X El Cuerpo Esencial de X La Seguridad Informática es un tema
Conocimiento de Seguridad de sentido común: Sepamos Actuar 9
de la Información ...... ………1
X Metodologías Ágiles:
Como pasar de una
Arquitectura de 3 capas a
6
SOA …………………….. 4
X Los Sistemas de los
Sistemas de Información 6
Perspectivas
Informáticas
LA DIMENSION INFORMATICA DE LAS EMPRESAS
El problema de la información es que sobreabunda; el problema del
conocimiento es que escasea; el problema de la experiencia es que no
siempre se transforma en sabiduría
El Cuerpo Esencial de
Conocimiento de Seguridad de
Tecnología de la Información
http://riesgoseguridadinformacion.blogspot.com/
En los Números Anteriores:
Costo y Beneficio de la Planificación
Ciclos de Vida y Planificación
Cuerpo de Conocimiento
Un Cuerpo de Conocimiento está relacionado
con alguna profesión y configura un conjunto
definido de principios y conceptos conocidos
que aquellas personas que se dedican a tal
profesión deben conocer.
En este articulo desarrollamos el Cuerpo
Esencial de Conocimiento de Seguridad de la
Tecnología de la Información; (IT Security
EBK); desarrollado por el DHS-NCSD
(Department of Homeland Security - National
Cyber Security Division) de los EEUU.
El objetivo central de tal cuerpo de
conocimiento es el de prevenir los
ciberataques dentro del ciberespacio. La idea
fuerza es la de que el personal involucrado
con la Seguridad de la Tecnología de la
Información debe ayudar a proteger el
sistema de los ciberataques, en lugar de
desconocerlos o colaborar involuntariamente
con ellos.
El desarrollo del IT Security EBK se inició en
el año 2003 bajo la esfera del NCSD
(National Cyber Security Division), del DHS
(Department of Homeland Security) de los
X Gestión de los Servicios de
TI y la ISO 20000 .....10
EEUU; en conjunto con diversos representantes
de la Academia y la Industria tratando de
establecer las ‘mejores prácticas’ para una
operación segura de los sistemas de información.
Su primer versión data de Octubre de 2007, en
tanto que la segunda versión es de Septiembre del
2008.
1
Septiembre 2009
Volumen 1
Número 6
Eye on Flat Panel Image by © Royalty-
Free/Corbis
El eje de trabajo se centra en la integración de las
diversas Certificaciones existentes en el mercado,
de forma de homogenizar un conjunto
estandarizado de competencias y de habilidades.
Tal cuerpo de conocimiento integra y expande a
varias iniciativas privadas, de diferentes empresas
y asociaciones, como es el caso de COBIT y de
otras certificaciones relacionadas con la
Seguridad de la Información.
El objetivo esencial del IT Security EBK es el de
proporcionar un marco sobre funciones, tareas y
competencias con el cual se pueda comprender y
organizar la problemática de la seguridad de la
información en los entes gubernamentales y en
las empresas, para lo cual establece 14 áreas de
competencias y 10 Roles de la Seguridad de los
Sistemas de Información.
Proceso de Desarrollo del Marco
Funcional y de Competencias
En el proceso de desarrollo del Cuerpo de
Conocimientos se consideraron seis fases:
1) Desarrollo de Competencias Genéricas a partir
de los Niveles de Habilidad del Aseguramiento de
la Información.
 Desarrollar Competencias Genéricas
a partir de los Niveles de
1 Aseguramiento de la Información
Identificar las Funciones y Mapearlas
con las áreas de Competencia
2 Tecnología de Información del
Identificar los Términos y
Conceptos Claves
3 en cada Área de Competencia
Identificar los Roles Genéricos
4 de la Seguridad de IT
Categorizar las Funciones
5 según ¨la Perspectiva (M, D, I, E)
Mapear los Roles con las Competencias
de las Perspectivas Funcionales
6
2) Identificación de las Funciones y Mapearlas
con las Áreas de Competencia.
3) Identificación de los Términos y Conceptos
Claves para cada Área de Competencia.
4) Identificación de los Roles genéricos de la
seguridad de la Tecnología de la Información
5) Categorizar las Funciones según la
Perspectiva (G, D, E, I; Gestionar, Diseñar,
Evaluar, Implementar); (M, D, I, E, Manage,
Design, Evaluate, Implement).
6) Mapear los Roles con la Competencias de las
Perspectivas Funcionales.
1) Desarrollo de Competencias
Genéricas a partir de los Niveles de
Habilidad del Aseguramiento de la
Información.
Entre las fuentes consultadas para seleccionar
las competencias a considerar, se tomó el
programa DIAP (Defense-Wide Information
Assurance Program), junto con otras referencias
de la Industria. El objetivo central fue el de
concordar un ‘lenguaje común’ que describiera
Proceso de Desarrollo del Marco
Funcional y de Competencias
Modelo de Seguridad de la
Cuerpo Esencial de Conocimiento
Roles
s Funciones
a
i
c Gestionar Diseñar
n
e
t
e
p
m
o
C Implementar Evaluar
Perspectiva (G, D, E, I; Gestionar,
los componentes del Aseguramiento de la
Información, (IA, Information Assurance), en
Diseñar, Evaluar, Implementar); (M, D, I,
E, Manage, Design, Evaluate,
función de 53 Funciones Críticas de Trabajo,
(CWF, Critical Work Functions). Tales funciones Implement).
fueron divididas y agrupadas en áreas y se Habiendo identificado la relevancia y criticidad
clarificó sus límites y objetivos específicos. de cada competencia se la categoriza dentro de
cuatro perspectivas funcionales, Gestión,
2) Identificación y Mapeo de las Diseño, Implementación y Evaluación. Resulta
Funciones en las Áreas de esencial comprender que las perspectivas no
conforman un ciclo de vida, sino un sistema de
Competencia.
clasificación
Completado el paso anterior se procedió a
realizar el mapeo de las CWF, para lo cual se
consultó un nutrido conjunto de documentos, 6) Mapear los Roles con la
tanto del Gobierno de EEUU, como de la Competencias de las Perspectivas
Industria y de Entidades Certificadoras, como la Funcionales.
ISO. El trabajo final consiste en establecer un La fase final consiste en mapear los roles
programa para realizar la capacitación y laborales con jugos de competencias apropiados
certificación de los profesionales de la Seguridad y definir las perspectivas funcionales específicas
de la Tecnología de la Información. para cada rol, lo cual se incluye dentro del
cuerpo de conocimiento.
3) Identificación de los Términos y
Conceptos Claves para cada Área de
Competencia.
En esta fase se clarificaron los términos y
conceptos que conforman el cuerpo de
conocimiento para la identificación y desarrollo
de las funciones necesarias para cada área de
competencia.
4) Identificación de los Roles genéricos
de la seguridad de la Tecnología de la
Información.
