Documente Academic
Documente Profesional
Documente Cultură
Tecnologas de la Informacin
y Gestin de Proyectos
Tecnologas de la Informacin
y Gestin de Proyectos
ISBN: 978-9977-37-006-4
Primera Edicin, 2016
Universidad Latinoamericana de Ciencia y Tecnologa
ULACIT
Lugar de Edicin: San Jos, Costa Rica
Editorial: Universidad Latinoamericana de Ciencia y Tecnologa
Telfono: 2523-4000
Impreso en Costa Rica
Prefacio
Setiembre de 2016
Comit Evaluador
ndice general
1
22
35
44
56
67
74
1.
Introduccin
Nez y Gonzlez
estratgicos del negocio. Con ese fin utilizan como alternativa la tercerizacin1
de servicios, la cual consiste en la contratacin de un proveedor para que ejecute
algunas funciones especficas, que por lo general, no son parte de las actividades
centrales de la empresa.
Aunque se considera que los beneficios de la tercerizacin son numerosos,
se han logrado identificar inconvenientes que se presentan durante su
implementacin, debido a una deficiente gestin de las relaciones entre las partes.
De acuerdo con algunos estudios alrededor de un 30 % de las empresas cancelan
sus contratos de tercerizacin de forma prematura; entre el 20 y 25 % fracasan
durante los primeros dos aos del contrato y el 50 % fracasa en los primeros
cinco aos de vigencia (Grossi y Calvo-Manzano, 2012). Cabe resaltar que los
casos de mayor incertidumbre e inconvenientes se presentan en los procesos de
tercerizacin de software, debido a la complejidad y naturaleza de los tipos de
proyectos.
Los problemas que se asocian con la tercerizacin del desarrollo de software
se presentan por el desconocimiento de los factores que se deben contemplar
durante la etapa de planificacin para adquirir productos de software. Lo cual
tiene como consecuencia que el producto final no responda a las necesidades o no
se ajuste a los requerimientos definidos por el cliente (Paruma, Mera, y Correa,
2014).
Este tipo de inconvenientes suelen presentarse cuando la empresa contratante
no realiza de forma adecuada las siguientes tareas:
1.
2.
3.
4.
5.
2.
Nez y Gonzlez
Nez y Gonzlez
3.
Inicio.
Planificacin.
Seleccin y contratacin del proveedor.
Ejecucin.
Figura 1. Relacin entre las fases y procesos para la gestin de terceros durante el
desarrollo de software.
Nez y Gonzlez
3.1.
Inicio
3.2.
Planificacin
10
Nez y Gonzlez
11
Puesto/Rol
Director (Dir)
Descripcin de responsabilidad
Es la persona con conocimiento de los procesos de la
organizacin y tiene la responsabilidad de administrar el
proyecto.
Encargado de
Es el encargado de realizar, coordinar y efectuar la contratacin
adquisiciones (EA) del proveedor, con base en los parmetros definidos, y es el
contacto directo entre el cliente y el proveedor, con el fin de
centralizar la comunicacin y el flujo de informacin.
Programador o
Es la persona o grupo de personas que colaboran en la
Ingeniero de
definicin de los alcances y requerimientos del sistema. Esta
software (IS):
persona puede ser el contacto tcnico para comunicaciones con
el proveedor cuando se est ejecutando el proyecto.
Encargado de
Es la persona o grupo con conocimientos en aspectos legales
contratacin (EC): para el establecimiento y negociacin del contrato, con base en
las necesidades definidas por el director y los usuarios.
Ingeniero de calidad Es la persona o grupo encargado de participar, verificar,
de software (QA):
asegurar, probar, controlar y comunicar la calidad del proceso
y producto con base en lo planificado y acordado con el
proveedor. Enva informacin a los interesados sobre el estado
del proyecto para identificar atrasos, disconformidades o
brechas que puedan existir con el fin de que se pueda realizar
la toma de decisiones de forma oportuna.
Usuario/interesado Son las personas interesadas o afectadas por el desarrollo del
(I):
sistema y se debe procurar su compromiso de participacin en
el proceso para asegurar su satisfaccin con el producto final.
Cuadro 1. Roles de participantes en el proceso de tercerizacin de software
12
Nez y Gonzlez
13
3.3.
14
Nez y Gonzlez
3.4.
Ejecucin
3.5.
Administracin de la relacin
15
16
Nez y Gonzlez
puedan observar cuales son las labores que estn pendientes, saber cules
se estn ejecutando para preparar y efectuar las evaluaciones de calidad,
as como cules estn en proceso de pruebas o completamente listas.
Utilizar herramientas de trabajo colaborativo para la comunicacin entre
las organizaciones (chats y correos electrnicos), gestin del conocimiento
(wikis, gestin de notas, gestin de fotos, almacenamiento en lnea,
ediciones colaborativas, publicacin de documentos y presentaciones) y
la gestin del proyecto (control del calendario, seguimiento de reuniones,
eventos, controlar los hitos, las tareas pendientes, herramientas de
responsabilidades y distribucin del trabajo). Adems, es importante
elaborar mapas mentales y tableros colaborativos, por ejemplo, mediante
el uso de conceptboard"para la inclusin de comentarios y notas o
corkboard"para incluir notas a los participantes del proyecto.
