Documente Academic
Documente Profesional
Documente Cultură
6
SOA …………………….. 4 Número 6
Perspectivas
Informáticas
LA DIMENSION INFORMATICA DE LAS EMPRESAS
El Cuerpo Esencial de
Conocimiento de Seguridad de
Tecnología de la Información
http://riesgoseguridadinformacion.blogspot.com/
Eye on Flat Panel Image by © Royalty-
En los Números Anteriores: EEUU; en conjunto con diversos representantes
Costo y Beneficio de la Planificación de la Academia y la Industria tratando de Free/Corbis
El eje de trabajo se centra en la integración de las
Ciclos de Vida y Planificación establecer las ‘mejores prácticas’ para una
diversas Certificaciones existentes en el mercado,
operación segura de los sistemas de información.
de forma de homogenizar un conjunto
Cuerpo de Conocimiento Su primer versión data de Octubre de 2007, en
estandarizado de competencias y de habilidades.
Un Cuerpo de Conocimiento está relacionado tanto que la segunda versión es de Septiembre del
Tal cuerpo de conocimiento integra y expande a
con alguna profesión y configura un conjunto 2008.
varias iniciativas privadas, de diferentes empresas
definido de principios y conceptos conocidos y asociaciones, como es el caso de COBIT y de
que aquellas personas que se dedican a tal otras certificaciones relacionadas con la
profesión deben conocer. Seguridad de la Información.
En este articulo desarrollamos el Cuerpo
Esencial de Conocimiento de Seguridad de la El objetivo esencial del IT Security EBK es el de
Tecnología de la Información; (IT Security proporcionar un marco sobre funciones, tareas y
EBK); desarrollado por el DHS-NCSD competencias con el cual se pueda comprender y
(Department of Homeland Security - National organizar la problemática de la seguridad de la
Cyber Security Division) de los EEUU. información en los entes gubernamentales y en
las empresas, para lo cual establece 14 áreas de
El objetivo central de tal cuerpo de competencias y 10 Roles de la Seguridad de los
conocimiento es el de prevenir los Sistemas de Información.
ciberataques dentro del ciberespacio. La idea
fuerza es la de que el personal involucrado
con la Seguridad de la Tecnología de la
Proceso de Desarrollo del Marco
Información debe ayudar a proteger el Funcional y de Competencias
sistema de los ciberataques, en lugar de En el proceso de desarrollo del Cuerpo de
desconocerlos o colaborar involuntariamente Conocimientos se consideraron seis fases:
con ellos.
1) Desarrollo de Competencias Genéricas a partir
El desarrollo del IT Security EBK se inició en de los Niveles de Habilidad del Aseguramiento de
el año 2003 bajo la esfera del NCSD la Información.
(National Cyber Security Division), del DHS
(Department of Homeland Security) de los
1
Desarrollar Competencias Genéricas
Proceso de Desarrollo del Marco
a partir de los Niveles de Funcional y de Competencias
1 Aseguramiento de la Información
s Funciones
Identificar los Roles Genéricos a
i
4 de la Seguridad de IT c Gestionar Diseñar
n
e
t
e
Categorizar las Funciones p
5 según ¨la Perspectiva (M, D, I, E) m
o
C Implementar Evaluar
Mapear los Roles con las Competencias
de las Perspectivas Funcionales
6
3
Las actividades de soporte incluyen la del Cumplimiento de la Seguridad de TI. Es el aprovisionamiento desde el punto de vista de la
evaluación del riesgo, la mitigación del riesgo, encargado de supervisar, evaluar y revisar la seguridad de la información.