El paso posterior al mapeo de competencias y
funciones consistió en definir los roles de las
personas específicas que poblarán una
organización para desarrollar tales funciones. Áreas de Competencia en Seguridad
Se seleccionaron los roles en lugar de los títulos de la Tecnología de la Información.
de trabajo para dejar abierto el nombre El IT Security EAB reconoce 14 áreas de
seleccionado en cada organización en particular. competencia de seguridad, a saber:
5) Categorizar las Funciones según la
2
El Marco del IT Security EBK
Ejecutivo Funcional Soporte propios como de contratistas), se controlen y
Marco de Funciones y Competencias aliñen para promover la seguridad.
para el Desarrollo de la Fuerza de Trabajo r
e r Los controles de seguridad sobre el personal se
en Seguridad de TI c s e y
ti
if ic e r
f s n
i f u t utilizan para Prevenir y Detectar empleados que
Perspectivas Funcionales O n g ro c n generan brechas de seguridad por malas
e e
r n t P e e
M; Manage c o E n y S m prácticas o ignorancia, tales como robo, fraude,
D; Design n F y
ti a itr l y e
a
il l r M a c r mal uso de la información e incumplimiento de
c u
E; Evaluate p ta
i u y
u
c
i
is
a
v c
IO O m ig
c
e p e h ri o
r
regulaciones.
I; Implement C IS o D S O S P P P
C
Seguridad de Datos M M D MD D 9) Seguridad Física y del Ambiente.
E E I E E E Se refiere a los métodos y controles utilizados
Forensia Digital M M D
E I E I para proteger en forma proactiva los edificios e
Continuidad Empresarial M M D D instalaciones de una organización de amenazas
E I E I
naturales o generadas por el hombre. La
Gestión de Incidentes M M D D MD
E I I E E I I E protección incluye tanto a los edificios, como a
Concientización y Entrenamiento M M D D las salas, al equipamiento y al personal que se
en Seguridad de TI E I E E
D DM D desempeña en tales instalaciones
Operación y Mantenimiento de Sistemas de TI
E I E I I E
Seguridad de Red y de Telecomunicaciones D D M D 10) Aprovisionamiento
E I I I E
D D Se refiere a la aplicación de principios, políticas
Seguridad del Personal E I
E E y procedimientos requeridos para Planificar,
Seguridad Física y del Ambiente M M D MD Aplicar y Evaluar la compra de productos y
E E E I E
Abastecimiento MD M D MD servicios de TI; incluyendo la pre-solicitud
E E E E E I E basada en riesgo; la solicitud; selección de
Cumplimiento de Regulaciones y Normas M M D D M D proveedor; contrato; monitoreo; la gestión de
E E I E I I E
M M D D MD desperdicios y otras actividades post-
Gestión del Riesgo E E I E I I I I E I I E contratación que sean necesarias.
Gestión Estratégica M D M D Las actividades se centran en el
E I E E
M M D establecimiento del contrato y la especificación
Seguridad de los Sistemas y Aplicaciones E E I E I de la forma en cómo se desarrollará el
aprovisionamiento de los materiales o servicios
incrementar su conocimiento, habilidades y contratados; incluyendo la Gestión de los
1) Seguridad de Datos. capacidad.
Se refiere a la aplicación de principios, Acuerdos de Servicios (SLA).
políticas, y procedimientos necesarios para
6) Operación y Mantenimiento de 11) Cumplimiento de Regulaciones y
asegurar la Confidencialidad, Integridad,
Disponibilidad y Privacidad de los datos en Sistemas de IT Normas.
todos aquellos medios por los cuales transiten Se refiere a la aplicación de principios, políticas y Se refiere a la aplicación de principios, políticas
o se almacenen, a lo largo del ciclo de vida. procedimientos para Mantener, Monitorear, y procedimientos que viabiliza que una
Controlar y Proteger la infraestructura de TI y la empresa pueda alcanzarlos niveles de
2) Forensia Digital. información que en ella se encuentra, durante la seguridad de la información aplicables según
fase de operación de un sistema o una aplicación. las leyes, regulaciones, estándares y políticas,
Se refiere al conocimiento y entendimiento de
las investigaciones electrónicas y las técnicas de los requerimientos de las entidades que las
de análisis utilizadas para Adquirir, Validar, y 7) Seguridad de las Redes y solicitan.
Analizar los datos electrónicos o reconstruir Comunicaciones.
eventos pasados relacionados con los Se refiere a la aplicación de principios, políticas y 12) Gestión de Riesgos.
Incidentes de Seguridad. El proceso de procedimientos que aseguren la operación de la Se refiere a las políticas, procesos,
investigación se compone de cuatro fases: red, la transferencia de datos y los Servicios de procedimientos y tecnologías utilizadas por una
Preparar telecomunicaciones y el mantenimiento del organización para generar un enfoque
Adquirir equipamiento relacionado con las comunicaciones. balanceado que identifique y evalúe los riesgos
Analizar Incluye la defensa del perímetro, el análisis del de los bienes de información, el personal, las
Reportar tráfico y las técnicas de encriptación de datos. instalaciones y el equipamiento y para gestionar
las estrategias de mitigación que logren los
3) Continuidad Empresarial. niveles de seguridad necesarios con un costo
Se refiere a la aplicación de principios, alcanzable.
políticas y procedimientos utilizados para
asegurar la continuidad de las operaciones en 13) Gestión Estratégica.
una empresa ante el suceso de eventos Se refiere a los principios, prácticas y métodos
catastróficos, que comprometan seriamente la involucrados en la toma de decisiones y las
disponibilidad del equipamiento o de las acciones de gestión, que determinan el
facilidades regulares de tal empresa. desempeño a largo plazo de Organización
La gestión de la estrategia de la seguridad
4) Gestión de Incidentes. requiere considerar análisis externos a la
Se refiere al conocimiento y comprensión del empresa, como análisis de mercado, del
proceso de Preparación y Prevención; ambiente del negocio, del comportamiento de
Detección; Contención; Erradicación y los clientes y del posicionamiento de los
Recuperación y a la habilidad de generar una competidores.
base de conocimiento de ‘lecciones
aprendidas’, sobre los incidentes que impactan 14) Seguridad de los Sistemas y las
con la misión de una organización. Aplicaciones
Se refiere a los principios, políticas y
5) Concientización y Entrenamiento en procedimientos relacionados con la integración
Seguridad de TI. de la seguridad de la información como un
Se refiere a los principios, prácticas y métodos sistema o aplicación de TI durante las fases de
requeridos para consolidar la concientización 8) Seguridad del Personal. un ciclo de Vida de Desarrollo de un Sistema,
en los empleados de los principios básicos de Se refiere a los métodos y controles utilizados (SDLC (System Development Life Cycle), antes
la seguridad de la información y entrenarlos en para asegurar que la selección y asignación de los de que tal sistema ingrese en la fase de
los roles de seguridad con el objetivo de recursos humanos en la organización, tanto Operación y Mantenimiento.

