Documente Academic
Documente Profesional
Documente Cultură
Artefacto
Nivel Nombre del Artefacto
ID #
S-1 Plan estratégico
S-2 Análisis FODA
Metas e Iniciativas
S-3 Concepto del Escenario de Operaciones
Estratégicas
S-4 Concepto del Diagrama de Operaciones
S-5 Balanced Scorecard
B-1 Plan de Negocios
B-2 Diagrama de Conectividad de Nodos
B-3 Diagrama de Procesos
Servicios y Productos del
B-4 Procesos de Negocio/Modelo de Servicios
Negocio
B-5 Procesos de Negocio/Matriz de Servicios
B-6
B-7 Caso de Negocio de Inversiones
D-1 Plan de Gestión del Conocimiento
D-2 Matriz de Intercambio de Información
D-3 Diagrama de Transición de Objetos
D-4 Diagrama de Secuencia de Objetos
Datos e Información
D-5 Modelo Lógico de Datos
D-6 Modelo Físico de Datos
D-7 Matriz Actividad/Entidad CRUD
D-8 Diccionario de Datos / Biblioteca de Objetos
SA-1 Diagrama de Interfaz de Sistemas
SA -2 Descripción de la comunicación de sistemas
SA -3 Matriz de Interfaces de Sistemas
SA -4 Diagrama de flujo de datos del sistema
Sistemas y Aplicaciones SA -5 Matriz de sistemas/operaciones
SA -6 Matriz de intercambio de datos del sistema
SA -7 Matriz de rendimiento del sistema
SA -8 Diagrama de Evolución del Sistema
SA -9 Diagrama de Aplicaciones Web
NI-1 Diagrama de Conectividad de Redes
NI -2 Inventario de redes
NI -3 Inventario de Equipos
Redes & Infraestructura NI -4 Plano de Construcción
NI -5 Diagrama Central de Redes
NI -6 Diagrama Planta de Cableado
NI -7 Diagrama de Distribución de Racks
SP-1 Plan de Seguridad y Privacidad
SP-2 Descripción de soluciones de seguridad
Seguridad SP-3 Documento de acreditación de sistemas
SP-4 Plan de Continuidad de Operaciones
SP-5 Procedimientos para recuperación de desastres
ST-1 Perfil técnico de normas
Normas
ST-2 Prospectiva Tecnológica
W-1 Plan de la fuerza de trabajo
Habilidades del Personal W-2 Organigrama
W-3 Perfil de conocimiento y habilidades.
165
166
Una de las primeras actividades que la empresa realiza para desarrollar un plan estratégico es el
análisis de Fortalezas. Debilidades, Oportunidades y Amenazas. Este análisis mira los factores internos
y externos para determinar qué áreas de la empresa deben enfocarse en incrementar su supervivencia
y éxito, así como las áreas que la empresa debe evitar o disminuir su exposición. Los resultados del
análisis FODA se deben resumir en el plan estratégico a través de la matriz que se ilustra a
continuación. Este análisis debe ser archivado en el repositorio de AE como un artefacto primitivo por
separado (S-2). El siguiente es un ejemplo de la forma en que se resume un análisis FODA
Oportunidades
Externas
01.
Contratos
FO DO
02.
Gobierno
F5/O3:
Portales
Web
Legados D4/O3:
Implementar
AE
03.
Nueva
Tecnología
F1/O3:
Seguridad
04.
Asociaciones
Amenazas
Externas
A1:
Financiamiento
FA DA
A2.
Conductores
del
Mercado
F1/A2:
Obtención
A3.
Avance
de
la
Tecnología
requrimientos D4/A1:
Financiamiento
A4.
Ratios
de
adopción
de
TI
F6/A5:
Entrenamiento
en
TI
F1/D5:
Concientización
procesos
de
TI
El análisis FODA es también usado para ayudar a los arquitectos empresariales y planificadores
estratégicos a desarrollar los escenarios de Concepto de Operaciones (CONOPS) que detallen los
ambientes operativos actuales y futuros.