la selección de los controles de seguridad, la problemática de cumplimiento con las diferentes
implementación y la evaluación, y el regulaciones y normas que atañan a la Conclusión
cumplimiento de las normas de seguridad del problemática de la seguridad de la información
software. en la empresa. Podemos observar un gran error en la
asignación de los nombres de los encargados
Roles, Competencias y e) IT Security Engineer. Ingeniero de la de seguridad, aun en ingles; pues si bien, sus
Seguridad de TI. Realiza una función funciones de Seguridad de la Información se
Perspectivas Funcionales de la interdisciplinaria para poder desarrollar los describen en le IT Security EAB; sus funciones
Seguridad de la Tecnología de la sistemas de seguridad de la tecnología de se solapan con otras funciones de Sistema y de
Información. información. Tecnología de la Información. Como ejemplo
En el IT Security EBK se reconocen 10 roles citaremos el IT System Operation and
diferentes de Seguridad de TI. f) IT Security Professional. Profesional de la Maintenance Professional. Tal función se centra
Lamentablemente deberemos dejar los Seguridad de TI. Se concentra en la protección en el Jefe de Operaciones (o nombre similar), y
nombres en ingles, sin traducir, pues no se ha de la información y de los sistemas de engloba todos los aspectos de la operación de
homogeneizado una denominación en español, tecnología de la información para evitar los sistemas, y no solo los de seguridad. Solo
como jefe, gerente, director, o encargado. accesos indebidos a la información. en organizaciones de muy gran envergadura tal
función podría desdoblarse por lo cual el
a) CIO (Chief Information Officer). Encargado g) IT System Operation and Maintenance Encargado de la Seguridad de la Operación
de la Información de la Empresa Professional. Encargado de la Operación y debería responder tanto a los lineamientos de
Es el encargado de la estrategia de la Mantenimiento de los Sistemas de TI. Realiza Seguridad como a los lineamientos de la
seguridad de la información. Especifica un las tareas asociadas con la operación del día a Operación de los Sistemas. En este aspecto
sistema de métricas global para toda la día de los sistemas de seguridad de la consideramos que el Cuerpo de Conocimiento
organización. información. aun no ha incluido otros aspectos de los
Sistemas ni ha sido tenido en cuenta por otros
b) Digital Forensics Professional. Encargado h) Physical Security Professional. Encargado aspectos de los Sistemas, dada su tan reciente
de la Forensia Digital. Realiza un conjunto de de la Seguridad Física. Protege los equipos aparición
análisis y procedimientos de alta complejidad físicos relacionados con la tecnología de la
técnica para determinar las causas de un información así como las instalaciones, en lo Autor: Osvaldo A Pérez
incidente de seguridad a partir de la referente a acceso físico y catástrofes o
recuperación de la información y los estados accidentes naturales.
operativos al momento de producirse tal En los próximos números:
incidente. i) Privacy Professional. Encargado de la Estructura de Conocimiento de Proyectos
Privacidad. Es el encargado de gestionar el Funciones, Procesos y Proyectos
c) ISO (Information Security Officer). programa de cumplimiento con la privacidad de
Mejora, Emergencia e Innovación
Encargado de la Seguridad de la Información. datos.
Es el encargado de la definición estratégica de Ciclo de Vida de Sistema
la seguridad de la información y de la seguridad j) Procurement Professional. Encargado del
física de la información. Aprovisionamiento. Es el encargado de realizar
el seguimiento y la gestión del proceso de
d) IT Security Compliance Officer. Encargado
5
requerimientos, y también contar con una
arquitectura que soporte dichos cambios.
Al parecer tanto SOA como las Metodologías modificar muchas partes, sino cambiar unas
Ágiles nos resuelven este problema, ya que por pocas.
medio de ellas podemos ir realizando entregas e Lograr ciclos de vida cortos, además de
ir escalando el sistema en forma proporcional a depender de la gestión del proyecto (por ej.
medida que avanza el desarrollo. Esto es muy Scrum con SOA es algo recomendable),
importante para que el cliente no tenga que también depende de la flexibilidad de la
esperar hasta el final del mismo para ver si el arquitectura.
software es lo que el nos pidió (o se imagino).
