Instituto Politécnico Nacional

INSTITUTO POLITCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE

INGENIERA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS

SISTEMA PARA LA GESTIN, AUTOMATIZACIN Y CONTROL
DE ACCESO A LA EMPRESA
GRUPO SENDEROS S.A. DE C.V. UTILIZANDO HERRAMIENTAS
CASE Y BASADO EN LA NORMA ISO 27001

T E S I N A

Q U E P A R A O B T E N E R E L T T U L O D E :
L I C E N C I A D O E N C I E N C I A S D E L A I N F O R M T I C A

P R E S E N T A N :
I S O R A G U A D A L U P E A Q U I N O V Z Q U E Z
J U L I E T A G A B R I E L A Q U I R O Z O A X A C A
J O S L U I S R O D R G U E Z O R D E Z
E R I C K R E Y S N C H E Z L P E Z

Q U E P A R A O B T E N E R E L T T U L O D E :
I N G E N I E R O E N I N F O R M T I C A
P R E S E N T A N :
R O B E R T O M A R I N T R E J O

MXICO, D. F. 2008

INDICE
RESUMEN ............................................................................................................... i
INTRODUCCIN .................................................................................................... ii
CAPTULO I ............................................................................................................ 4
CAPTULO I MARCO CONCEPTUAL.................................................................... 5
1.1 TITULO DE PROYECTO.......................................................................................................... 5
1.2 PLANTEAMIENTO DEL PROBLEMA ..................................................................................... 5
1.3 OBJETIVO GENERAL.............................................................................................................. 6
1.4 OBJETIVOS ESPECFICOS..................................................................................................... 6
1.5 JUSTIFICACIN DEL ESTUDIO.............................................................................................. 6
1.6 HIPTESIS............................................................................................................................... 7
1.7 TIPOS DE INVESTIGACIN.................................................................................................... 7
1.8 TCNICAS DE INVESTIGACIN A EMPLEAR....................................................................... 8
CAPTULO II INFORMACIN DE LA EMPRESA.................................................. 9
2.1 INTRODUCCIN...................................................................................................................... 9
2.2 DATOS GENERALES DE LA EMPRESA ................................................................................ 9
2.3 ANTECEDENTES HISTRICOS ........................................................................................... 10
2.4 MISIN ................................................................................................................................... 10
2.5 VISIN.................................................................................................................................... 11
2.6 OBJETIVOS............................................................................................................................ 11
2.7 POLTICAS ............................................................................................................................. 11
2.8 SITUACIN ACTUAL DE LA EMPRESA............................................................................... 11
2.9 ESTRUCTURA ORGANIZACIONAL Y PRINCIPALES FUNCIONES ................................... 12
CAPITULO III MARCO TERICO........................................................................ 17
3.1 INTRODUCCIN AL CONTROL DE ACCESO...................................................................... 17
3.2 CONCEPTO DE CONTROL DE ACCESO............................................................................. 17
3.3 TECNOLOGAS EXISTENTES DE CONTROL DE ACCESO ............................................... 18
3.3.1 COMPONENTES DEL CONTROL DE ACCESO ........................................................... 20
3.4 VENTAJAS DEL CONTROL DE ACCESO ............................................................................ 24
3.5 HERRAMIENTAS CASE......................................................................................................... 25
3.6 METODOLOGA UML............................................................................................................. 31
CAPTULO IV LA NORMA ISO 27001 Y LA SEGURIDAD.................................. 39
4.1 INTRODUCCIN. ................................................................................................................... 39
4.2 NORMA 9000 Y 9001. ............................................................................................................ 41
4.3 QUE ES LA NORMA ISO 27001?........................................................................................ 43
4.4 BENEFICIOS DE CONTAR CON LA NORMA...................................................................... 45
4.5 NORMA ISO 27001(SGSI) ..................................................................................................... 45
4.6 NORMATIVIDAD Y LOS CONTROLES DE ACCESO........................................................... 47
4.7 CONTROLES DE LA NORMA................................................................................................ 47
4.8 VULNERABILIDADES E IDENTIFICACIN DE LOS ACTIVOS. .......................................... 73
4.9 DEFINICIN DEL ALCANCE DEL MODELO ........................................................................ 74
CAPTULO V ANLISIS Y EVALUACIN DE LOS SISTEMAS DE CONTROL DE
ACCESO EXISTENTES EN EL MERCADO......................................................... 76
5.1 ANLISIS DE RIESGOS EN BASE A LOS ACTIVOS Y LAS VULNERABILIDADES.......... 76
5.1.1 IDENTIFICACIN Y VALORACIN DE ACTIVOS......................................................... 76
5.1.2 IDENTIFICACIN DE AMENAZAS Y VULNERABILIDADES ........................................ 78
5.1.3 ANLISIS DE RIESGOS................................................................................................ 79
5.1.4 IDENTIFICACIN Y SELECCIN DE CONTROLES APLICABLES............................. 87
5.2 BENCHMARKETING. ............................................................................................................. 89
5.2.1 CONCEPTO DE BENCHMARKETING. .......................................................................... 90
5.2.2 CLASIFICACIN DE BENCHMARKETING. ................................................................... 91
5.2.3 METODOLOGA DE BENCHMARKETING..................................................................... 92
5.3 REQUERIMIENTOS Y DIMENSIONAMIENTO DE LA SOLUCIN DEL CONTROL DE
ACCESO. ...................................................................................................................................... 93
5.4 ESTUDIO DE LAS ALTERNATIVAS DE LA SOLUCIN....................................................... 96
CAPITULO VI ELECCIN Y PROPUESTA DEL SISTEMA CONTROL DE
ACCESO. ............................................................................................................ 117
SOLUCIN 7 SAMRT SIA.......................................................................................................... 120
6.1 DESCRIPCIN DE LA SOLUCIN..................................................................................... 121
6.1.1 CARACTERSTICAS..................................................................................................... 123
6.1.2 NIVELES DE ACCESO Y SEGURIDAD ....................................................................... 124
6.1.3 TOPOLOGA DE RED................................................................................................... 125
6.1.4 REPORTES................................................................................................................... 126
6.2 POLTICAS DE SEGURIDAD Y PROCEDIMIENTOS ......................................................... 126
6.3 APLICACIN DE HERRAMIENTAS CASE.......................................................................... 127
6.3.1 MODELADO DE DATOS............................................................................................... 128
6.3.2 SYBASE APPMODELER.............................................................................................. 129
6.3.3 CASOS DE USO UML................................................................................................... 131
CAPTULO VII ANLISIS COSTO BENEFICIO DE LA SOLUCIN................ 136
7.1 ESTUDIO DE VIABILIDAD................................................................................................... 136
7.2 ESTUDIO FACTIBILIDAD..................................................................................................... 138
CONCLUSIONES ............................................................................................... 151
BIBLIOGRAFA .................................................................................................. 152
GLOSARIO......................................................................................................... 153
ANEXOS............................................................................................................. 160