3
 Las actividades de soporte incluyen la
evaluación del riesgo, la mitigación del riesgo,
la selección de los controles de seguridad, la
implementación y la evaluación, y el
cumplimiento de las normas de seguridad del
software.
Roles, Competencias y
Perspectivas Funcionales de la
Seguridad de la Tecnología de la
Información.
En el IT Security EBK se reconocen 10 roles
diferentes de Seguridad de TI.
Lamentablemente deberemos dejar los
nombres en ingles, sin traducir, pues no se ha
homogeneizado una denominación en español,
como jefe, gerente, director, o encargado.
a) CIO (Chief Information Officer). Encargado
de la Información de la Empresa
Es el encargado de la estrategia de la
seguridad de la información. Especifica un
sistema de métricas global para toda la
organización.
b) Digital Forensics Professional. Encargado
de la Forensia Digital. Realiza un conjunto de
análisis y procedimientos de alta complejidad
técnica para determinar las causas de un
incidente de seguridad a partir de la
recuperación de la información y los estados
operativos al momento de producirse tal
incidente.
c) ISO (Information Security Officer).
Encargado de la Seguridad de la Información.
Es el encargado de la definición estratégica de
la seguridad de la información y de la seguridad
física de la información.
d) IT Security Compliance Officer. Encargado
Metodologías Ágiles
¿Cómo pasar de una arquitectura de tres
capas a SOA?
En el número anterior se analizaron las
diversas arquitecturas por Capas.
Hasta aquí hemos analizado ambas
arquitecturas, vimos los principios que
identifican a cada una de ellas, ahora veremos
cuáles son los pasos a seguir para pasar una
solución basada en una arquitectura de tres
capas a una solución basada en una
arquitectura orientada a servicios.
David Linthicum, en su paper “12 Steps to
implementing a Service Oriented Architecture”
define los siguientes pasos:
1) Entender y definir los objetivos del negocio.
2) Definir el dominio del problema.
3) Comprender la semántica de las
aplicaciones en el dominio.
4) Entender todos los servicios disponibles
dentro del dominio.
5) Conocer todas las fuentes de datos y
asegurarse que estén disponibles desde el
del Cumplimiento de la Seguridad de TI. Es el
encargado de supervisar, evaluar y revisar la
problemática de cumplimiento con las diferentes
regulaciones y normas que atañan a la
problemática de la seguridad de la información
en la empresa.
e) IT Security Engineer. Ingeniero de la
Seguridad de TI. Realiza una función
interdisciplinaria para poder desarrollar los
sistemas de seguridad de la tecnología de
información.
f) IT Security Professional. Profesional de la
Seguridad de TI. Se concentra en la protección
de la información y de los sistemas de
tecnología de la información para evitar
accesos indebidos a la información.
g) IT System Operation and Maintenance
Professional. Encargado de la Operación y
Mantenimiento de los Sistemas de TI. Realiza
las tareas asociadas con la operación del día a
día de los sistemas de seguridad de la
información.
h) Physical Security Professional. Encargado
de la Seguridad Física. Protege los equipos
físicos relacionados con la tecnología de la
información así como las instalaciones, en lo
referente a acceso físico y catástrofes o
accidentes naturales.
i) Privacy Professional. Encargado de la
Privacidad. Es el encargado de gestionar el
programa de cumplimiento con la privacidad de
datos.
j) Procurement Professional. Encargado del
Aprovisionamiento. Es el encargado de realizar
el seguimiento y la gestión del proceso de
dominio.
6) Entender todos los procesos del dominio.
7) Identificar y catalogar todas las interfaces
del dominio (servicios e información simple).
8) Definir los nuevos servicios y la información
asociada a los mismos.
9) Definir los nuevos procesos, así como
también los servicios y la información
asociada a ellos.
10) Seleccionar la tecnología a utilizar.
11) Desarrollar la solución SOA.
12) Testing e Implementación de la solución.
En nuestro caso, como ya tenemos una
solución desarrollada sobre la arquitectura de
tres capas, no realizaremos los 12 pasos que
menciona David Linthicum debido a que
4
aprovisionamiento desde el punto de vista de la
seguridad de la información.
Conclusión
Podemos observar un gran error en la
asignación de los nombres de los encargados
de seguridad, aun en ingles; pues si bien, sus
funciones de Seguridad de la Información se
describen en le IT Security EAB; sus funciones
se solapan con otras funciones de Sistema y de
Tecnología de la Información. Como ejemplo
citaremos el IT System Operation and
Maintenance Professional. Tal función se centra
en el Jefe de Operaciones (o nombre similar), y
engloba todos los aspectos de la operación de
los sistemas, y no solo los de seguridad. Solo
en organizaciones de muy gran envergadura tal
función podría desdoblarse por lo cual el
Encargado de la Seguridad de la Operación
debería responder tanto a los lineamientos de
Seguridad como a los lineamientos de la
Operación de los Sistemas. En este aspecto
consideramos que el Cuerpo de Conocimiento
aun no ha incluido otros aspectos de los
Sistemas ni ha sido tenido en cuenta por otros
aspectos de los Sistemas, dada su tan reciente
aparición
Autor: Osvaldo A Pérez
En los próximos números:
Estructura de Conocimiento de Proyectos
Funciones, Procesos y Proyectos
Mejora, Emergencia e Innovación
Ciclo de Vida de Sistema
muchos de ellos son necesarios al inicio del
proyecto más allá de la arquitectura sobre la
cual se va a desarrollar. Sin embargo muchos
de los pasos que aquí se mencionan, los
tomaremos en cuenta. Entre ellos destacamos
los siguientes:
1) Comprender la semántica de las aplicaciones
en el dominio.
2) Entender todos los servicios disponibles
dentro del dominio.
3) Conocer todas las fuentes de datos y
asegurarse que estén disponibles desde el
dominio.
4) Entender todos los procesos del dominio.
5) Identificar y catalogar todas las interfaces del
dominio (servicios e información simple).
6) Definir los nuevos servicios y la información
asociada a los mismos.
7) Definir los nuevos procesos, así como
también los servicios y la información asociada
a ellos.
Además de estos pasos tenemos que ver cómo
distribuir los componentes desarrollados para
cada una de las tres capas (presentación,
negocio, y datos).
1) Migrar los componentes de la capa de datos.
2) Migrar los componentes de la capa de
negocio.

3) Migrar los componentes de la capa de
aplicación.
Estos diez pasos que debemos realizar tienen
que ver con diferentes etapas, los primeros
cuatro pasos tienen que ver con la etapa de
análisis, los siguientes tres pasos con la etapa
de diseño, y en los últimos tres pasos será
donde desarrollaremos la solución SOA en
base a las definiciones realizadas en las
etapas anteriores.
En la etapa de análisis, tenemos que identificar
los servicios que brindara nuestra solución.