Es por esto que SOA se puede combinar con
Es posible sin duda aplicar las Metodologías proyectos gestionados mediante las llamadas
Ágiles en proyectos basados en SOA, además de metodologías ágiles, estas metodologías
Celtix Open Source Enterprise ser muy recomendable, ya que otras intentan realizar entregas (sprints en Scrum) en
Service Bus metodologías más tradicionales no aprovechan el tiempos menores a 30 días. Con SOA esto es
potencial que nos da SOA en cuanto a la gestión posible, una vez que tenemos los pilares de
Celtix es una solución de Enterprise Service
del proyecto (por ej. SOA nos permite manejarlo nuestra arquitectura desarrollados, los nuevos
Bus (ESB) que esta lista para su utilización en
de manera incremental). componentes y/o servicios se “enchufaran” a
ambientes productivos. Se puede utilizar sin
A pesar de contar con el terreno casi servido - nuestra arquitectura por medio de las interfaces
requerir de software comercial. Celtix simplifica
¿teniendo SOA y las Metodologías Ágiles es y se comunicaran con el resto del sistema a
la construcción, integración, y flexibiliza la
posible que el proyecto fracase? - es necesario través de mensajes, de esta manera la
reutilización de componentes técnicos y de
contar con personas que sepan de ambos temas, dificultad de agregar una nueva funcionalidad a
negocio utilizando estándares, y una
porque como ya dijimos en el trabajo, acá no hay una solución que está funcionando
arquitectura orientada a servicios (SOA). Celtix
receta alguna para garantizarnos el éxito del perfectamente se reduce significativamente.
está realizado por la comunidad Open Source,
produciendo una rápida innovación. Celtix es desarrollo.
Al contrario de las metodologías tradicionales, las Ahora bien, ¿es SOA la solución definitiva a
sustentado por IONA, empresa líder
metodologías como Scrum y XP requieren de un todos los desarrollos? Definitivamente no, si
establecida en SOA y tecnología de
Project Management mucho más activo, ya que bien logra resolver muchos de los problemas
integración.
además del trabajo del Project Management, este con que nos encontramos a diario, hay algunas
deberá estar continuamente en contacto con los desventajas de utilizar SOA, entre las que
Apache ServiceMix participantes del desarrollo (desarrolladores, destacamos las siguientes:
Es un Enterprise Service Bus (ESB) que arquitectos, clientes, diseñadores, etc.).
combina la funcionalidad de una arquitectura Se requieren profesionales muy buenos,
orientada a servicios (SOA) y una arquitectura Cualquier solución de software que se quiera fundamentalmente para lograr que la solución
que maneja eventos (EDA). ServiceMix es un desarrollar hoy en día, tiene que pensarse en
ESB de distribución open source realizado tenga un bajo acoplamiento. Un sistema que no
base a los siguientes factores claves: cumpla con esta premisa, luego será dificultoso
sobre la plataforma Java Business Integration escalabilidad, bajo mantenimiento, ciclos de vida
(JBI) de acuerdo a la especificación JSR 208 y de mantener y poco escalable.
cortos.
lanzado bajo la licencia de Apache. La meta de Con una arquitectura SOA, al contar con el La tecnología a utilizar debe soportar la
JBI es permitir que los componentes y los concepto de Bus de Servicios, estos factores se arquitectura SOA. Entre las tecnologías
servicios se integren de manera independiente satisfacen. disponibles se destacan las soluciones Java
del vendedor, de manera plug and play para los Para aprovechar al máximo los beneficios de esta (J2EE) y .NET
usuarios y vendedores. arquitectura es fundamental separar bien los
servicios, lograr que cada uno de ellos ataque Como consecuencia inmediata de los puntos
Conclusiones solo un problema para que haya bajo
anteriores, el costo de una solución de SOA es
Hoy en día es casi impensable realizar un acoplamiento entre ellos. Será esta característica
la que nos va a permitir lograr una alta más alto. Aunque luego lo recuperemos por
relevamiento y que los requerimientos no
cambien hasta que el software se entregue, por escalabilidad. tener un bajo mantenimiento y una alta
lo tanto es necesario contar con metodologías También nos garantizaremos el bajo escalabilidad, la inversión inicial es más alta.
que permitan controlar los cambios de los mantenimiento, ya que ante cualquier pedido de
cambio que nos hagan, no tendremos que En síntesis, siempre que el proyecto sea lo
fi i t t l j i t
Los Sistemas de Información se iniciaron con la Los sistemas esenciales de una empresa se Sistemas de Contabilidad y de
contabilidad, de lo hecho, los registros históricos centran, por un lado, en el inventario, de todos
se iniciaron con la contabilidad, ya que la aquellos bienes perdurables que conforman la
Producción.