i

RESUMEN
Hoy en da los sistemas de identificacin y control de acceso estn viviendo un fenmeno de
transformacin, las soluciones analgicas o mixtas de las empresas han saltado a sistemas
totalmente digitales, donde aplicaciones como tarjetas nicas de identificacin, la deteccin del iris
del ojo humano, huellas dactilares, reconocimiento de polgonos en imagen, etc. son algunas de las
ms innovadoras. Segn los proveedores este tipo de tecnologas, reinarn los prximos aos,
principalmente por su capacidad de detectar elementos de reconocimiento prcticamente
invulnerables.

La presente Tesina propone un caso de estudio orientado hacia las actuales tecnologas de control
de acceso existentes en el mercado, se exploran sus capacidades, se plantean sus ventajas y se
evalan cada unos de los elementos que intervienen en este tipo de sistemas a fin de realizar la
seleccin de una propuesta que mejor se adecue a las necesidades de la empresa Grupo
Senderos S.A. de C.V que le permita la administracin de usuarios y generacin de reportes tiles,
que regulen los accesos a la empresa.

El anlisis y diseo del sistema de informacin se llevar a cabo por medio de un estudi de la
situacin actual de la empresa y la necesidad de llevar un adecuado control de accesos y de
personal utilizando como marco de referencia la norma ISO 9001:2000 y la norma 27001 como
base para la formulacin y establecimiento de polticas de seguridad y procedimientos,
explicaremos las ventajas que aportan el uso de herramientas CASE
1
y el apoyo de una
metodologa como UML para representar los procesos de la empresa que intervengan en el control
de acceso,

As mismo en este trabajo se encuentran el uso de herramientas como App Modeler para el
modelado de datos y el Costar para el anlisis de costo beneficio esta herramienta permite evaluar
todos los recursos (humanos, esfuerzo, tiempo) involucrados en las actividades del sistema,
obteniendo como resultado el pronstico aproximado del impacto de la propuesta sobre los costos.