Como resultado de esta etapa tendremos una
definición clara y precisa de que hace cada
uno de estos servicios, y que información
deben brindar (si bien esto lo terminaremos de
definir en una etapa posterior, debemos
tenerlos a nivel conceptual aquí).
En la etapa de diseño será donde definiremos
como distribuir los servicios, y mensajes, para
esto contamos con las definiciones de cada
uno de los servicios que definimos en la etapa
de análisis. Al finalizar esta etapa tendremos
definido que cuales serán los servicios que
finalmente tendrá nuestra arquitectura y qué
lugar ocuparan dentro de ella. Habrá servicios
que serán comunes a varias aplicaciones y
otros que serán desarrollados como
componente de datos de la arquitectura SOA.
Posteriormente atacaremos la capa de negocio,
esta capa será prácticamente reutilizada por
completo, ya que toda la lógica de esta capa
será parte de nuestro servicios. Aquí la decisión
más difícil de tomar será en que servicio
debemos colocar cada parte de los procesos de
negocio, pero como ya resolvimos esto en las
etapas de análisis y de diseño, solo tenemos
que recurrir a dicha información y asociar cada
lógica de negocio con el servicio y/o
componente que corresponda.
Ahora nos queda por resolver la capa de
presentación, aquí tendremos una porción
reutilizable y varias partes que deberemos
rehacer. Las soluciones con las que nos
podemos encontrar en la capa de presentación
pueden ser muy diversas, por ej. podemos
encontrar casos desde el uso de una librería de
templates hasta casos en que la presentación
está metida en el medio del código y
prácticamente la separación entre la capa de
presentación y la capa de negocios no existe.
En los casos en que nos encontremos con el
uso de templates, estaremos en una posición
componentes que se conectaran al bus común
favorable, ya que la migración es casi directa,
que tendrá los servicios comunes. También
solo tendremos que disponer estas librerías
contamos con interfaces para intercambiar
como servicios o componentes. En los otros
mensajes entres servicios y componentes,
casos, va a ser conveniente realizar una nueva
para esto por lo general utilizaremos un
lógica de presentación, es decir desarrollar un
lenguaje como XML.
componente o servicio que se ocupe de esta
tarea, es más conveniente que sea un
Por último tenemos la etapa de construcción,
componente que por medio de mensajes
y es aquí donde nuestra solución realmente
consulte un servicio que le de la información
muta, ya que hasta ahora son solo
necesaria para que el componente pueda
documentos y esquemas, pero recién acá nos
armar la presentación, así cuando se requiera
ponemos a tocar el código de la vieja
cambiar la presentación solo tendremos que
arquitectura. Entonces, tenemos que ver qué
cambiar el componente.
hacemos con cada uno de los componentes
Para desarrollar soluciones SOA hay varios
que corresponden a cada una de las capas de
frameworks disponibles, en lo que respecta al
la vieja arquitectura.
software open source se destacan los
siguientes:
Los componentes de la capa de datos van a
ser aquellos que menos vamos a poder
reutilizar, ya que en su mayoría están atados
al motor de la base (stores procedures) y en
una arquitectura orientada a servicios es
conveniente utilizar herramientas ORM (como
por ej. Hibernate) que se integran con varias
aplicaciones y permiten que las misma sean
fácilmente escalables. De todos modos, al
tener la lógica de acceso a datos definida en
la capa de datos, esta misma lógica la
podemos migrar fácilmente a nuestro
5

Celtix Open Source Enterprise
Service Bus
Celtix es una solución de Enterprise Service
Bus (ESB) que esta lista para su utilización en
ambientes productivos. Se puede utilizar sin
requerir de software comercial. Celtix simplifica
la construcción, integración, y flexibiliza la
reutilización de componentes técnicos y de
negocio utilizando estándares, y una
arquitectura orientada a servicios (SOA). Celtix
está realizado por la comunidad Open Source,
produciendo una rápida innovación. Celtix es
sustentado por IONA, empresa líder
establecida en SOA y tecnología de
integración.
Apache ServiceMix
Es un Enterprise Service Bus (ESB) que
combina la funcionalidad de una arquitectura
orientada a servicios (SOA) y una arquitectura
que maneja eventos (EDA). ServiceMix es un
ESB de distribución open source realizado
sobre la plataforma Java Business Integration
(JBI) de acuerdo a la especificación JSR 208 y
lanzado bajo la licencia de Apache. La meta de
JBI es permitir que los componentes y los
servicios se integren de manera independiente
del vendedor, de manera plug and play para los
usuarios y vendedores.
Conclusiones
Hoy en día es casi impensable realizar un
relevamiento y que los requerimientos no
cambien hasta que el software se entregue, por
lo tanto es necesario contar con metodologías
que permitan controlar los cambios de los
Los Sistemas de los Sistemas de
Información
Los Sistemas de Información se iniciaron con la
contabilidad, de lo hecho, los registros históricos
se iniciaron con la contabilidad, ya que la
escritura se comenzó a utilizar para registrar
mercadería y eventos comerciales a los cuales
se les pudiera aplicar algún tipo de impuesto de
‘la autoridad central’. De alguna manera esto
explica el porqué no existen registros escritos de
conglomerados humanos nómades, que carecen
de autoridad central.
Recorrer todo el camino histórico, desde los
inicios hasta la informatización, sería demasiado
largo y tedioso, por ende nos concentraremos
solo en la evolución actual de los Sistemas de
Información en la Empresa.
requerimientos, y también contar con una
arquitectura que soporte dichos cambios.
Al parecer tanto SOA como las Metodologías
Ágiles nos resuelven este problema, ya que por
medio de ellas podemos ir realizando entregas e
ir escalando el sistema en forma proporcional a
medida que avanza el desarrollo. Esto es muy
importante para que el cliente no tenga que
esperar hasta el final del mismo para ver si el
software es lo que el nos pidió (o se imagino).
Es posible sin duda aplicar las Metodologías
Ágiles en proyectos basados en SOA, además de
ser muy recomendable, ya que otras
metodologías más tradicionales no aprovechan el
potencial que nos da SOA en cuanto a la gestión
del proyecto (por ej. SOA nos permite manejarlo
de manera incremental).
A pesar de contar con el terreno casi servido -
¿teniendo SOA y las Metodologías Ágiles es
posible que el proyecto fracase? - es necesario
contar con personas que sepan de ambos temas,
porque como ya dijimos en el trabajo, acá no hay
receta alguna para garantizarnos el éxito del
desarrollo.
Al contrario de las metodologías tradicionales, las
metodologías como Scrum y XP requieren de un
Project Management mucho más activo, ya que
además del trabajo del Project Management, este
deberá estar continuamente en contacto con los
participantes del desarrollo (desarrolladores,
arquitectos, clientes, diseñadores, etc.).
Cualquier solución de software que se quiera
desarrollar hoy en día, tiene que pensarse en
base a los siguientes factores claves:
escalabilidad, bajo mantenimiento, ciclos de vida
cortos.