Los Sistemas de Contabilidad y de
escritura se comenzó a utilizar para registrar empresa, y por otro lado en la facturación y
Manufactura o producción se mezclan en su
mercadería y eventos comerciales a los cuales transacciones relacionadas con los insumos
desarrollo histórico, dado que se requiere un
se les pudiera aplicar algún tipo de impuesto de necesarios para generar los productos o
sistema para la Planificación de los Recursos,
‘la autoridad central’. De alguna manera esto servicios que ofrece la empresa. A los dos
y tales recursos deben ser contabilizados
explica el porqué no existen registros escritos de anteriores se suman el conjunto de informes
tanto por control de stock como a los fines
conglomerados humanos nómades, que carecen necesarios para determinar la marcha de la
impositivos.
de autoridad central. empresa, tanto interna, como externa (con sus
En la literatura se puede encontrar el grupo
clientes, competidores, reguladores y
de sistemas para la contabilidad como
Recorrer todo el camino histórico, desde los accionistas).
Sistemas de Información de Contabilidad; AIS
inicios hasta la informatización, sería demasiado Sobre la base de estos tres tipos de sistemas
(Accounting Information System); en tanto
largo y tedioso, por ende nos concentraremos analizaremos la evolución de los sistemas de
que los Sistemas para Planificación de
solo en la evolución actual de los Sistemas de información utilizados en la actualidad.
Recursos se inician con los MRP, (Material
Información en la Empresa.
6
Origen de los ESS
Aplicativos Informáticos ‘ofrecieran servicio’ a los diferentes programas
Informes que debieran hacer uso de los datos.
MIS Evidentemente el siguiente paso consistió en
Ejecutivos DSS
realizar la integración a varias aplicativos
Análisis similares en un único Sistema de Información
Preparación que resolviera el problema diversas funciones
Informes Informes empresariales, pero manteniendo una misma
interfaz de usuario y funciones operativas
comunes.
Sistema ERP es aquel que Gestiona la escribir, calculadora, tablero de dibujo, etc). No
Operación de una Empresa, e incluye todos los son Sistemas Empresariales en si mismos, sino
módulos y subsistemas necesarios para poder herramientas, que todo empleado necesita.
conocer la marcha de las Operaciones de una Herramientas con las cuales se manipula
Empresa. información de la empresa y se generan
documentos que pueden poseer alto valor para la
Un ERP no debiera procesar la información empresa. De allí la necesidad de que estas
estratégica de una empresa, pudiendo o no herramientas sean compatibles con la
gestionar la información funcional de la empresa. información de la empresa, puedan extraer
Conclusión:
La información estratégica debiera quedar a Tanto la Tecnología de la Información como los
información de los Sistemas Empresariales y
cargo de sistemas especializados que ofrecerán Sistemas de la Información han proliferado, al
más importante aún, puedan ingresar
mejor rendimiento y conocimiento a partir de la menos, durante los últimos 60 años. Tanto su
información a los Sistemas Empresariales en
información que se extraerá del ERP. La velocidad de desarrollo como la proliferación de
forma transparente y con integridad con respecto
información funcional puede ser estándar, como diversas soluciones para las empresas han
a la información empresarial que ya se encuentra
el caso de la información para Contabilidad, o generado un alto grado de confusión en los
en tales sistemas.
muy especializada, como una información usuarios y en los tecnólogos, que a la hora de
técnica muy específica, (ej laboratorios tomar decisiones resultan perdidos en una selva
medicinales). Por lo cual la información funcional
Los Sistemas de Conocimiento. repleta de técnicas de opciones, de variantes que
podrá o no ser procesada por el ERP en función En la actualidad toda empresa debe contar con transforma el proceso de selección en una tarea
de su grado de homogeneidad con otras un Sistema de Conocimiento, pero debe ser muy ardua y riesgosa.