167
Ejemplo
Asunciones de Jeff Linder, Vicepresidente de Ventas Industriales en Danforth Manufacturing Company (DMC)
Planificación acababa de terminar una presentación en la Conferencia Nacional de Seguridad Vial 2008
junto con Richard Danforth, CEO de DMC, Jeff salía de la sala principal de conferencias,
cuando Andrea Newman, Director de Seguridad y Transporte del Estado de Tennessee, le
1. Capacidad de Video preguntó si podían hablar por unos minutos acerca de la nueva línea de las carreteras
Teleconferencia asistidas por energía solar que acababa de dar en una presentación.
2. Exposición de Productos
en conferencias
"Gracias por tomarse un minuto para hablar, Jeff. Quiero comentarle de una situación que
Nacionales
3. Necesidad de mantener tenemos en Tennessee y ver si su nueva línea de productos nos puede ayudar ", dijo Andrea,
discusiones detalladas de " No hay problema, gracias por preguntar ", dijo Jeff. Andrea sacó un documento en su tableta
los productos a corto y dijo: "Jeff, este es un informe que muestra un incremento en el número de accidentes graves
plazo, a nivel mundial. en las zonas rurales de Tennessee que involucran vehículos de pasajeros, equipo agrícola y
4. Disponibilidad de trabajo camiones comerciales. Lo hemos atribuido al crecimiento de las comunidades suburbanas
24x7 más lejanas más aún en el campo, que luego dependerán de caminos rurales de dos carriles
5. Incrementar las
para los desplazamientos hacia la cuidad, entonces usted tendrá una receta para el desastre
comunicaciones en áreas
suburbanas. cuando por estas transiten tractores y camiones lentos, junto con los coches que tienen prisa
6. Obtener informes para a todas horas para llegar a algún lugar, " "¿No es este problema que se observa en otros
anticipar las necesidades lugares del país?" preguntó Jeff. "Sí, y uno de los factores que contribuyen a la alta incidencia
del producto. de accidentes nocturnos es la falta de una buena iluminación en las carreteras. Pienso que la
7. Los cambios demográficos iluminación solar para carreteras desarrollada por ustedes puede ayudarnos a proporcionar
de la población, impulsan más tiempo de visibilidad nocturna en las carreteras rurales de alto riesgo sin tener que invertir
el desarrollo de nuevos
en una infraestructura de apoyo eléctrico".
productos.
8. Incremento de costes y
beneficios de la Jeff pensó un momento antes de responder. "Usted sabe, la nueva línea de luces de carretera
iluminación solar. tiene opciones para incorporar cajas de llamada de emergencia 911 y Sistema de
9. Incluir características Posicionamiento Global (GPS) que se puede conectar tanto a nivel estatal como local en
adicionales al producto primer lugar. Andrea asintió con la cabeza y dijo: "Sí, no creo que una mejor iluminación va a
para atraer clientes.
resolver todo el problema, pero va a ayudar a la gente, y las otras opciones pueden mejorar
10. Uso global de PDA´s para
comunicación entre los tiempos de respuesta de accidentes, que también salvan vidas. ¿Cuál es el precio de
empleados. estas unidades? “Jeff sacó su Asistente Personal Digital (PDA)
I/O de su bolsillo y se conectó
11. Integrar información de a la base de datos de comercialización y ventas de DMC a través del
satélite Internet link.
ventas, marketing y Andrea, estas unidades cuestan 11.300 dólares cada uno, incluyendo el GPS y funciones
producción. 911."Andrea tomó notas y respondió: "¿Si puedo conseguir el permiso para llevar a cabo una
12. Citas con clientes prueba piloto en un par de meses usted nos puede proporcionar las luces?" Jeff le preguntó
importantes sobre la
"¿Cuántos kilómetros de carretera?" "Cerca de cuatro kilómetros en el área particular 'dijo
marcha.