1
Ver Glosario de Trminos
ii

INTRODUCCIN

Al hablar del termino Control de acceso, nos referimos que es un sistema electrnico a travs del
cual controlamos entradas y salidas y que nos permite conocer quin entra, cundo entra y a
dnde entra cada individuo.

Es importante mencionar que las empresas requieren buscar constantemente mtodos ms
seguros y eficientes para controlar los horarios de trabajo y el acceso de su personal a diferentes
sectores de su empresa; adems, el robo y el fraude son constantes amenazas para la seguridad
de la informacin, de activos fsicos y monetarios.

Por todo esto, se considera extremadamente til en una organizacin que opere con informacin o
activos crticos, un sistema que se encargue del control automtico de acceso a edificaciones y
sectores de dicha empresa.

Por otra parte la proteccin de las diferentes reas crticas en una empresa es prioritaria cuando se
disea un control de accesos. El acceso de personal autorizado a espacios reservados debe tener
un registro confiable que permita auditar la actividad de cada individuo.

Los Sistemas de control de acceso son una popular solucin de seguridad para grandes empresas
con muchos empleados. Permiten convenientemente el acceso a zonas de las empresas que slo
sea necesaria para cada empleado de forma individual. De igual manera, permite llevar un control
eficiente sobre la hora de entrada y salida, las horas trabajadas, los descansos, las vacaciones
entre otros factores de vital importancia para las gerencias de Recursos Humanos.

Por tal motivo este trabajo se enfoca en la investigacin de un sistema que automatice el control de
acceso a la empresa Grupo Senderos, este trabajo se desarrollar de forma terica abordando los
fundamentados en la teora, metodologas de desarrollo y control, y herramientas CASE conocidas
actualmente.

Para el desarrollo de este trabajo y como ejemplo de aplicacin, se analizar y realizar una
propuesta de un sistema de control de acceso para dicha empresa; el cual se basar en las
herramientas de desarrollo como Sybase, Costar, UML
2
. La eleccin de esta empresa en particular
se dio gracias a las condiciones que se tienen actualmente en lo que a su manejo de la informacin
y seguridad se refiere.

2
iii

Gracias al perfil interdisciplinario que obtienen los egresados de la carrera en Ciencias de la
Informtica e Ingenieros en Informtica, a la capacidad de analizar, disear e implementar sistemas
para la solucin de problemas en el manejo de informacin, se pretende poner en prctica las
habilidades de percepcin, abstraccin, administracin, solucin de problemas y anlisis que como
informticos se deben tener; demostrando que se puede analizar, y evaluar software de calidad
existente en el mercado segn las necesidades de la empresa, haciendo uso de las herramientas
informticas que se tenga al alcance y as contribuir al desarrollo tanto empresarial como
tecnolgico del pas.

Todo esto es posible con el apoyo de estndares internacionales, como lo es la norma ISO
3
9000 e
ISO 27001 referente al anlisis y evaluacin del riesgo de informacin, para su explotacin,
ofreciendo as un servicio mas completo tanto a los empleados de la empresa como a visitantes de
la misma.

3

CAPTULO I
MARCO CONCEPTUAL

5

CAPTULO I MARCO CONCEPTUAL

1.1 TITULO DE PROYECTO
Sistema para la gestin, automatizacin y control de acceso a la empresa Grupo Senderos S.A de
C.V utilizando herramientas CASE, y basado en la norma ISO-27001

1.2 PLANTEAMIENTO DEL PROBLEMA
El control de una empresa es un aspecto fundamental para el manejo adecuado de la misma;
hablando del control de tiempo y del acceso es un requisito bsico para la productividad y
seguridad del personal. Sin embargo, todava existen muchas empresas en Mxico en las que no
se considera relevante medir y controlar objetivamente el tiempo y el acceso del personal utilizando
tecnologa.