Informar el desempeo del proveedor: se encarga de recopilar y distribuir
informacin de desempeo. Por lo que se pueden comparar el cumplimiento
de los requerimientos para comprender y comunicar el avance, el desempeo
y el cumplimiento del proyecto mediante el anlisis de curvas de eficiencia,
17
3.6.
Aceptacin y cierre
sta fase hace nfasis en la recepcin por parte del usuario e interesados de
los entregables parciales y finales para evaluarlos con base en los criterios de
aceptacin acordados, los cuales deben estar alineados con las caractersticas de
calidad planificadas y las pruebas de evaluacin. Las tareas bsicas de esta fase
(Paruma y cols., 2014) son las siguientes:
1. Recibir la entrega parcial o final del sistema, realizar las pruebas al sistema,
valorar los resultados y tomar en cuenta los criterios de aceptacin para el
cumplimiento satisfactorio del producto.
2. Cuando en el proceso de pruebas se identificar no conformidades, es necesario
realizar el reporte para proceder con las correcciones necesarias, caso
contrario, se procede con la aceptacin del entregable.
3. Administrar los contratos y facturas canceladas o pendientes de pago para
el proveedor.
4. Confirmar que final del proyecto que todos los entregables son aceptados.
5. Al cerrar las adquisiciones, se procede con la conclusin del contrato,
evaluacin general del proveedor y el registro de experiencias aprendidas
para utilizarlas en futuros proyectos.
18
Nez y Gonzlez
3.7.
Reconsideracin
4.
20
Nez y Gonzlez
Referencias
CabinetOffice. (2011). Itil service strategy (second ed.). 2011.
CENDITEL, F. (2013). Aseguramiento de calidad en el desarrollo de software
libre. Venezuela, May.
Franceschini, F., Galetto, M., Pignatelli, A., y Varetto, M. (2003). Outsourcing:
guidelines for a structured approach. Benchmarking: An International
Journal , 10 (3), 246260.
Grossi, L., y Calvo-Manzano, J. A. (2012). Mejora de procesos en el mbito
de adquisicin: Un modelo de decisin para la seleccin de proveedores de
ti. CISTI (Iberian Conference on Information Systems & Technologies /
Conferncia Ibrica de Sistemas e Tecnologias de Informao) Proceedings,
483-488.
IEEE Computer Society. (2014). Swebok, guide to the software engineering body
of knowledge. Descargado de https://www.computer.org/web/swebok
McIvor, R. (2005). The influence of transaction cost economics and the resource
based view on the outsourcing process. En 16th annual conference of poms,
chicago.
Mendoza, L. E., Prez, M. A., Grimn, A., y Rojas, T. (2002). Algoritmo
para la evaluacin de la calidad sistmica del software. En Proceedings
Referencias
21
1.
Introduccin
23
2.
24
Chaves et al.
25
26
Chaves et al.
Scrum
Puntos claves
Lanzamientos pequeos y frecuentes.
Reuniones cortas todos los das.
Proyecto dividido en iteraciones
Requisitos de proyecto presentados en
bloques de tiempo cortos.
El avance se muestra al cliente al final de
cada iteracin.
Crystal
Entregas frecuentes.
Acceso a usuarios finales expertos.
Comunicacin cercana.
Lead development
3.
27
28
Chaves et al.
4.
4.1.
Comunicacin
29
4.2.
Trasferencia de conocimiento
30
Chaves et al.
4.3.
El alcance del sistema debe ser definido por el cliente de forma inicial y tiene
que ser comunicado al proveedor para tener claros los lmites del proyecto.
Las expectativas que se generan entre las partes involucradas tiene su origine
en la definicin correcta del alcance, el cual cuando es definido de forma
incorrecta se convierte en un grave problema para la tercerizacin de software
(Smuts, van der Merwe, Kotz, y Loock, 2010).
2
3
4
31
Reuniones de diseo
Es importante establecer desde un inicio, de forma clara y eficiente lo que
se espera del proveedor, por lo que se deben realizar reuniones de diseo, en
las cuales se puede usar como referencia el marco de trabajo denominado como
Desing Sprint. Este marco de trabajo permite disear soluciones a problemas
en un lapso de dos a cinco das, y adems permite la contribucin de diversos
participantes en el proceso, a la vez que facilita la comunicacin y claridad a la
hora de definir las ideas.
El concepto de este marco de trabajo fue tomado de las metodologas giles
y adaptado por Google. En la actualidad el marco de trabajo utiliza un proceso
que se divide en 6 etapas:
Entender: se realiza un proceso para entender que es lo que el usuario necesita,
e involucra a los usuarios expertos para que expliquen en qu consiste el
negocio o proceso que se pretende mejorar, adems de una investigacin
sobre el mercado actual y las capacidades tecnolgicas.