Andrea. "Ok, la densidad sugiere para la nueva unidad es de 18 por milla, por lo que serían 72
unidades totales. Te puedo dar un descuento del 10% por ser uno de los primeros
compradores por lo que el total serían 732.240 dólares. Déjame ver el tiempo de envío. Jeff
envió un e-mail de alta prioridad a Bob Green, Vicepresidente de Manufactura. Bob estaba en
la fábrica cuando recibió
el correo electrónico
de Jeff y previa comprobación del Sistema de
Programación de producción DMC, respondió dos minutos después, indicando que una orden
especial por 72 unidades podría ser completada y enviada en 35 días después que se recibe
el pedido. Jim transmitió esta información a Andrea, quien dijo: "Wow, eso fue rápido. Tengo
toda la información que necesito para proponer el proyecto piloto. Me pondré en contacto con
usted en la próxima semana. Gracias."
168
El siguiente diagrama CONOPS muestra como un sistema ficticio de alto nivel llamado “Sistema de
Alertas para Huracanes” llevaría a cabo su misión principal proporcionando supervigilancia controlada
del tiempo con capacidad de reporte basado en los recursos de la tierra, mar, aire y los recursos
basados en el espacio.
169
Descripción
El Balanced Scorecard sugiere Financiero
170
1. Descripción el negocio
2. Perfil del equipo ejecutivo
3. Relación entre las Actividades del negocio y las metas estratégicas
4. Estructura organizacional
5. Perspectivas del mercado y estrategia competitiva
6. Ciclos de negocio
7. Resumen de capitalización
8. Estrategia financiera
9. Resumen del estado financiero actual
10. Asociaciones y alianzas de negocio
171
172
173
Controles
IDEF-0 es una actividad de modelado que es adecuada para documentar procesos de negocio
en los que se provee vistas tanto de alto nivel como de contexto, y vistas más detalladas de
cada paso de la actividad en un formato que puede ser descompuesto e interrelacionado con
otros procesos con la finalidad de mostrar interconexiones. Este tipo de diagrama es usado
para mostrar conexiones entre los pasos y las influencias internas/externas.
174
La matriz Actividad/Producto mapea el ciclo de vida de los ingresos por producto que cada empresa
El ciclo de vida del producto ilustrado en este ejemplo tiene cinco pasos secuenciales (investigación y
desarrollo, manufactura, almacenamiento, ventas/distribución y servicios) y dos funciones
administrativas paralelas (financiera y legal). El ciclo de vida del producto es diferente dentro de
algunas empresas, por lo que se pueden hacer ajustes a la matriz B-5.
175
Ejemplo
176
Ejemplo
177
Ejemplo
Plan de Contenidos
178
Ejemplo
La matriz también identifica los eventos que disparan el intercambio de información. (Ej: establecer la
programación o los requerimientos ciudadanos).
179
Ejemplo
180
Ejemplo
181
Ejemplo
182
Ejemplo
183
Ejemplo
184
Ejemplo
185
Ejemplo
186
Ejemplo
187
Ejemplo
188
Ejemplo
1. Captura y describe las funciones del sistema y los flujos de datos entre estos.
2. Documenta las jerarquías funcionales del sistema.
3. El principal propósito es :
• Desarrollar una clara descripción de los flujos necesarios del sistema,
entradas y salidas para cada sistema.
• Asegurar que la conectividad funcional está completa
189
Ejemplo
190
Ejemplo
La Matriz de Intercambio de Datos del Sistema, describe en formato tabular, el intercambio de datos entre
los sistemas de un nodo de sistemas o a través de nodos de sistemas. El enfoque de una Matriz de
Intercambio de Datos se centra en como el intercambio de datos es actualmente (o será) implementado, en
sistemas específicos que cubren características tales como datos y protocolos específicos o formatos.
Estos aspectos de intercambio, aunque difíciles de documentar, son críticos para entender el potencial de
los gastos generales y las restricciones de seguridad introducidas por los aspectos físicos de la aplicación.