empresas o de especialización con otras cauta al respecto, pues no todo lo que el En este artículo hemos alineado a los Sistemas
empresas de su mismo rubro. mercado ofrece es en realidad un Sistema de de Información con los Sistemas Empresariales y
Conocimiento. a las técnicas de Sistemas como los Modelos
Organizacionales. En futuros artículos
Los Sistemas de Trabajo del Conocimiento, KWS ampliaremos el detalle y la precisión sobre
(Knowledge Work System) son sistemas que diversas tecnologías que permiten consolidar
parten del conocimiento de varias fuentes. Sistemas Empresariales eficientes ya adaptados
Algunos solo se centran en un Datawarehouse, a las necesidades de las empresas.
que permite capturar relaciones no evidenciadas
a partir de la propia Base de Dato de la empresa.
Otros ofrecen mecanismos para captar o generar Autor: Osvaldo A Pérez
verdadero conocimiento a partir del análisis de
documentos y de otras tendencias que permiten En los próximos números:
encontrar rápidamente las tendencias del
mercado y el posicionamiento actual y previsto Servicio: Estructura y Arquitectura SOA (Service
de la empresa en tales condiciones. Oriented Architecture)
El KWS es el motor de base para los Sistemas Arquitectura: Arquitecturas Empresariales
de Soporte al Ejecutivo, ESS (Executive Support
System), en donde la Toma de Decisiones y la Modelo: ¿UML? (Unified Modeling Language)
8
La Seguridad Informática es un tema de Sentido Común:
Sepamos Actuar
Ya se sabe que la globalización ha modificado dado que existe conocimiento de las
las formas de vida de la gente a nivel mundial, no la seguridad de que todos los accesos posibles
consecuencias que ello podría acarrear.
solamente las modalidades de hacer negocios, desde el exterior están bajo control. Si se
sino también las modalidades de sufrir penurias La seguridad informática debe entenderse y encuentra alguna ventana abierta o puerta mal
y delitos. Los ataques informáticos son un claro manejarse con sentido común. cerrada, se procederá a avisar y cerrarlos. Lo
ejemplo de ello, y esto no es privativo de las mismo se verifica con un análisis de
grandes corporaciones o los bancos, sino que Una acción de recibir una encomienda o sobre,
vulnerabilidades, donde se verifican si todos los
afecta a todos por igual. implicará verificar si tiene formato válido, si se
accesos posibles a las redes y recursos del
puede conocer o intuir su contenido, si el paquete
Países como Estados Unidos, China y Alemania cliente, son accesibles desde el exterior, con
viene limpio, o si hay que desinfectarlo por las
(primero, segundo y tercero en ranking de técnicas de hacking ético, es decir notificar las
dudas, y si es muy grande, se verificará por rayos
atacantes) tienen organizaciones delictivas que vulnerabilidades encontradas, sin ejercer daño
usan granjas de servidores al sólo efecto de equis. Esto es comparable con el uso de antivirus
alguno a través del aprovechamiento de las
rastrear direcciones IP vulnerables, sin importar para la protección de los mails que se reciben,
mismas. Las recomendaciones pertinentes se le
si detectan la de un banco o la de un kiosco. Una para que no tengan virus u otro tipo de
indicarán luego al cliente.
vez que ingresan, allí sí verifican el nivel de daño contaminación., y si los tiene, eliminarlos o
o usufructo que pueden llevar a cabo. El tratarlos en cuarentena. Ahora si queremos saber cuán resistentes son
phishing creció un 400% del 2005 hasta ahora. nuestras medidas de seguridad, deberemos
Según Panda Security, los troyanos bancarios Cuando queremos proteger el acceso a nuestro
verificar que las ventanas además de estar
crecieron un 435% sólo entre 2006 y 2007. espacio de oficina o vivienda, es obvio que esto
cerradas soporten intentos de rotura, que la
no se aplica, y se requiere de algo o alguien que
puerta de acceso principal sea robusta, evaluar
actúe como un servicio de control de acceso
qué facilidades existen para acceder a la caja de
como una persona de vigilancia que verifica, por
seguridad o valores, etc. Salvando las distancias,
ejemplo, que sólo ingrese gente al edificio
esto es equivalente a un Penetration Test, donde
debidamente identificada con su nombre y
se verifica si las medidas de seguridad externas
apellido. Esto es equivalente a lo que realiza un
e internas soportan cualquier tipo de ataque a
firewall.
