistema de detección de intruss que mnitrea la red de amenazas del exterir, y de esta frma se detectan ls prblemas causads pr la sbrecarga y/ fallas en ls servidres, cm también prblemas de la infraestructura de red. Algunas rganizacines (O4, O5 y O6) cuentan cn un firewall de hardware y sftware de manera que tienen una mayr prtección. Así mism, tdas las rganizacines cuentan cn un antivirus para tener un cntrl preventiv, detectiv y crrectiv en cas de un ataque de virus al sistema ACCIONES CORRECTIVAS 93 P á g i n a

95 De acuerd cn l investigad teóricamente, en el tema 2.2.7, en tdas las rganizacines cuentan cn un Reprte de incidencias y de esta manera es fácil btener la frecuencia y gravedad cn la que se presentan ls incidentes y tener una acción crrectiva. Para la O1 apenas se está implementand el us de esta herramienta. N bstante, n se tiene un análisis de dats e indicadres de avance en la slución de ls incidentes. Pr tr lad, n se cuenta cn un plan de trabaj que establezca cuales sn las actividades y el tiemp en que se deben llevar a cab, así cm ls recurss necesaris. 2.4 DIAGNÓSTICO Una vez cncluid el prces de investigación, la selección de las áreas de interés y el diseñ del cuestinari a aplicar, ns enfcams en la búsqueda de rganizacines en las cuales pudiésems aplicarl. Quisims en primer instancia seleccinar rganizacines de diferentes tips para pder cntrastar ls resultads es así que las siete rganizacines cnsultadas pertenecen al sectr de servicis infrmática, publicidad, servicis esclares, administración esclar, administración pública y tienda departamental. El prces de aplicación del cuestinari duró cerca de ds meses debid a que tuvims que generar nuevas versines de acuerd cn la siguiente tabla 1. Tabla 1. Versines del cuestinari. Versión Númer de preguntas Númer de Organizacines V V V ANÁLISIS DE RESULTADOS 94 P á g i n a

96 Calificación A cntinuación se presentan las calificacines de las rganizacines respect a las diferentes versines del cuestinari (grafica 1 y 2) Organización 1 Organización 2 V Organización 3 Organización 4 Organización 5 Organización 6 Organización 7 V V Gráfica 1. Calificacines según la versión 95 P á g i n a

97 Calificación V1 V2 V3 Organización Organización Organización Organización Organización Organización Organización Gráfica 2. Calificacines según la rganización. Cm se puede bservar en la gráfica 1 las calificacines de las rganizacines a través de las tres versines del cuestinari cambió bastante. Algunas rganizacines cm O1 y O2 btuviern una calificación n aprbatria al hacer mdificacines en ls criteris de evaluación e incrementar el númer de preguntas. De la versión 2 a la versión 3 la calificación de la mayría de las rganizacines bajarn su calificación, a excepción de la rganización 6 que incrementó en décimas su calificación, de 8.49 a 8.94, est debid a que el increment de preguntas implicó un mayr detalle en las áreas a evaluar y est ayudó a la rganización a cubrir deficiencias que tenía en algunas de las tras áreas. La gráfica 3 y gráfica 4 expresan l mism per de distinta manera. O1, O5 y O6 tienen el más alt prcentaje para el área de telecmunicacines. Para el área de sftware la más alta fue O2, O5 y O6. En el área de hardware las más altas fuern O1, O5 y O6. Para el área de energía O2, O3, O5 y O6 sn las de mayr prcentaje btenid. En el cntrl de access O1, O3, O5 y O6 sn las más altas. Para el área de Administración las más altas fuern O5,O6 y O7. Las rganizacines que se mantuviern cnstantes sn O5 y O6. 96 P á g i n a

98 Energía Administración Cntrl de Access Hardware Sftware Telecmunicacines O O O O O O O Gráfica 3. Prcentaje pr Área de acuerd cn la Organización O1 O2 O3 O4 O5 O6 O7 Energía Administración Cntrl de Access Hardware Sftware Telecmunicacines Gráfica 4. Calificación pr Área de acuerd cn la Organización 97 P á g i n a

99 Gráficas de acreditación pr área de acuerd cn la rganización Para el análisis de resultads decidims pr establecer un criteri de valración, para ell btuvims la media aritmética de las calificacines de tdas las áreas y para tdas las rganizacines, l cual ns di un valr redndead de 7 (tabla 2). Es así que, calificacines pr debaj de 7 las cnsiderams n satisfactrias y pr arriba de 7 las cnsiderams satisfactrias. Tabla 2. Cncentrad de valres que btuv cada rganización O1 O2 O3 O4 O5 O6 O7 Organización Si N Si N Si N Si N Si N Si N Si N Ttal Energía Administración Cntrl de Access Hardware Sftware Telecmunicacines P á g i n a

100 ORGANIZACIÓN 1 Gráfica 5. Prcentaje pr área para Organización 1 Para la rganización 1 que su mayr prcentaje está cncentrad en el área de telecmunicacines, cntrl de access y hardware cuestión que n implica ausencia de áreas de prtunidad; mientras que es menr para las áreas de sftware, administración y energía (grafica 5) a las cuales debe pner mayr atención y tmar accines crrectivas de mejra, tmand en cuenta que n siempre estuv mal ya que cn el cambi de ls cuestinaris pasó de una calificación satisfactria a una calificación n satisfactria de P á g i n a

101 ORGANIZACIÓN 2 Gráfica 6. Prcentaje pr área para Organización 2 La gráfica 6 para la rganización 2 muestra un prcentaje satisfactri en ds áreas mientras que para las cuatr restantes btuv un prcentaje n satisfactri(grafica 6) l cual implicó una calificación n satisfactria de P á g i n a

102 ORGANIZACIÓN 3 Gráfica 7. Prcentaje pr área para Organización 3 Para la rganización 3 se muestra un prcentaje satisfactri para el área de energía y las las cinc restantes cn un prcentaje n satisfactri (grafica 7) que tambien reflejó una calificación n satisfactria de P á g i n a

103 ORGANIZACIÓN 4 Gráfica 8. Prcentaje pr área para Organización 4 Para la rganización 4 pdems ver un prcentaje satisfactri para el área de cntrl de access mientras que para las áreas restantes cuentan cn un prcentaje n satisfactri(grafica 8) l cual reflejó una calificación n satisfactria de P á g i n a

104 ORGANIZACIÓN 5 Gráfica 9. Prcentaje pr área para Organización 5 Para la rganización 5 pdems bservar una distribución unifrme del prcentaje satisfactri (grafica 9) para cada una de las áreas l que resultó en una calificación satisfactria de P á g i n a

105 ORGANIZACIÓN 6 Gráfica 10. Prcentaje pr área para Organización 6 Para la rganización 6 pdems ver una distribución unifrme de prcentaje satisfactri (grafica 10) l cual implicó una calificación satisfactria de P á g i n a