La matriz se relaciona y crece a partir de la Matriz de Intercambio de Información. Es decir, la parte
automatizada de cada intercambio de información está asociada con la interfaz del sistema que transporta
los datos del sistema correspondientes en la Descripción de Interfaces del Sistema. Las características del
negocio para el intercambio de información son reemplazadas con las características del sistema de
intercambio de información correspondiente.
191
Ejemplo
192
Ejemplo
193
Ejemplo
194
Ejemplo
195
Ejemplo
196
Ejemplo
197
Ejemplo
198
Ejemplo
199
Ejemplo
200
Ejemplo
201
Ejemplo
1. Introducción
Purpose of the IT Security Program
Principles of IT Security
Critical Success Factors
Intended Outcomes
Performance Measures
2. Políticas
Guía ejecutiva
Guía técnica
Ley y reglamento de políticas aplicables
3. Requisitos de Información
Roles y responsabilidades de Programa de Seguridad de TI
Planificación e Hitos del Programa de Seguridad de TI
Reporte de Incidentes de Seguridad de TI
4. Concepto de Operaciones
IT Security Threat Summary
IT Security Risk Mitigation
Integration with Enterprise Architecture
Component/System Security Plans
202
Ejemplo
203
Ejemplo
1. Plan de seguridad del sistema. Esta primera sección del documento de acreditación del sistema
proporciona una visión general del contexto de negocios en el que funciona el sistema de información,
establece el estado de seguridad actual del sistema (última acreditación), y resume el contenido y la
búsqueda de otros documentos de acreditación.
2. Evaluación de riesgos del sistema. En esta sección del documento se utiliza un formato normalizado
para que aparezcan las zonas de riesgo del sistema de información en las cuatro principales áreas de
seguridad que se tratan en artefacto SP-2; físicas, de datos operativas y de personal. Asigna un nivel de
riesgo en función del contexto de negocios para las operaciones del sistema las operaciones y el tipo de
datos del sistema que se va a proteger. Proporciona estrategias de remediación de riesgos de seguridad
(como evitar un riesgo de seguridad, o tratar con él si se produce un problema) para cada área de riesgo
que se identifica.
3. Prueba del Sistema y Evaluación. También se llamada "prueba de penetración. La sección Prueba y
Evaluación del Sistema (ST & E) del documento, presenta los resultados de una prueba en vivo que intenta
entrar en el sistema a través de procedimientos de inicio de sesión normal en los, así como los intentos de
sobrecargar el sistema (denegación de servicio), o infectar el sistema con un virus activo, gusano, u otro
tipo de elemento problemático que reduce o elimina la funcionalidad de sistema de información.
4. Plan de Remediación. Esta sección del documento contiene el estado de las acciones correctivas
adoptadas para solucionar todos los riesgos de seguridad encontrados durante la evaluación del riesgo.
5. Aprobación para operar. Esta sección del documento es la aprobación formal (firmado) para operar el
sistema de información que es proporcionada por la persona designada por la empresa (por lo general el
director de información o el Administrador de seguridad de TI).
204
Ejemplo
INICIO Y ADMINISTRACIÓN DEL PROYECTO
Estos criterios permiten establecer la necesidad de la Administración de Continuidad de Negocios de los procesos o funciones,
incluyendo la capacidad de recuperación, objetivos de recuperación, planes de continuidad del negocio y de manejo de crisis,
incluyendo el apoyo de la Dirección y organizar y manejar el desarrollo de la función o proceso, ya sea en colaboración con, o como
un componente clave de una iniciativa integrada de manejo de riesgos.
EVALUACIÓN Y ANÁLISIS DE RIESGO
La evaluación y análisis del riesgo permitirá determinar los eventos y los factores externos que pueden afectar en forma adversa a la
empresa y sus instalaciones con una interrupción o un desastre, el daño que dichos eventos pueden causar y los controles necesarios
para prevenir o minimizar los efectos de pérdidas potenciales. Proporcionar un análisis de costo beneficio para justificar la inversión en
controles para mitigar los riegos.