Definir: se determinan las caractersticas que el sistema debe tener y se pide
a los usuarios que definan con tres frases como les gustara que fuese el
sistema, pero adems en esta etapa se crean historias sobre la interaccin de
un usuario con el sistema.
Divergir: se le pide a los usuarios que dibujen 8 ideas en cinco minutos sobre
el sistema, adems de realizar una historieta sobre una de sus ideas.
Decidir: se discute y decide sobre cules ideas podran resultar tiles para el
sistema y a partir de estas se genera la discusin sobre las caractersticas de
un prototipo.
Prototipo: se implementa un prototipo y se obtiene retroalimentacin de los
usuarios expertos.
Validar: el prototipo es probado por los usuarios, a quienes se les hace una serie
de preguntas sobre lo piensan acerca de los prototipos.
Al finalizar estas fases se cuenta con los requerimientos iniciales y la definicin
de los sprints"para las reuniones de diseo. Cabe destacar que al final de cada
etapa se debe realizar un resumen con los resultados, los cuales deben de ser
documentados. Adems, se recomienda que el equipo de trabajo est formado por
diseadores, ingenieros, gerentes de proyecto, expertos y el Maestro de sprint
5
.
4.4.
El maestro de sprint.es la persona encargada de disear los retos para cada etapa
del sprint".
32
Chaves et al.
5.
Discusin y conclusiones
Referencias
33
no son eficientes. Por lo cual, la gua propuesta tiene como fin combinar las
principales fortalezas en cuanto a la gestin de la relacin con terceros de las
metodologas giles que fueron analizadas.
La gua tom en cuenta las caractersticas particulares de cada una de las
metodologas, y fue elaborada con base en la evidencia del xito que han tenido en
la prctica. De forma que la estructura de la gua es flexible ante las necesidades
que pueda tener el cliente. Lo anterior debido a que la implementacin de cada
uno de los puntos no es obligatoria, porque el escenario de cada empresa no
es el mismo. As cuando una empresa tiene problemas de comunicacin con el
proveedor, puede tomar en cuenta las recomendaciones que se brindan para esa
rea. Si por otro lado, el problema al que se enfrenta la empresa tiene relacin con
la definicin del alcance del proyecto, puede revisar este apartado e implementar
los puntos que corresponden a esa seccin, y de forma similar para cada rea
contemplada en la gua.
Como consecuencia, la principal contribucin de este trabajo consiste en la
propuesta de la gua para apoyar la gestin de las relaciones entre clientes y
proveedores. Aunque conviene mencionar que la validacin prctica de dicha
queda pendiente como un trabajo futuro de investigacin.
Referencias
Beck, K., Beedle, M., van Bennekum, A., Cockburn, A., Cunningham, W.,
Fowler, M., . . . Thomas, D. (2001). Manifiesto por el desarrollo gil
de software. Descargado de http://www.agilemanifesto.org/iso/es/
Bersin, J. (2005). Business process outsourcing: Pros and cons. Chief Learning
Officer , 4 (4), 34 - 40. Descargado de http://search.ebscohost.com/
login.aspx?direct=true&db=buh&AN=16479531&lang=es&site=ehost
-live
Dolgui, A., y Proth, J.-M. (2013). Outsourcing: definitions and analysis.
International Journal of Production Research, 51 (23/24), 6769 - 6777.
Girotra, K., y Netessine, S. (2012, oct). Why apple has to manufacture
in china. Descargado de https://hbr.org/2012/10/why-apple-has-to
-manufacture-i
Kakumanu, P., y Portanova, A. (2006). Outsourcing: Its benefits, drawbacks
and other related issues. Journal of American Academy of Business,
Cambridge, 9 (2), 1 - 7.
Senz, J., Cmara, M. d. l., Calvo-Manzano, J. A., y Arcilla, M. (2014).
Necesitan los proveedores de outsourcing una metodologa para la provisin
de servicios?: Is it needed a methodology for outsourcing service providers?
RISTI-Revista Ibrica de Sistemas e Tecnologias de Informao(SPE1),
6175.
Smuts, H., van der Merwe, A., Kotz, P., y Loock, M. (2010). Critical
success factors for information systems outsourcing management: A
software development lifecycle view. En Proceedings of the 2010 annual
research conference of the south african institute of computer scientists
34
Chaves et al.
and information technologists (pp. 304313). New York, NY, USA: ACM.
Descargado de http://doi.acm.org/10.1145/1899503.1899537
doi:
10.1145/1899503.1899537
1.
Introduccin
36
Camacho et al.
cuando se carece de los recursos necesarios, debido a que los proyectos sufren
aumentos en los costos y la organizacin debe incurrir en el uso indiscriminado
de recursos e incrementar el presupuesto de los proyectos para compensar los
retrasos.