Con una arquitectura SOA, al contar con el
concepto de Bus de Servicios, estos factores se
satisfacen.
Para aprovechar al máximo los beneficios de esta
arquitectura es fundamental separar bien los
servicios, lograr que cada uno de ellos ataque
solo un problema para que haya bajo
acoplamiento entre ellos. Será esta característica
la que nos va a permitir lograr una alta
escalabilidad.
También nos garantizaremos el bajo
mantenimiento, ya que ante cualquier pedido de
cambio que nos hagan, no tendremos que
http://arquitecturamodeloservicio.blogspot.com/
Los sistemas esenciales de una empresa se
centran, por un lado, en el inventario, de todos
aquellos bienes perdurables que conforman la
empresa, y por otro lado en la facturación y
transacciones relacionadas con los insumos
necesarios para generar los productos o
servicios que ofrece la empresa. A los dos
anteriores se suman el conjunto de informes
necesarios para determinar la marcha de la
empresa, tanto interna, como externa (con sus
clientes, competidores, reguladores
accionistas).
Sobre la base de estos tres tipos de sistemas
analizaremos la evolución de los sistemas de
información utilizados en la actualidad.
6
modificar muchas partes, sino cambiar unas
pocas.
Lograr ciclos de vida cortos, además de
depender de la gestión del proyecto (por ej.
Scrum con SOA es algo recomendable),
también depende de la flexibilidad de la
arquitectura.
Es por esto que SOA se puede combinar con
proyectos gestionados mediante las llamadas
metodologías ágiles, estas metodologías
intentan realizar entregas (sprints en Scrum) en
tiempos menores a 30 días. Con SOA esto es
posible, una vez que tenemos los pilares de
nuestra arquitectura desarrollados, los nuevos
componentes y/o servicios se “enchufaran” a
nuestra arquitectura por medio de las interfaces
y se comunicaran con el resto del sistema a
través de mensajes, de esta manera la
dificultad de agregar una nueva funcionalidad a
una solución que está funcionando
perfectamente se reduce significativamente.
Ahora bien, ¿es SOA la solución definitiva a
todos los desarrollos? Definitivamente no, si
bien logra resolver muchos de los problemas
con que nos encontramos a diario, hay algunas
desventajas de utilizar SOA, entre las que
destacamos las siguientes:
Se requieren profesionales muy buenos,
fundamentalmente para lograr que la solución
tenga un bajo acoplamiento. Un sistema que no
cumpla con esta premisa, luego será dificultoso
de mantener y poco escalable.
La tecnología a utilizar debe soportar la
arquitectura SOA. Entre las tecnologías
disponibles se destacan las soluciones Java
(J2EE) y .NET
Como consecuencia inmediata de los puntos
anteriores, el costo de una solución de SOA es
más alto. Aunque luego lo recuperemos por
tener un bajo mantenimiento y una alta
escalabilidad, la inversión inicial es más alta.
En síntesis, siempre que el proyecto sea lo
fi i t t l j i t
Sistemas de Contabilidad y de
Producción.
Los Sistemas de Contabilidad y de
Manufactura o producción se mezclan en su
desarrollo histórico, dado que se requiere un
sistema para la Planificación de los Recursos,
y tales recursos deben ser contabilizados
tanto por control de stock como a los fines
impositivos.
En la literatura se puede encontrar el grupo
y
de sistemas para la contabilidad como
Sistemas de Información de Contabilidad; AIS
(Accounting Information System); en tanto
que los Sistemas para Planificación de
Recursos se inician con los MRP, (Material
 Origen de los
Aplicativos Informáticos
Informes
MIS
Ejecutivos
Preparación
Informes
KWS
Archivo Sueldos Inventario
SCM
Facturación
Facturación
Requirements Planning), y se afianzan con
una derivación denomina ERP (Enterprise
Resource Planning).
Planificación de los Recursos
Empresariales, ERP
Los Sistemas de Información ERP derivan de
sus antecesores los MRP. La Segunda
Guerra Mundial generó la necesidad de
coordinar innumerables cantidades de
recursos que debían ser entregados en
tiempo y en forma a través de grandes
distancias, en forma precisa, y en las peores
condiciones ambientales imaginables. En tal
época se desarrolló la logística en gran
escala y, como cuerpo teórico, la
Investigación de Operaciones. Es decir como
optimizar los recursos de la mejor forma
posible para las Operaciones del día a día.
Frutos de tal desarrollo fueron las primeras
computadoras comerciales de fines de la
década de 1950 y los Sistemas de
Información de Planificación de
Requerimientos de Materiales de principios
de la década de 1960.
En la actualidad los MRP ya casi no se
utilizan, pues, mayormente, han quedado
incluidos como parte de los Sistemas ERP.
El concepto de ERP recién fue introducido
promediando la década de 1990 y se difundió
rápidamente dada la existencia de grandes
Sistemas ERP Comerciales que
reemplazaron la columna vertebral de los
Sistemas de Información de grandes
empresas para resolver el problema de
numeración del año 2000. En los años
anteriores al 2000 las empresas se
enfrentaban con el problema de revisar y
ESS
DSS
Análisis
Informes
ERP OAS
Archivo
CRM
TPS
Facturación
regenerar todos sus sistemas para
compatibilizarlos con el formato de fecha de
cuatro dígitos, o bien adquirir un nuevo sistema
que ya hubiere resuelto tales problemas. Los
Sistemas ERP aparecieron como los grandes
salvadores y en particular el Sistema SAP logro
introducirse en muchas grandes empresas
logrando una gran porción del Mercado
Corporativo.
Un Sistema ERP integra a varios sistemas que
anteriormente se manejaban por separado. El
problema esencial que soluciona un ERP es el
de los ‘silos de datos’. Al iniciarse los sistemas
informáticos cada sistema o aplicativo se
desarrolló por separado, para un propósito
especifico y para usuarios específicos. Un
problema no previsto con tales soluciones fue
la proliferación de bases de datos exclusivas
para cada programa, normalmente
inconsistentes entre si y que le ocasionaban un
sinnúmero de inconvenientes a los ‘propietarios
de los datos’; normalmente los clientes.
Escenas típicas de esa época consistían en
llenar permanentemente nuevos formularios,
con los mismos datos, pero con ligeras
variaciones, como por ejemplo la inicial del
segundo nombre en lugar del nombre completo;
diversas alternativas para los nombres de las
calles y otros problemas y errores, con lo cual
al intentar consolidar dos bases de datos
diferentes hacia irreconocible al mismo
propietario de los datos.
Tal problemática con la consistencia de los
datos llevó a que se generarán Bases de Datos
independientes de las aplicaciones, que se
generaran y mantuvieran por separado y que le
7
‘ofrecieran servicio’ a los diferentes programas
que debieran hacer uso de los datos.