ANÁLISIS DE IMPACTO AL NEGOCIO
Analizar e identificare los impactos que resultan de escenarios de interrupciones y desastres que puedan afectar a la empresa y las
técnicas que puedan utilizarse para cuantificar y cualificar dichos impactos ha permitido a la empresa el establecer las operaciones
críticas, sus prioridades de recuperación y sus interdependencias, de tal manera que puedan establecerse los Objetivos de Tiempo de
Recuperación (RTOs).
DESARROLLO DE ESTRATEGIAS BC/DR
Determinar y guiar en la selección de alternativas de estrategias de recuperación del negocio para la recuperación del negocio y
tecnologías de información dentro del objetivo de tiempo de recuperación, mientras que se mantienen las funciones críticas de la
compañía.
PREPARACIÓN Y RESPUESTA DE EMERGENCIA
Desarrollar e implementar procedimientos para respuesta y estabilización de la situación después de un incidente o evento,
incluyendo el establecimiento y manejo del Centro de Operaciones de Emergencia a ser usado como un centro de comando durante
una emergencia.
DESARROLLO E IMPLEMENTACIÓN
Se deberá diseñar, desarrollar e implementar planes de Continuidad y Gestión de Crisis que cumplan con la recuperación de las
actividades del negocio dentro de un marco de tiempo aceptable.
CONCIENTIZACIÓN Y CAPACITACIÓN
Preparar un programa para crear conciencia corporativa y mejorar las habilidades requeridas para desarrollar, implementar, mantener
y ejecutar el Plan para la continuidad del negocio.
MANTENIMIENTO Y ACTUALIZACIÓN DE PLANES
Se ha planificado y coordinado ejercicios de los planes además de evaluar y documentar los resultados.
Desarrollar procesos para mantener actualizada la capacidad de recuperación y la documentación de los planes según la dirección
estratégica de la organización. Igualmente se ha verificado que los planes son efectivos al compararlos contra un estándar adecuado,
y reporta los resultados de manera clara y concisa.
COMUNICACIÓN DE CRISIS
Desarrollar, coordinar, evaluar y probar planes para comunicarse con involucrados internos (empleados, gerentes, etc.) involucrados
externos (clientes, accionistas, proveedores, etc.) y los medios de comunicación (prensa, radio, televisión, Internet, etc.)
COORDINACIÓN CON AUTORIDADES EXTERNAS
Se han establecido los procedimientos necesarios para coordinar las actividades de respuesta, continuidad y restauración con las
agencias externas (locales, estatales, nacionales, respuesta de emergencia, defensa, etc.) mientras se asegura el cumplimiento con
estatutos y regulaciones aplicables.
Ver Norma BS 25999
Ver Norma ISO 22399
205
Ejemplo
La activación del Plan de recuperación de desastres puede que tenga que llevarse a cabo en medio de una
catástrofe natural o de origen humano que hace claridad, brevedad, integridad y flexibilidad (copias de
seguridad) para el éxito. Los siguientes son algunos de los elementos recomendados en el Plan de
Recuperación de Desastres:
4. Impacto de desastres y evaluación de la recuperación. Una matriz estándar para evaluar el tipo
y la duración de la interrupción, así como los sistemas y funciones en toda la empresa que se ven
afectados. Dependiendo del tipo de corte de luz y el período previsto de interrupción (minutos,
horas, días), el procedimiento de recuperación puede variar.
3. Procedimientos de recuperación. Los procedimientos que se utilizan para restaurar las funciones
de la empresa y / o del sistema que han sido interrumpidos. Algunos ejemplos son:
• Cortes eléctricos
• Interrupción aire acondicionado/calefacción
• Daños en la edificación (fuego, inundación, terremotos)
• Infección viral en los sistemas de información
• Perdida de comunicación de datos internos y externos
• Perdida de comunicación telefónica interna y externa
206
Ejemplo
207
Ejemplo
208
Ejemplo
o Línea de Negocio A
o Línea de Negocios B
o línea de negocio C
o línea de negocio D
o Línea de Negocio A
o Línea de Negocios B
o Línea de negocio C
o Línea de negocio D
209
Ejemplo
210
Ejemplo
211