Para comprender el papel que desempea la gestin de la demanda en las
organizaciones, este trabajo ofrecer una gua sobre cmo se puede llevar a cabo
su implementacin o mejora mediante la definicin de un modelo de gestin de
la demanda. De acuerdo con lo anterior, se realiza una evaluacin de los marcos
de referencia COBIT 5 e ITIL v3 con el fin de definir la gestin de la demanda,
identificar los procesos y actividades pertinentes a la gestin de la demanda, y
modelar el proceso mencionado. La tabla 1 muestra los procesos de los marcos
de referencia mencionados, que son tomados en cuenta para el desarrollo de este
trabajo.
COBIT 5
ITIL v3
EDM04 - Asegurar la optimizacin de recursos Gestin de la demanda
BAI04 -Gestionar la disponibilidad y capacidad Gestin de la capacidad
Cuadro 1. Procesos de marcos de referencia analizados
2.
2.1.
Marco Terico
Gestin de la Demanda
37
2.2.
38
Camacho et al.
Estrategia
Diseo
Transicin
Operacin
Mejora
39
3.
Metodologa
4.
Resultados y Aportes
4.1.
2
3
5
6
40
Camacho et al.
41
42
Camacho et al.
5.
Conclusiones
Referencias
43
Referencias
Alonso, I. A., Caro, E. T., y Verdn, J. C. (2008, Dec). The importance of it
strategic demand management in achieving the objectives of the strategic
business planning. En International conference on computer science and
software engineering, 2008 (Vol. 2, p. 235-238). doi: 10.1109/CSSE.2008
.1307
ISACA. (2012). COBIT 5: Procesos Catalizadores. Autor. Descargado de
www.isaca.org
ITIL vs COBIT. (s.f.). Descargado 2016-01-05, de http://www.cntec.mx/
noticias/41/122-itilvscobit.html
noz Serna, R. M., y Arias, M. A. M. (2012). Caracterizacin de procesos
de gestin de ti basados en cobit 5 y mapeo con iso27002, itil, cmmi
dev, pmbok, para la implementacin en la industria editorial colombiana,
apoyando el proceso de transformacin digital.
OSIATIS. (2015, dec). Itil foundation. Descargado de http://itilv3.osiatis
.es/
Quevedo Val, A. M. (2009, sep). Implementacin de una metodologa de
procesos para la mejora de TI en una empresa. Universitat Politcnica de
Catalunya. Descargado de http://upcommons.upc.edu/handle/2099.1/
7599
Unidad 2.- Marcos de referencia en la gestin de servicios
de TI.
(s.f.).
Descargado 2016-01-05, de http://
estrategiasdegestionyserviciosdeti.bligoo.com.mx/unidad-2
-marcos-de-referencia-en-la-gestion-de-servicios-de-ti{\#}
.VoxGOBUX3IW
1.
Introduccin
45
2.
Marco Terico
46
Mora et al.
los sntomas de las incidencias, as como asignar los recursos necesarios para su
resolucin), determinar la prioridad de la incidencia, resolver las incidencias (i.e.,
determinar las posibles causas, efectuar escalaciones y recuperar el servicio, en
caso necesario), documentar y registrar de forma exhaustiva la resolucin de la
incidencia, cerrar las incidencias y mantener un registro histrico (ver procesos
DSS02 y DSS03 de COBIT 5) (ISACA, 2012; OToole, 2015).
El registro de las peticiones de servicio requiere verificar que estas cumplen
con los criterios mnimos establecidos y que los usuarios que las realizan estn
debidamente autorizados. Cada incidencia debe contar con un nmero nico de
referencia, hora y fecha de registro, identificacin de la persona que realiz el
registro de la incidencia, mtodo de notificaciones del estado de la incidencia,
descripcin de los sntomas.
En cuanto al diagnstico, es necesario contar con toda la informacin
disponible para efectuar una mejor evaluacin del problema para efectuar su
categorizacin, determinar el impacto en el negocio (i.e., nivel de prdida
financiera, el posible efecto en la reputacin del negocio y las regulaciones
del pas) y la urgencia de su resolucin, efectuar una correcta asignacin de
la prioridad, obtener la aprobacin financiera y si se requiere, el cambio de
procedimientos o estndares.
Como parte este proceso se requiere require utilizar la base de datos de
conocimiento, si existe, para determinar si el problema est asociado a un error
conocido, o si este ha sido resuelto anteriormente. Este paso se debe realizar
antes de asignar a un especialista para realizar un anlisis de mayor profundidad
o que se realicen acciones para restaurar los servicios afectados, con ayuda de
otros especialistas.
En los casos en los que la incidencia es reportada por telfono, se recomienda
efectuar un diagnstico inicial e intentar ofrecer una solucin de forma inmediata,
trabajando junto con el usuario, si es factible. Si no es posible ofrecer una solucin
inmediata, entonces se debe informar al interesado sobre el procedimiento que
se seguir, y darle un nmero de incidencia para que le pueda dar seguimiento.