través de probar distintos exploits, los que en
Ahora bien, para permitir el ingreso de esa caso de ser exitosos, pueden dejar fuera de
persona al edificio el mismo sistema de seguridad servicio al recurso que se está probando.
deberá saber si dicho individuo es un empleado
de la empresa, un visitante o un simple
delincuente para lo que se requiere otro tipo de
inspección y revisión. Esto en seguridad
informática lo realiza un Sistema de Prevención
de Intrusos (IPS), que verifica el contenido de los
Estos riesgos también aplican cuando la gente “paquetes” que están intentando ingresar a la red
en su casa accede a soluciones de home de una empresa, y que obedeciendo a reglas
banking, sin tener la protección mínima y prefijadas o heurísticas, puede tomar la decisión
fundamental que radica en un antivirus, un de descartar ese paquete, impidiendo su ingreso
antispyware y un personal firewall con IPS a la red.
(Intrusión Prevention System) integrado, todo
esto solamente para asegurarse que nadie
acceda fácilmente a sus datos del banco,
usuario, cuenta, password y tarjetas de crédito, Continuando con la comparación de una persona
entre otros. que intenta entrar a una empresa y los pasos que
debe cumplir para lograrlo, tratemos de imaginar
La respuesta a estos nuevos desafíos que que finalmente logró hacerlo. En tal sentido, es
plantean las sociedades hiperconectadas está al importante destacar que los mecanismos de
alcance de todos. De hecho, existe una serie de seguridad continúan activos, dado que esa
soluciones para que cualquier usuario particular
misma persona tiene que salir del edificio en Como podrán ver, el sentido común
o empresa de cualquier tamaño, pueda tener
implementado un servicio de seguridad, y cuestión y su estadía también es materia de demuestra una fuerte similitud entre lo que
escalable acorde a su crecimiento. control. Volviendo a lo que en materia de hacemos, y lo que pretendemos que haga la
seguridad informática se refiere, eso es seguridad informática. Es sólo sentido
En la actualidad se puede disponer de soluciones equivalente al procesamiento de logs y común, conocer los riesgos de los que
muy robustas, con posibilidad de gestión remota, correlación de eventos, donde se identifican tipos queremos protegernos, y saber las técnicas
y con costos sustancialmente menores a los que de ataque y origen de los mismos, para que sean de protección disponibles. Está en nosotros
se encuentran en appliances de hardware. Pero bloqueados, y se remedien los daños provocados, tomar conciencia, perder el miedo a lo
sin tomar conciencia de que los ataques ya sea por nuevas reglas de seguridad, o por cibernético, y simplemente, protegernos.
informáticos afectan a todos por igual no se restauración de archivos con los últimos backups
puede evaluar su riesgo y menos aún tomados.
dimensionar la gravedad de sus consecuencias.
Una inspección alrededor de la casa verificando Roberto Langdon
A modo de ejemplo, en la vida cotidiana, a nadie
que todas las ventanas estén cerradas y la puerta Presidente
se le ocurriría dejar sus documentos personales
principal tenga sus cerrojos pasados, demuestra 2MINDS Servicios Informáticos
o las llaves de su casa al alcance de extraños
rlangdon@2mindsarg.com.ar
9
Gestión de los Servicios de TI
http://costobeneficiodelaplanificacion.blogspot.com/
La norma ISO/IEC 20000
controlada.
