Consultoría TBANC

CONSULTORÍA TBANC
I INTRODUCCIÓN
El grupo de profesionales que conforma TBANC pone a su disposición una combinación de
muchos años de experiencia en el diseño, administración y operación de tecnologías de in-
formación con una constante e innovadora actualización en estas disciplinas y en las tenden-
cias actuales de las tecnologías de información y comunicación (TIC).

A través de las consultorías que brindamos, usted obtendrá resultados que combinan una vi-
sión estratégica y actualizada con recomendaciones y propuestas concretas que le permitirán
enfrentar los retos que necesariamente involucra la implantación de las TIC en su empresa o
institución.

Las amenazas que se ciernen sobre sus activos informáticos, ya sean de carácter malicioso o
simplemente debido a un insuficiente control sobre los mismos o incluso a circunstancias del
entorno, los problemas de atraso y sobre costo en los proyectos, la deficiente calidad de los
servicios de TIC, el cómo seleccionar una solución para reemplazar una que ya no brinda la
funcionalidad requerida: para todos estos asuntos puede usted contar con la experiencia de
un equipo de profesionales que ha vivido y observado situaciones similares, extrayendo de
ellas lecciones que ahora pone a su disposición.

En nuestros trabajos siempre se involucra un socio senior de TBANC, no solo a la hora de las
presentaciones, sino durante todo el proceso de levantamiento de información, análisis, reco-
mendaciones y conclusiones. Esto garantiza que usted recibe un resultado avalado por una
práctica y experiencia reales.

En lo que sigue, exponemos la forma en que encaramos algunas de las posibles situaciones
en las cuales usted puede – con nuestra ayuda – lograr superar estos escollos y hacer de las
TIC un elemento clave para el desarrollo de sus negocios.

II DIAGNÓSTICO Y PLANES DE SEGURIDAD

1. METODOLOGÍA
Nuestro enfoque para ayudar a las empresas que buscan alinear sus actividades de seguridad
informática con sus metas y objetivos institucionales está basado en la metodología OCTAVE 1,
la cual se plantea los siguientes objetivos:

1
OCTAVES M ha sido desarrollado en el Software Engineering Institute (SEI) de la Universidad Carnegie Mellon
Página 1 de 8
Consultoría TBANC
• Desarrollar una evaluación cualitativa de riesgos que describa las tolerancias organiza-
cionales a los riesgos operativos
• Identificar activos que son importantes para la misión de la organización
• Identificar vulnerabilidades y amenazas para dichos activos
• Determinar y evaluar las consecuencias potenciales para la organización si se materia-
lizan las amenazas
Esta metodología ha dado origen a varios métodos, los cuales tienen diferentes alcances y –
por supuesto – formas de proceder. Tenemos experiencia en el método OCTAVE (clásico) y en
el método OCTAVE-ALLEGRO.

1.1. El método OCTAVE clásico

Este método consta de 3 fases
1. En la primera el equipo de análisis identifica los activos de información y las estrategias
actuales de protección para esos activos. El equipo identifica los activos de información
más importantes para la organización, documenta sus requerimientos de seguridad e iden-
tifica amenazas que pueden comprometer estos requerimientos. Esta fase es llevada a ca-
bo mediante entrevistas y talleres con personal de distinto nivel de la organización.
2. En la segunda fase, el equipo de análisis lleva a cabo una evaluación de la infraestructura
informática para complementar el análisis de amenazas realizado en la primera fase, esta-
bleciendo información que permitirá guiar decisiones de mitigación en la siguiente etapa.
3. En la tercera y última fase, el equipo lleva a cabo actividades de identificación de riesgos y
desarrolla un plan de mitigación de los mismos para los activos críticos.
Los aspectos más importantes de este método son:
a. Es un método auto-dirigido, es decir que se plantea que este puede ser llevado a cabo
por personal interno de la organización, mismo que debería tener un profundo conoci-
miento de la organización, de sus procesos de negocio y de los procesos de tecnología
informática que los soportan, además de buenas habilidades de facilitación y comuni-
cación.
b. Está basado en un enfoque de talleres para la obtención de información y la toma de
decisiones. Estos son sobre todo importantes en la primera fase y en ellos participa
personal de múltiples niveles organizacionales.
c. Usa catálogos de información para auto-evaluarse. Los principales catálogos usados
son:
• Catálogo de buenas prácticas
• Catálogo de perfiles de amenazas
• Catálogo de vulnerabilidades