En lo que respecta a la resolucin de incidencias, conviene tener en cuanta la
posibilidad de seguir el procedimiento para efectuar el escalado de la incidencia.
Este tipo de procedimiento usualmente contempla el escalado funcional (se
solicita el apoyo de un especialista de ms alto nivel para resolver el problema) o
jerrquico (se acude a un responsable de mayor autoridad para tomar decisiones
por encima del nivel del personal tcnico involucrado, como la asignacin de
recursos adicionales para la resolucin del incidencia).
En todo caso, es recomendable resolver cada incidencia en el menor tiempo
posible, para restaurar o normalizar el servicio y salvaguardar los intereses de la
organizacin. Pero adems, es necesario que en el transcurso de la resolucin se
le brinde seguimiento al estado de las incidencias hasta que se realice el cierre
de sta. El proceso de seguimiento involucra documentar y revisar las acciones
realizadas, escalar las incidencias segn se requiera y comunicar el estado de la
incidencia a las partes interesadas.
47
3.
48
Mora et al.
Registro de incidencias.
Resolucin de incidencias.
Cierre de incidencias.
Seguimiento y anlisis de incidencias.
49
en la Figura 1. Las tareas ordinarias de dicho proceso son representadas por cajas
rectangulares y las decisiones por rombos, en tanto que las lneas de color rojo
indican el flujo ordinario de las tareas y las lneas punteadas de color negro
muestran la secuencia alternativa, en donde el flujo puede seguir uno u otro
camino con base en las decisiones que se han tomado.
El proceso propuesto comienza con la identificacin de las incidencias, por
parte de los usuarios de la organizacin o los miembros del departamento de
TI (i.e., por observacin en el campo o por medio del uso de sistemas para
ese propsito). Una vez que la incidencia ha sido identificada, se procede a
registrarla, para luego efectuar el diagnstico (i.e., de forma opcional se puede
usar la base de conocimientos), categorizacin y asignacin de prioridad. Con
base en el diagnstico, se determina si la resolucin de la incidencia requiere de
recursos extraordinarios, y en caso necesario se solicita la aprobacin de esos
recursos al comit ejecutivo. A partir de ese punto, se inicia la recuperacin de
servicios (cuando se requiera) y la resolucin de la incidencia.
Cuando la incidencia ha sido resuelta, de acuerdo con el personal tcnico,
se realizan las pruebas tcnicas necesarias para validar la resolucin. En caso
de que la incidencia se haya resuelto de forma efectiva, se realiza la verificacin
y aceptacin de la solucin con el usuario. Sin embargo, cuando la incidencia
no ha sido resuelta, se verifica si el personal tcnico a cargo puede terminar de
solucionarla o si es necesario solicitar el escalado de la incidencia. En caso de que
sea necesario escalar la incidencia, se determina si el escalado que se requiere es
funcional o jerrquico. Cuando el proceso de escalado ha terminado, se verifica
si la incidencia ha sido resuelta, y si es as, se procede a realizar la verificacin y
aceptacin con el usuario. En caso de que la incidencia no haya sido resuelta tras
el proceso de escalado, se determina si el equipo de la mesa de servicio puede
terminar de resolverla o si es necesario volver a seguir el proceso de escalado.
Una vez que la resolucin de la incidencia ha sido resuelta de forma definitiva,
tras efectuar la verificacin y aceptacin con el usuario, se procede a cerrarla y
documentarla.
La descripcin de cada una de las tareas que conforman el proceso propuesto
se detalla en a continuacin.
Identificacin de incidencias: En un escenario ideal, se brinda seguimiento
constante a los recursos y servicios crticos de la organizacin para prevenir la
ocurrencia de incidencias o bien, un gran nmero de incidencias es detectado
por el departamento de TI en el momento en que se presentan, incluso antes
de que los usuarios se den cuenta de los eventos. Sin embargo, como muestra
la Figura X, la identificacin de las incidencias, por lo general, es realizada
tanto por los usuarios de la organizacin como por el departamento de TI.
50
Mora et al.
51
52
Mora et al.
53
4.
Conclusiones
54
Mora et al.
incidencias de TI, por la alta dependencia que tienen sus actividades de los
sistemas de hardware y software. Por eso la definicin de un proceso de gestin
de incidencias con base en los marcos de referencia COBIT, ITIL y CCMI es
de gran importancia. Sin embargo, es importante considerar que la definicin
de un proceso de esa naturaleza debe tomar en cuenta las particularidades de
cada organizacin con respecto a metas, objetivos y recursos. Conforme con lo
anterior, el fin de este trabajo ha sido orientar a los administradores de TI en
la definicin del proceso de gestin de incidencias, mediante la propuesta de un
proceso basado en las mejores prcticas de los marcos de referencia mencionados.
La definicin de un proceso de gestin de incidencias requiere estudiar en
detalle cada organizacin y analizar los servicios de TI con los cuales cuenta.