Evidentemente el siguiente paso consistió en
realizar la integración a varias aplicativos
similares en un único Sistema de Información
que resolviera el problema diversas funciones
empresariales, pero manteniendo una misma
interfaz de usuario y funciones operativas
comunes.
Las Transacciones
Un problema esencial de todo Sistema de
Información lo son las Transacciones. Una
transacción es todo evento comercial que debe
permanecer identificado, almacenado y
registrado por diversos intereses. Entre ellos
intereses contables, pero también conocer que
cliente compró cual producto, cuando lo hizo,
donde debe ser entregado y en qué condiciones;
cual proveedor suministró tal recurso, en qué
cantidad, a que costo y con cual calidad. Como
puede verse, a partir de las transacciones
individuales es que se podrá construir la
información que luego servirá para responder a
preguntas muy importante para la empresa; ya
sea en un caso particular para su operación, o en
forma de estadísticas, para la toma de
decisiones.
Las transacciones deben poseer la propiedad de
atomicidad, por la cual una transacción es integra
y en caso de poder completarse debe regresar al
estado previo al de su inicio. Una transacción
debe ser trazable, de forma tal que si se debe
cancelar una transacción se puede restablecer el
producto o servicio que la produjo al estado
previo a su inicio.
Toda empresa requiere de Sistemas
Transaccionales, TPS (Transactional Processing
System), que le permitan registrar y contabilizar
cada una de las actividades comerciales que se
realizan en la empresa, y puedan preservar la
información de utilidad de tales transacciones
para que otros sistemas realicen diversas
funciones con tal información.
Desde el Proveedor al Cliente
La parte Operativa de un Sistema de Información
queda cubierta por cuatro Sistemas:
a) El Sistema Gestión de Suministros, SCM
(Supply Chain Management)
b) El Sistema de Gestión de Recursos, ERP
(Enterprise Resource Planning)
c) El Sistema de Gestión de Clientes, CRM
(Customer Relantionship Mangement).
d) El Sistema Transaccional de Eventos
Comerciales.
En la actualidad los cuatro sistemas quedan
englobados dentro de un ERP, muchas veces
por medio de diversos módulos que pueden o no
estar incluidos. Sin embargo en la actualidad un
 Aplicativos Informáticos
y sus Relaciones
MIS
Management
Information
System
KWS
Knowledge
Work
System
SCM
Supply
Chain
Transaction
Management
Processing
Sistema ERP es aquel que Gestiona la
Operación de una Empresa, e incluye todos los
módulos y subsistemas necesarios para poder
conocer la marcha de las Operaciones de una
Empresa.
Un ERP no debiera procesar la información
estratégica de una empresa, pudiendo o no
gestionar la información funcional de la empresa.
La información estratégica debiera quedar a
cargo de sistemas especializados que ofrecerán
mejor rendimiento y conocimiento a partir de la
información que se extraerá del ERP. La
información funcional puede ser estándar, como
el caso de la información para Contabilidad, o
muy especializada, como una información
técnica muy específica, (ej laboratorios
medicinales). Por lo cual la información funcional
podrá o no ser procesada por el ERP en función
de su grado de homogeneidad con otras
empresas o de especialización con otras
empresas de su mismo rubro.
Los Sistemas de Automatización de Oficinas.
Un caso particular lo compone el Sistema de
Automatización de Oficinas, Cuyos exponentes
actuales quedan representados por el Office de
Microsoft y el Open Office de Sun. Tales
sistemas nacieron en el ambiente PC y
representan el conjunto de herramientas de
oficina que todo empleado necesita, (máquina de
El Sistema de Decisiones
ESS
Corporativas
Executive La problemática estratégica de las empresas
Support DSS queda englobada a partir de cuatro sistemas
System principales:
Decision a) El Sistema de Gestión del Conocimiento, KWS
Support (Knowledge Work System)
System b) El Sistema de Información de Gestión, MIS
(Management Information System)
c) El Sistema de Soporte a la Toma de
Decisiones, DSS (Decision Support System)
ERP OAS d) El Sistema de Soporte Ejecutivo, ESS
Enterprise Office (Executive Support System).
Resource Automation
System El conjunto de los cuatro sistemas permite
Planning
Coordinar y Controlar la Operación de la
Empresa y Monitorear y Prever la Marcha del
Mercado, la Reacción de los Competidores, de
CRM los Clientes y Determinar el Posicionamiento de
la propia empresa y de los competidores en
Customer
TPS Relationship
función de los cambios previstos del mercado y
de las preferencias de los clientes.
Management
System
escribir, calculadora, tablero de dibujo, etc). No
son Sistemas Empresariales en si mismos, sino
herramientas, que todo empleado necesita.
Herramientas con las cuales se manipula
información de la empresa y se generan
documentos que pueden poseer alto valor para la
empresa. De allí la necesidad de que estas
herramientas sean compatibles con la
información de la empresa, puedan extraer
Conclusión:
Tanto la Tecnología de la Información como los
información de los Sistemas Empresariales y
Sistemas de la Información han proliferado, al
más importante aún, puedan ingresar
menos, durante los últimos 60 años. Tanto su
información a los Sistemas Empresariales en
velocidad de desarrollo como la proliferación de
forma transparente y con integridad con respecto
diversas soluciones para las empresas han
a la información empresarial que ya se encuentra
generado un alto grado de confusión en los
en tales sistemas.
usuarios y en los tecnólogos, que a la hora de
tomar decisiones resultan perdidos en una selva
Los Sistemas de Conocimiento. repleta de técnicas de opciones, de variantes que
En la actualidad toda empresa debe contar con transforma el proceso de selección en una tarea
un Sistema de Conocimiento, pero debe ser muy ardua y riesgosa.
cauta al respecto, pues no todo lo que el En este artículo hemos alineado a los Sistemas
mercado ofrece es en realidad un Sistema de de Información con los Sistemas Empresariales y
Conocimiento. a las técnicas de Sistemas como los Modelos
Organizacionales. En futuros artículos
Los Sistemas de Trabajo del Conocimiento, KWS ampliaremos el detalle y la precisión sobre
(Knowledge Work System) son sistemas que diversas tecnologías que permiten consolidar
parten del conocimiento de varias fuentes. Sistemas Empresariales eficientes ya adaptados
Algunos solo se centran en un Datawarehouse, a las necesidades de las empresas.
que permite capturar relaciones no evidenciadas
a partir de la propia Base de Dato de la empresa.
Otros ofrecen mecanismos para captar o generar Autor: Osvaldo A Pérez
verdadero conocimiento a partir del análisis de
documentos y de otras tendencias que permiten En los próximos números:
encontrar rápidamente las tendencias del
mercado y el posicionamiento actual y previsto Servicio: Estructura y Arquitectura SOA (Service
de la empresa en tales condiciones. Oriented Architecture)
El KWS es el motor de base para los Sistemas Arquitectura: Arquitecturas Empresariales
de Soporte al Ejecutivo, ESS (Executive Support
System), en donde la Toma de Decisiones y la Modelo: ¿UML? (Unified Modeling Language)
Anticipación y Resolución de Problemas resultan
esenciales para gestionar la marcha del Negocio
de la Empresa y para encarar cambios e
innovaciones que le permitan a la empresa
mantener o mejorar su ventaja competitiva en las
posibles tendencias futuras del mercado.