Página 2 de 8
Consultoría TBANC

1.2. El método OCTAVE-ALLEGRO

Por su parte el método OCTAVE-ALLEGRO persigue los mismos objetivos indicados arriba, pero
a través de un proceso más sencillo (en particular en lo que se refiere a la recolección de in-
formación mediante hojas de trabajo), profundizando el enfoque hacia los activos informáticos,
con una orientación menos técnica, introduciendo el concepto de contenedores y mejorando
la capacidad de análisis a través de la introducción de componentes cuantitativos (la califica-
ción relativa de riesgo).
Igualmente OCTAVE-ALLEGRO mejora la orientación del proceso de mitigación de riesgos y su
simplicidad hace más sencillos los procesos de capacitación del personal que formará parte
del equipo que lleva a cabo la implementación de este método.
En su descripción, OCTAVE-ALLEGRO hace menos énfasis que OCTAVE clásico en el tema de
entrevistas y talleres y más en la posibilidad que sea personal interno de la empresa quien
realice las diferentes actividades que involucra el proceso, el cual se ilustra en la siguiente
figura:

Aunque – como reseñamos arriba – en la descripción de ambos métodos OCTAVE en los do-
cumentos del SEI se plantea que este puede ser llevado a cabo por personal interno de la or-
ganización (y en el caso de OCTAVE-ALLEGRO sin las entrevistas o talleres que caracterizan al
OCTAVE clásico) nuestra experiencia nos señala que esto podría ser posible solo si hubiera

Página 3 de 8
Consultoría TBANC
una documentación completa y actualizada de los sistemas (aplicaciones) de la empresa, así
como un extenso conocimiento – por parte del personal que llevaría a cabo la implementación
de este método – de los mismos, tanto desde el punto de vista técnico como de su relación
con los procesos de negocio que soportan.
En nuestra práctica, en grandes empresas (y sobre todo aquellas que tienen una larga exis-
tencia) es difícil encontrar esta documentación y conocimientos, puesto que es frecuente que
en ellas, tanto sistemas como procesos han ido creciendo a lo largo del tiempo, con lo que
suele suceder que no tengan la documentación (actualizada) que referimos. Por otra parte es
difícil – en el caso de empresas e instituciones muy grandes –encontrar quién o quiénes pue-
dan proporcionar una visión de conjunto de la problemática.
Por lo anterior, ponemos a disposición nuestra experiencia, no solo en la aplicación de estos
métodos, sino en el ejercicio de la administración de grandes áreas de TI, así como nuestras
habilidades de facilitación y comunicación en los diferentes niveles jerárquicos de las empre-
sas.

Página 4 de 8
Consultoría TBANC

III DIAGNÓSTICO DE LA FUNCIÓN INFORMÁTICA

Como una manera objetiva de conocer la situación de la tecnología en su empresa, ya sea
para asegurar que se está en condiciones de emprender un nuevo proyecto, para evaluar una
posible adquisición, para corregir anomalías detectadas o simplemente para asegurar que es-
ta área está funcionando de manera adecuada, TBANC ofrece el servicio de Diagnóstico de la
Función Informática.

a) Objetivo
Proporcionar al cliente una visión de la situación actual del funcionamiento de las tecnologías
de información y comunicación (TIC) en su empresa o institución. Este diagnóstico, profesio-
nal, documentado y completo, le permita determinar que áreas de oportunidad y/o problemas
existen. Igualmente incluye recomendaciones sobre los aspectos que se consideren deficien-
tes o susceptibles de mejoras, así como que puedan poner en riesgo la integridad y continui-
dad de la función tecnológica.
b) Metodología
Con base en el reconocimiento de la documentación del área y en entrevistas a diversos nive-
les, tanto dentro del área de TIC como entre la comunidad usuaria, se revisan los siguientes
aspectos.
• Dirección táctica y estratégica del área
o Alineamiento con el negocio
o Procesos de mejora continua
• Arquitectura tecnológica
• Buenas prácticas:
o Administración de Servicios
o Proceso de desarrollo de sistemas
El marco conceptual para la revisión de las buenas prácticas, es el de ITIL 2, mediante
el cual se logra construir procesos de administración basados en hechos, procesos
operativos controlados y auditables, agregado de este modo valor a la empresa o insti-
tución.
ITIL trata de los procesos que deben llevarse a cabo para administrar y operar la infra-
estructura de TIC, logrando proveer un servicio adecuado a unos costos justificables
para el cliente
El marco ITIL asegura que se tendrá siempre en cuenta la perspectiva del cliente, con
un enfoque de servicios y con total transparencia de la tecnología.