En general, para implementar de forma exitosa y eficiente un proceso de esta
naturaleza, es necesario comprender los procesos de negocio y la forma en que
son soportados por los servicios de TI, para definir de forma adecuada las tareas
y actividades que se requieren. En todo caso, cuando el nmero de servicios es
reducido, o cuando estos no son complejos, no es necesario definir un proceso
complejo o costoso.
El uso de bibliografa complementaria para definir y justificar la definicin
e implantacin de un proceso de gestin de incidencias, adaptado a las
necesidades de la organizacin, puede ser de gran ayuda. En la literatura
se encuentra documentado que el uso de buenas prcticas ayuda a eliminar
el trabajo redundante, mejora los tiempos de respuesta (i.e., indicadores de
soporte al negocio), y contribuye con la definicin de departamentos de TI
mejor estructurados, ms eficientes y enfocados en los objetivos de la empresa
(Realtimepublishers.com y Herold, 2007). Pero, las justificaciones basadas
en la literatura (e.g., modelos de referencia, y casos de estudio) suelen ser
insuficientes, porque es necesario justificar con evidencia sustancial la razn
costo/beneficio, ante la administracin. Adems, se debe tener en cuenta que la
divulgacin, aceptacin y reconocimiento del proceso por parte de la organizacin
toma tiempo y recursos (Quesnel, 2012). Por esa razn, podra ser necesario
implementar un plan piloto que permita demostrar el impacto del proceso
cuando se presentan incidencias que implican la interrupcin de servicios en
departamentos estratgicos.
Finalmente, cabe mencionar que los marcos de referencia, aunque tienen
objetivos similares, sugieren estrategias diferentes para alcanzarlos. Por ejemplo,
las organizaciones con un nivel de madurez bajo, pueden utilizar ITIL como
referencia, debido al grado de detalle que ofrece y el enfoque orientado a tomar
en cuenta los factores internos de cada entidad. Por su parte, CMMI puede ser
usado por empresas con un nivel de madurez ms alto, con mayor experiencia en
la gestin de incidencias y el uso de buenas prcticas. Lo anterior, debido a que
ofrece recomendaciones (e.g., implementar sistemas de software para la gestin
de incidencias) que no se adaptan a organizaciones con niveles de madurez bajo.
Referencias
55
Referencias
Eileen Forrester, S. S., Brandon Buteau. (2011). Cmmi for services: Guidelines
for superior service. Pearson Education. Descargado de https://books
.google.co.cr/books?id=ywvSVLmQmjoC
Foundation, I. (2011, Julio). Itil v3 2011. Descargado de http://itilv3
.osiatis.es/ ([Web; accedido el 23-11-2015])
(IGI), I. G. I. (2013). Cobit 5. Rolling Meadows.
ISACA. (2012). COBIT 5: Procesos Catalizadores. Autor. Descargado de
www.isaca.org
R for systems
Kenett, R., y Baker, E. (2010). Process improvement and cmmi
and software. CRC Press. Descargado de https://books.google.co.cr/
books?id=a7XS1GmuhWYC
Mara-Carmen Bauset Carbonell, M. R. A. (2013, jan). Gestin de los servicios
de tecnologas de la informacin: modelo de aporte de valor basado en itil
e iso/iec 20000. El profesional de la informacin, 22 (1).
R v1.2
Mutafelija, B., y Stromberg, H. (2008). Process improvement with cmmi
and iso standards. CRC Press. Descargado de https://books.google.co
.cr/books?id=ErVuWU\_U0SwC
OToole, D. (2015). Incident management for i.t. departments. On Demand
Publishing, LLC-Create Space. Descargado de https://books.google
.co.cr/books?id=M2RargEACAAJ
Persse, J. (2013). The it service management process manual. van Haren
Publishing. Descargado de https://books.google.co.cr/books?id=
0FZeAgAAQBAJ
Quesnel, J. (2012). Entender itil 2011: Normas y mejores prcticas para avanzar
hacia iso 20000. d. ENI. Descargado de https://books.google.com/
books?id=Tn2vJvQ3bwwC
Realtimepublishers.com, y Herold, R. (2007). The shortcut guide to improving
it service support through itil. Realtimepublishers.com. Descargado de
https://books.google.com/books?id=BT2bNZ0qYjAC
1.
Introduccin
Internet de las Cosas se deriva de Internet of Things en Ingls y se asocia con las
siglas IoT.
57
58
Crdoba et al.
2.
Antecedentes
59
2.1.
Interconexin de dispositivos
60
Crdoba et al.
2.2.
Puertas de enlace
Uso
Frecuencia
Red elctrica 120 KHz
domstica
Cobertura
N/A
NFC
Aplicaciones
con poco
volumen de
datos
Domtica
13,56 MHz
10 cm
N/A
N/A
Datos
inalmbricos
Datos
inalmbricos
KNX
ZigBee
Z-Wave
Bluetooth
Datos
inalmbricos
Datos
inalmbricos
61
Otras caractersticas
Utiliza la red
elctrica domstica
como medio de
transmisin.