8
La Seguridad Informática es un tema de Sentido Común:
Sepamos Actuar
Ya se sabe que la globalización ha modificado
las formas de vida de la gente a nivel mundial, no
solamente las modalidades de hacer negocios,
sino también las modalidades de sufrir penurias
y delitos. Los ataques informáticos son un claro
ejemplo de ello, y esto no es privativo de las
grandes corporaciones o los bancos, sino que
afecta a todos por igual.
Países como Estados Unidos, China y Alemania
(primero, segundo y tercero en ranking de
atacantes) tienen organizaciones delictivas que
usan granjas de servidores al sólo efecto de
rastrear direcciones IP vulnerables, sin importar
si detectan la de un banco o la de un kiosco. Una
vez que ingresan, allí sí verifican el nivel de daño
o usufructo que pueden llevar a cabo. El
phishing creció un 400% del 2005 hasta ahora.
Según Panda Security, los troyanos bancarios
crecieron un 435% sólo entre 2006 y 2007.
Estos riesgos también aplican cuando la gente
en su casa accede a soluciones de home
banking, sin tener la protección mínima y
fundamental que radica en un antivirus, un
antispyware y un personal firewall con IPS
(Intrusión Prevention System) integrado, todo
esto solamente para asegurarse que nadie
acceda fácilmente a sus datos del banco,
usuario, cuenta, password y tarjetas de crédito,
entre otros.
La respuesta a estos nuevos desafíos que
plantean las sociedades hiperconectadas está al
alcance de todos. De hecho, existe una serie de
soluciones para que cualquier usuario particular
o empresa de cualquier tamaño, pueda tener
implementado un servicio de seguridad, y
escalable acorde a su crecimiento.
En la actualidad se puede disponer de soluciones
muy robustas, con posibilidad de gestión remota,
y con costos sustancialmente menores a los que
se encuentran en appliances de hardware. Pero
sin tomar conciencia de que los ataques
informáticos afectan a todos por igual no se
puede evaluar su riesgo y menos aún
dimensionar la gravedad de sus consecuencias.
A modo de ejemplo, en la vida cotidiana, a nadie
se le ocurriría dejar sus documentos personales
o las llaves de su casa al alcance de extraños
dado que existe conocimiento de las
la seguridad de que todos los accesos posibles
consecuencias que ello podría acarrear.
desde el exterior están bajo control. Si se
La seguridad informática debe entenderse y encuentra alguna ventana abierta o puerta mal
manejarse con sentido común. cerrada, se procederá a avisar y cerrarlos. Lo
mismo se verifica con un análisis de
Una acción de recibir una encomienda o sobre,
vulnerabilidades, donde se verifican si todos los
implicará verificar si tiene formato válido, si se
accesos posibles a las redes y recursos del
puede conocer o intuir su contenido, si el paquete
cliente, son accesibles desde el exterior, con
viene limpio, o si hay que desinfectarlo por las
técnicas de hacking ético, es decir notificar las
dudas, y si es muy grande, se verificará por rayos
vulnerabilidades encontradas, sin ejercer daño
equis. Esto es comparable con el uso de antivirus
alguno a través del aprovechamiento de las
para la protección de los mails que se reciben,
mismas. Las recomendaciones pertinentes se le
para que no tengan virus u otro tipo de
indicarán luego al cliente.
contaminación., y si los tiene, eliminarlos o
tratarlos en cuarentena. Ahora si queremos saber cuán resistentes son
nuestras medidas de seguridad, deberemos
Cuando queremos proteger el acceso a nuestro
verificar que las ventanas además de estar
espacio de oficina o vivienda, es obvio que esto
cerradas soporten intentos de rotura, que la
no se aplica, y se requiere de algo o alguien que
puerta de acceso principal sea robusta, evaluar
actúe como un servicio de control de acceso
qué facilidades existen para acceder a la caja de
como una persona de vigilancia que verifica, por
seguridad o valores, etc. Salvando las distancias,
ejemplo, que sólo ingrese gente al edificio
esto es equivalente a un Penetration Test, donde
debidamente identificada con su nombre y
se verifica si las medidas de seguridad externas
apellido. Esto es equivalente a lo que realiza un
e internas soportan cualquier tipo de ataque a
firewall.
través de probar distintos exploits, los que en
Ahora bien, para permitir el ingreso de esa caso de ser exitosos, pueden dejar fuera de
persona al edificio el mismo sistema de seguridad servicio al recurso que se está probando.
deberá saber si dicho individuo es un empleado
de la empresa, un visitante o un simple
delincuente para lo que se requiere otro tipo de
inspección y revisión. Esto en seguridad
informática lo realiza un Sistema de Prevención
de Intrusos (IPS), que verifica el contenido de los
“paquetes” que están intentando ingresar a la red
de una empresa, y que obedeciendo a reglas
prefijadas o heurísticas, puede tomar la decisión
de descartar ese paquete, impidiendo su ingreso
a la red.
Continuando con la comparación de una persona
que intenta entrar a una empresa y los pasos que
debe cumplir para lograrlo, tratemos de imaginar
que finalmente logró hacerlo. En tal sentido, es
importante destacar que los mecanismos de
seguridad continúan activos, dado que esa
misma persona tiene que salir del edificio en Como podrán ver, el sentido común
cuestión y su estadía también es materia de demuestra una fuerte similitud entre lo que
control. Volviendo a lo que en materia de hacemos, y lo que pretendemos que haga la
seguridad informática se refiere, eso es seguridad informática. Es sólo sentido
equivalente al procesamiento de logs y común, conocer los riesgos de los que
correlación de eventos, donde se identifican tipos queremos protegernos, y saber las técnicas
de ataque y origen de los mismos, para que sean de protección disponibles. Está en nosotros
bloqueados, y se remedien los daños provocados, tomar conciencia, perder el miedo a lo
ya sea por nuevas reglas de seguridad, o por cibernético, y simplemente, protegernos.
restauración de archivos con los últimos backups
tomados.
Una inspección alrededor de la casa verificando Roberto Langdon
que todas las ventanas estén cerradas y la puerta Presidente
principal tenga sus cerrojos pasados, demuestra 2MINDS Servicios Informáticos
rlangdon@2mindsarg.com.ar
9
Gestión de los Servicios de TI
La norma ISO/IEC 20000
Las ventajas competitivas de una empresa se
han desplazado desde los productos a los
servicios. La prestación de Servicios de
Información se comenzó a regularizar con un
conjunto de iniciativas conocidas como ITIL
(Information Technology Infrastracture Library) y
el conjunto de normas desarrollado por la British
Standart, BT15000-1 y BT 15000-2, tomadas
como referencia para el desarrollo de las Normas
ISO/IEC 20000.