2
Information Technology Infrastructure Library
Página 5 de 8
Consultoría TBANC

c) Alcances
El trabajo a realizar incluye realizar las siguientes actividades:
• Revisión de la documentación y entrevistas con niveles directivos, para obtener un
conocimiento de las estrategias empresariales o institucionales, visión, misión, rol de
las TIC, aspectos presupuestales.
• Revisión de la documentación relacionada a la infraestructura de cómputo y teleco-
municaciones
• Revisión de la documentación relacionada con los procesos y procedimientos rela-
cionados con la operación y soporte de los servicios de TIC
• Entrevistas a personal del área de TIC; a todos los niveles
• Entrevistas a personal de áreas usuarias, a niveles directivos y usuarios directos
• Inspección directa de las prácticas operativas
• Preparación del informe
• Presentación y entrega final.

Página 6 de 8
Consultoría TBANC

III SELECCIÓN DE SOLUCIONES

a) Objetivo
Ayudar al cliente a seleccionar una nueva solución informática, ya sea en modalidad de
reemplazo o de nueva implantación.
b) Metodología

Visión de Conjunto del Proceso de Evaluación

En el proceso de evaluación, hay dos subprocesos importantes, que son la Identificación de

Necesidades y el Análisis de las Propuestas. Ambos están basados en un esquema de niveles
que se recorren de arriba abajo en la fase de Identificación de Necesidades, culminando en un
RFP, que contiene un nivel de detalle adecuado, que se materializa en un cuestionario o una
serie de puntos que deben esclarecer los proponentes. Este mismo esquema se recorre de
abajo hacia arriba, con las respuestas de los licitantes al RFP, permitiendo llegar a una eva-
luación objetiva de las alternativas presentadas.
Niveles de Evaluación
Nivel 1 Conceptos Básicos
Se refieren a los aspectos siguientes:
• Arquitectura
• Cobertura Funcional
• Perfil del Proveedores
Durante la fase de Definición de Criterios de Evaluación, se definen las importancias re-
lativas de estos tres conceptos para la empresa o institución.

Página 7 de 8
Consultoría TBANC
Nivel 2 Conceptos Específicos
Cada concepto básico se descompone en conceptos específicos, mismos que se de-
berán clasifican (durante la fase de Definición de Criterios de Evaluación) como A, B o
C, de acuerdo a la importancia que tienen en las estrategias de negocios y tecnología
del cliente.
Nivel 3 Cuestionario
Para cada concepto específico, se construye una lista de preguntas o puntos que debe
satisfacer la solución. Dependiendo de la complejidad del tema, estos conceptos tam-
bién se pueden clasificar de acuerdo a su nivel de importancia.

c) Alcances
El trabajo a realizar incluye realizar las siguientes actividades:
• Revisión de la documentación relacionada con el nuevo sistema, con algún sistema
existente que se pretende reemplazar, con los procesos manuales y con la estrate-
gia de negocio que se pretende implementar.
• Revisión de la documentación relacionada a la infraestructura de cómputo y teleco-
municaciones
• Conducción de juntas/talleres para determinar la importancia relativa – en términos
institucionales – de los conceptos básicos arriba mencionados.
• Conducción de juntas/talleres para elaborar la lista de conceptos específicos y asig-
narles su importancia relativa, dentro de cada concepto básico. Presentación y ratifi-
cación de los resultados.
• Conducción de juntas/talleres para elaborar el cuestionario que contenga el detalle
de los puntos que los proveedores deberán contestar para exponer sus propuestas.
• Elaboración del RFP o bases de licitación, así como preparación de hojas de trabajo
donde el personal de la empresa o institución calificará las propuestas recibidas.
• Procesamiento de las hojas de trabajo y conclusiones.

Página 8 de 8