Diseado para
aplicaciones de
autenticacin.
Paralelo a la red
elctrica
Diseado para bajo
consumo de energa.
Tranmisin de baja
potencia.
Utiliza enlaces de
frecuencia libre.
RFID
9-135 KHz
2 a 100 m
Tecnologa con
13,56 MHz
mayor rango de
433 MHz y
aplicaciones por las
860-960MHz
frecuencias en las
2,45-5GHz
que opera.
SIGFOX
Smart Cities 868 o 902
3 a 5 Km
Se considera la
MHz
mejor opcin para
Smart Cities por la
distancia que logra
abarcar.
Cuadro 1. Comparacin de los protocolos mas utilizados por IoT
3.
Propuesta de diseo
62
Crdoba et al.
3.1.
Escenario de uso
63
Cada da por la maana, se deben abrir las puertas, encender las luces de
cada sitio de manera individual y revisar los videos de las cmaras. Este proceso,
lo realiza solo una persona autorizada por razones de seguridad, pero presenta
los siguientes inconvenientes:
La apertura de puertas y encendido de luces toma 10 minutos en la maana
y 10 minutos por la tarde.
El personal que trabaja en las instalaciones no puede ingresar antes de su
hora de entrada oficial ni puede quedarse trabajando despus de la hora de
salida oficial. Esto afecta el desarrollo de algunos proyectos de alta prioridad
debido al proceso burocrtico para justificar las razones de una jornada
especial, y como consecuencia se activa un protocolo de seguridad especial.
La revisin de los videos puede tomar varias horas, por lo que es frecuente
que se realice su revisin cuando sucede un incidente.
En general, la administracin no puede conocer detalles sobre los eventos que
se generan en torno a la apertura de puertas, iluminacin, alarmas de incendio y
cmaras porque no cuenta con un sistema de alertas y estadsticas eficiente. Esto
impide que los administradores puedan reaccionar a tiempo ante emergencias o
variaciones en los patrones de comportamiento de los funcionarios y visitantes.
Por lo que la organizacin y el escenario descrito requieren considerar el diseo
e implementacin de los siguientes sistemas:
Control: El fin de este sistema es controlar las luces, sensores de incendios,
cmaras y la apertura de puertas utilizando los protocolos RFID y Z-Wave.
Gestin: El objetivo de este sistema es realizar el procesamiento de la
informacin, enviar notificaciones de emergencia y realizar el anlisis de
patrones de identificacin y comportamiento a partir de la informacin de
los sensores y vdeos.
Conforme con lo anterior, el funcionamiento del subsistema de iluminacin,
apertura y cierre de puertas para este escenario se plantea de la siguiente forma:
El personal autorizado cuenta con una tarjeta RFID como medio de
identificacin, cuya lectura es realizada por un mdulo RFID.
Una vez que la persona ha sido identificada, el sistema realiza la apertura
de las puertas y el encendido de las luces mediante el envo de seales a los
dispositivos Z-Wave.
Las luces se encienden por medio de un apagador Z-Wave.
La apertura de puertas se hace usando una cerradura de puerta Z-Wave.
Este subsistema requiere codificar cada tarjeta RFID con los datos personales
del empleado correspondiente, realizar la configuracin de la red de dispositivos
Z-Wave de acuerdo con las instrucciones de los fabricantes y programar los
scripts en un lenguaje de programacin, como Python. Las rutinas que deben
comprender los scripts cuando el lector RFID detecta una tarjeta son las
siguientes:
64
Crdoba et al.
Referencias
4.
65
Conclusiones
Referencias
Ashton, K. (2009, June). That Internet of Things thing. Descargado de http://
www.rfidjournal.com/articles/view?4986
Buxeres Soler, A. (2014). Estudio y desarrollo de un sistema basado en una
librera abierta para el uso del protocolo inalmbrico de domtica Z-Wave.
Crdenes Tacoronte, D. (2016). Diseo e implementacin de una herramienta
para la verificacin de cobertura de la red SIGFOX. Estudio de
conectividad en una zona geogrfica de orografa compleja.
Chavarra, D. A. C. (s.f.). Tecnologa de comunicacionn de campo cercano (nfc)
y sus aplicaciones.
Cuevas, J. C., Martnez, J., y Merino, P. (2002). El protocolo x10: una
solucin antigua a problemas actuales. En Simposio de informtica y
telecomunicaciones (sit).
DELL. (2016a). Dell Edge Gateways for IoT. Descargado de http://www.dell
.com/us/business/p/edge-gateway?s=bsd
DELL. (2016b). Edge Gateway 5000. Descargado de http://www.dell.com/
us/business/p/dell-edge-gateway-5000/pd?ref=PD_OC
66
Crdoba et al.
1.
Introduccin
68
Quintana et al.
2.
69
70
Quintana et al.
3.
Resultados
71
Los pasos del algoritmo que se sigue una vez que la imagen es cargada son
los siguientes:
72
Quintana et al.