El JTC1 de ISO/IEC ha aprobado una serie de
normas orientada a dar respuesta a las
necesidades de estas empresas: la serie
ISO/IEC 20000, en proceso de elaboración como
norma IRAM.
La ISO/IEC 20000 – Tecnología de la
Información – Gestión de los servicios consta
de 2 partes. En la parte 1 define los requisitos
para evaluar la calidad con que un proveedor
brinda sus servicios de TI. En la parte 2 se
especifican las mejores prácticas para la gestión
de los servicios.
Objetivos:
La ISO/IEC 20000 está dirigida a las
organizaciones que:
a) deseen evidenciar el nivel de calidad de sus
servicios de TI a través de su certificación,
b) busquen uniformidad sobre los servicios que
prestan los proveedores en una cadena de
suministro;
c) deseen comparar su gestión de los servicios
de tecnología de la información respecto de su
competencia;
d) deseen mejorar sus servicios.
La norma promueve una metodología de gestión
http://costobeneficiodelaplanificacion.blogspot.com/
para los procesos para la provisión de servicios
de IT alineada con el ciclo Deming “Planificar-
Hacer-Verificar-Actuar (PHVA) conocido como
“Plan-Do-Check-Act (PDCA)”.
Estructura:
En la primera parte, de especificación, se definen
217 requerimientos que son necesarios para
generar una estructura de servicios de IT que
queden alineados con las necesidades del
negocio, ofrezcan valor a los clientes, y a la vez
optimicen los costos al garantizar la provisión de
los servicios en todo momento.
El marco de procesos diseñado se organiza en
base a los siguientes bloques:
a) Grupo de procesos de Provisión del Servicio.
b) Grupo de procesos de Control.
c) Grupo de procesos de Entrega.
d) Grupo de procesos de Resolución.
e) Grupo de procesos de Relaciones.
En la segunda parte, del Código de Prácticas, se
representa un conjunto de mejores prácticas
adoptadas y aceptadas para la Gestión de
Servicio de IT. Tales prácticas se basan en el
estándar ITIL (Information Technology
Infrastructure Library), que se utiliza como guía y
soporte para el establecimiento de acciones de
mejora en el servicio o preparación de auditorías.
a) Grupo de Proceso de Provisión del
Servicio.
Este grupo incluye los subprocesos siguientes:
Gestión de la puesta en producción: su objetivo
es entregar, distribuir y rastrear los cambios que
se presenten en la puesta en producción. Es
conveniente que este proceso esté integrado con
los procesos de gestión de la configuración y
gestión de cambios.
b) Grupo de Procesos de Control
Este Grupo incluye los siguientes subprocesos:
Gestión de la Configuración: su objetivo es definir
y controlar los componentes del servicio y su
infraestructura, y mantener la información de la
configuración en un adecuado nivel de
seguridad.
Gestión de cambios: su objetivo es asegurar que
todos los cambios sean evaluados, aprobados,
implementados y revisados de manera
10
controlada.
c) Grupo de Proceso de Entrega de Servicios
Este grupo se descompone en los siguientes
subprocesos:
Gestión de los niveles de servicio: su objetivo es
definir, acordar, registrar y gestionar los niveles
de servicio.
Informe del servicio: su objetivo es el de producir
informes que faciliten la toma de decisiones.
Continuidad del servicio y gestión de la
disponibilidad: su objetivo es asegurar la
continuidad del servicio acordado en todas las
circunstancias.
Presupuestación y contabilización de costos: su
objetivo es presupuestar y luego registrar y rendir
cuentas por el costo de los servicios.
Gestión de la capacidad: su objetivo es asegurar
que en todo momento se dispone de la
capacidad suficiente para cumplir con las
necesidades del negocio del cliente.
d) Grupo de Procesos de Resolución
Este grupo se descompone en los siguientes
subprocesos:
Gestión de incidentes: su objetivo es restaurar el
servicio acordado con la organización tan pronto
como sea posible y responder a las solicitudes
de servicio.
Gestión de los problemas: su objetivo es
minimizar la generación de problemas para la
empresa mediante la identificación y el análisis
pro-activo de la causa de incidentes y el
seguimiento de los problemas hasta su cierre.
e) Procesos de Relaciones
Este grupo se descompone en los siguientes
subprocesos:
Gestión de relaciones con el cliente: su objetivo
es establecer y mantener una buena relación
basada en la comprensión del negocio y de las
necesidades del cliente.
Gestión de proveedores: su objetivo es gestionar
a los proveedores para asegurar que su provisión
de servicios tenga la calidad acordada.
Conclusión:
La gestión de los Servicios de IT es cada día
más exigente, ya que por su propia naturaleza es
de alta abstracción. Los clientes demandan
definiciones y precisiones en el servicio que se
les ofrece y que se les provee, de forma de poder
controlar la calidad acordada en los Niveles de
Servicio especificados y contratados.
Autor: Paula Angeleri

Con la Colaboción de;
http://www.itsb.com.ar
http://www.2mindsarg.com.ar
Escuche el contenido de nuestro Newsletter
en Radio Blogs en Radio Nexo
www.radionexo.com.ar
Los miércoles a las 10:00 Hs; a las 14:00 Hs y
a las 20:00 Hs y los jueves a las 17:00 Hs
Participe de Nuestros Blogs en
www.perspectivasinformaticas.blogspot.co
m/
Editorial
Septiembre 2009 Perspectivas
Informáticas
La Seguridad de la Tecnología de la perspectivasinformaticas@gmail.com
Información y de la Información se torna
crucial para el mundo moderno. Actualmente, +54-11-4754-8884
la mayoría de los Servicios se ofrecen desde
plataformas informatizadas, que si bien Novedades del Sector de
facilitan que las operaciones cotidianas se Tecnología de la Información
puedan realizar en forma remota, también
exponen los datos personales a un posible Al servicio de:
robo, mal uso o divulgación no apropiada.
Tales condiciones hacen que sea necesario
tomar conciencia sobre la importancia de los
diversos mecanismos del ‘robo de
información’ y de ‘penetración’ en los
sistemas de la información.
La vulnerabilidad y el riesgo son aspectos
centrales a considerar en los sistemas, sobre
todo, dada la alta abstracción de los servicios
que se proporcionan en los ambientes de IT.
En Perspectivas Informáticas exploramos http://www.radionexo.com.ar/
métodos y técnicas que permitan tomar
conciencia de los riesgos y encontrar
soluciones para las Vulnerabilidades a las que
quedan expuestos los Sistemas de
Información
http://www.ccat.com.ar/
Nootech
Colaboradores de esta Edición:
Paula Angeleri
Roberto Langdon
Pablo De Natale
Osvaldo A Pérez
11