Las ventajas competitivas de una empresa se para los procesos para la provisión de servicios
han desplazado desde los productos a los de IT alineada con el ciclo Deming “Planificar- c) Grupo de Proceso de Entrega de Servicios
servicios. La prestación de Servicios de Hacer-Verificar-Actuar (PHVA) conocido como Este grupo se descompone en los siguientes
Información se comenzó a regularizar con un “Plan-Do-Check-Act (PDCA)”. subprocesos:
conjunto de iniciativas conocidas como ITIL
(Information Technology Infrastracture Library) y Estructura: Gestión de los niveles de servicio: su objetivo es
el conjunto de normas desarrollado por la British En la primera parte, de especificación, se definen definir, acordar, registrar y gestionar los niveles
Standart, BT15000-1 y BT 15000-2, tomadas 217 requerimientos que son necesarios para de servicio.
como referencia para el desarrollo de las Normas generar una estructura de servicios de IT que
ISO/IEC 20000. queden alineados con las necesidades del Informe del servicio: su objetivo es el de producir
negocio, ofrezcan valor a los clientes, y a la vez informes que faciliten la toma de decisiones.
El JTC1 de ISO/IEC ha aprobado una serie de optimicen los costos al garantizar la provisión de
normas orientada a dar respuesta a las los servicios en todo momento. Continuidad del servicio y gestión de la
necesidades de estas empresas: la serie El marco de procesos diseñado se organiza en disponibilidad: su objetivo es asegurar la
ISO/IEC 20000, en proceso de elaboración como base a los siguientes bloques: continuidad del servicio acordado en todas las
norma IRAM. circunstancias.
a) Grupo de procesos de Provisión del Servicio.
La ISO/IEC 20000 – Tecnología de la b) Grupo de procesos de Control. Presupuestación y contabilización de costos: su
Información – Gestión de los servicios consta c) Grupo de procesos de Entrega. objetivo es presupuestar y luego registrar y rendir
de 2 partes. En la parte 1 define los requisitos d) Grupo de procesos de Resolución. cuentas por el costo de los servicios.
para evaluar la calidad con que un proveedor e) Grupo de procesos de Relaciones.
brinda sus servicios de TI. En la parte 2 se Gestión de la capacidad: su objetivo es asegurar
especifican las mejores prácticas para la gestión En la segunda parte, del Código de Prácticas, se que en todo momento se dispone de la
de los servicios. representa un conjunto de mejores prácticas capacidad suficiente para cumplir con las
adoptadas y aceptadas para la Gestión de necesidades del negocio del cliente.
Servicio de IT. Tales prácticas se basan en el
estándar ITIL (Information Technology
d) Grupo de Procesos de Resolución
Infrastructure Library), que se utiliza como guía y
Este grupo se descompone en los siguientes
soporte para el establecimiento de acciones de
subprocesos:
mejora en el servicio o preparación de auditorías.
Gestión de incidentes: su objetivo es restaurar el
servicio acordado con la organización tan pronto
como sea posible y responder a las solicitudes
de servicio.
e) Procesos de Relaciones
Este grupo se descompone en los siguientes
subprocesos:
10
Editorial
Con la Colaboción de; Septiembre 2009 Perspectivas
Informáticas
La Seguridad de la Tecnología de la perspectivasinformaticas@gmail.com
Información y de la Información se torna
crucial para el mundo moderno. Actualmente, +54-11-4754-8884
la mayoría de los Servicios se ofrecen desde
plataformas informatizadas, que si bien Novedades del Sector de
http://www.itsb.com.ar facilitan que las operaciones cotidianas se Tecnología de la Información
puedan realizar en forma remota, también
exponen los datos personales a un posible Al servicio de:
robo, mal uso o divulgación no apropiada.
Tales condiciones hacen que sea necesario
tomar conciencia sobre la importancia de los
diversos mecanismos del ‘robo de
http://www.2mindsarg.com.ar
información’ y de ‘penetración’ en los
sistemas de la información.
Los miércoles a las 10:00 Hs; a las 14:00 Hs y En Perspectivas Informáticas exploramos http://www.radionexo.com.ar/
a las 20:00 Hs y los jueves a las 17:00 Hs métodos y técnicas que permitan tomar
Participe de Nuestros Blogs en conciencia de los riesgos y encontrar
soluciones para las Vulnerabilidades a las que
www.perspectivasinformaticas.blogspot.co quedan expuestos los Sistemas de
m/
Información
http://www.ccat.com.ar/
Nootech
11