Figura 3. Imagen procesada por las libreras, los colores se encuentran definidos por
las etiquetas y, podran ser utilizados para identificar datos en un mapa
Referencias
4.
73
Conclusiones
Referencias
Aigner, W., Bertone, A., y Miksch, S. (2008). Introduction to visual analytics.
Danube University Krems, Austria.
Foundation, O. (2006, aug). Openstreetmap. Descargado de https://www
.openstreetmap.org/
Kirkman, R., y Davis, T. (2014). Openlayers 3. Descargado de https://
github.com/openlayers/ol3
Ritter, N., y Ruth, M. (2000, dec). Geotiff format specification: Geotiff
revision 1.0. Descargado de http://www.remotesensing.org/geotiff/
spec/geotiffhome.html
Schindler, F. (2015). Read raw data from geotiff files. Descargado de https://
github.com/constantinius/geotiff.js
xavier lhomme. (2014, dec). A javascript-based parser for the geotiff image
format. Descargado de https://github.com/xlhomme/GeotiffParser
.js
1.
Introduccin
75
1.1.
STIX
76
Barnett et al.
STIXHeader
from stix.indicator import Indicator
from stix.common import InformationSource,
Identity
Adems se debe crear un CybOX File Object, el cual va a contener un
hash del archivo a caracterizar, como parte de un identificador nico (Security
Intelligence, IBM, 2015). A partir de ac se construye el paquete STIX y se
adjunta el HASH:
def add_stix_ciq_identity(file, hash):
stix_package = STIXPackage()
file.add_hash(hash)
Un paso importante para crear un indicador que identifique el artefacto de
software de forma unvoca, hacindolo observable se hace de la siguiente manera:
indicator = Indicator()
indicator.title =
"observable indicator" +
file.file_name
indicator.description =
"An indicator containing the observable"
indicator.set_producer_identity(
"ULACIT Costa Rica")
indicator.set_produced_time(
utils.dates.now())
indicator.add_object(file)
Los pasos subsecuentes servirn para poder compartir el objeto observable,
por lo que se debe aadir la fuente de informacin, por lo que se usarn los
parmetros de inicializacin para establecer los nombres de las herramientas
y de los proveedores del hallazgo. Es necesario, como todo XML fuertemente
tipado, darle las cabeceras adecuadas para que se inspeccionado por el API y
aadirlo a la coleccin de paquetes de STIX:
stix_header.information_source =
InformationSource()
tool = ToolInformation(
tool_name="Intel-Sharing",
tool_vendor="The MITRE Corporation"
)
stix_package.stix_header = stix_header
stix_package.add(indicator)
return stix_package.to_xml()
1.2.
77
TAXII
78
Barnett et al.
content_block =
tm.ContentBlock(content_block_bindings,
stix_file,
None, None)
content_block_list = [content_block]
message = tm.InboxMessage(
"MESSAGE_ID", None, None, None, None,
None, None, None, content_block_list)
# Respuesta de servidor
return message
El siguiente cdigo es la respuesta del estado del mensaje proporcionado por
TAXII.
HTTP/1.1 200 OK
Date: Fri, 19 Ene 2016 13:22:04 GMT
Server: Apache/2.2 (Linux Kali)
X-TAXII-Protocol:
urn:taxii.mitre.org:protocol:http:1.0
X-TAXII-Content-Type:
urn:taxii.mitre.org:message:xml:1.1
X-TAXII-Services:
urn:taxii.mitre.org:services:1.1
Content-Type: application/xml
Transfer-Encoding: chunked
Connection: keep-alive
Proxy-Connection: keep-alive
<taxii_11:Status_Message
xmlns:taxii_11="http://taxii.mitre.org
/messages/taxii_xml_binding-1.1"
message_id="59222"
in_response_to="36508"
status_type="SUCCESS"/>
Estas cabeceras viajarn entre servidores que consuman el servicio web que
aprovisione el mensaje.
1.3.
79
2.
Analizador de direcciones IP
3.
Virus total
80
Barnett et al.
4.
Resultados
Referencias
5.
81
Conclusiones
6.
Recomendaciones
Referencias
Barnum, S. (2014, feb). Standardizing cyber threat intelligence information
with the structured threat information expression (stixTM ). Descargado de
http://stixproject.github.io/getting-started/whitepaper/
EclecticIQ. (2016, apr). Stix and taxii threat intelligence analysis. Descargado
de https://www.eclecticiq.com/stix-taxii.html
MITRE. (2014, jan). Taxii-specifications. Descargado de https://github.com/
TAXIIProject/TAXII-Specifications
Security Intelligence, IBM.
(2015, mar).
Stix, taxii and cybox
can help with standardizing threat information.
Descargado de
https://securityintelligence.com/how-stix-taxii-and-cybox
-can-help-with-standardizing-threat-information/
Tecnologas de la Informacin
y Gestin de Proyectos
Dr. Antonio Gonzlez Torres (Ed.)