Actualmente la empresa Grupo Senderos no cuenta con algn sistema tecnolgico de control de
tiempos y acceso en la organizacin como apoyo para minimizar errores o llevar un control
adecuado, por lo tanto tiene un impacto directo en el clculo del costo de operacin y de la mano
de obra. Hoy en da los responsables de las Gerencias as como las reas de Recursos Humanos,
saben lo importante que es para una organizacin contar con reportes rpidos, funcionales y
eficientes relacionados con el tiempo como son: puntualidad y asistencia, vacaciones, permisos,
tiempo extra, horas trabajadas, personas que entran y salen de la empresa, entre otros.

Es interesante observar que, mientras existen profesionales que encuentran en estas herramientas
un apoyo para minimizar el error humano, generar informacin para la toma de decisiones y
ahorrar tiempo al procesar la nmina, existan otros que simplemente consideran que no es
necesario un sistema que les permita controlar al personal. La empresa Grupo Senderos, todava
registra asistencia a su personal con tarjetas de cartn y un reloj checador mecnico tradicional.
Puede imaginar lo complejo y tardado que es procesar esta informacin? La necesidad de ser
competitivos, ha vuelto obsoletos este tipo de procesos.

Por lo anterior, es importante hacernos preguntas como las siguientes: Qu tipo de soluciones
tecnolgicas pueden ayudar al rea de recursos humanos de Grupo Senderos? Se pueden
aprovechar stas para otros procesos, tambin importantes para la organizacin?

6

1.3 OBJETIVO GENERAL
Analizar y evaluar las diferentes soluciones de control de acceso, existentes en el mercado, para
proponer un sistema de gestin, automatizacin y control de acceso del personal de la empresa
Grupo Senderos S.A de C.V. empleando herramientas CASE y basndose en la norma ISO 27001.

1.4 OBJETIVOS ESPECFICOS
1. Investigar las diferentes soluciones de control de acceso que existen en el mercado.

2. Identificar soluciones de control acceso para la empresa Grupo Senderos S.A. de C.V.
considerando el costo, funcionalidad y soporte que ofrecen estas.

3. Analizar una solucin de control de acceso de acuerdo a las necesidades de la empresa
Grupo Senderos.

4. Analizar Propuesta sobre el control de acceso.

5. Elaborar propuesta para la adquisicin e implantacin del sistema de control de acceso
recomendado.

1.5 JUSTIFICACIN DEL ESTUDIO
Hoy en da, existen muchas empresas en Mxico que no consideran relevante medir y controlar
objetivamente el tiempo y el acceso del personal utilizando tecnologa, para Grupo Senderos el
control es un aspecto fundamental que repercute tanto en la productividad como en la seguridad
de la organizacin para el manejo adecuado de la misma. Un verdadero sistema de control de
acceso es mucho ms que un simple medio para desbloquear una puerta con una tarjeta de
identificacin, debe tambin garantizar el acceso a sus locales y ser capaz de proteger a su
personal, sus bienes y sus visitantes.

Control de acceso y la seguridad se ha convertido en un rea de considerable importancia para las
empresas y organizaciones. Cada vez es mayor la conciencia de las cuestiones en juego significa
que el fenmeno ha llegado a un primer plano.
Los responsables de las gerencias, as como el rea de recursos humanos considera que es de su
importancia realizar una mejora continua en los procesos para el control de acceso del personal,
7

por lo anterior, es importante realizar una propuesta de solucin que se adapte a las necesidades
tecnolgicas, operativas y administrativas de la empresa Grupo Senderos.

Hablando de aspectos tcnicos, es recomendable buscar soluciones con gran capacidad de
configuracin y productos modulares e integrales, lo cual quiere decir que se puede adaptar a las
necesidades o requerimientos de cualquier tipo de organizacin esto sin descuidar la claridad y
facilidad operativa.

Nuestra propuesta pretende mejorar el control de los tiempos, accesos y seguridad de la
organizacin ,as como permitir la identificacin del personal tanto interno como externo dentro
de las instalaciones , tomando en cuenta de manera rigurosa los tiempos de acceso de los mismos.

Dentro de las organizaciones se ha considerado a la tecnologa como una inversin, que se refleja
en variables como control objetivo del personal, ahorro de tiempo, eliminacin de papeleo
innecesario, bajar costos al evitar reprocesos, acceso a informacin en lnea, optimizacin de
recursos y seguridad. En una palabra, eficiencia.

En un panorama de negocio, el sistema de control de accesos se puede ligar a los procesos de
una compaa para aumentar la responsabilidad de sistemas, seguridad, asistencia de
colaboradores, control de visitas y accesos de equipos.

1.6 HIPTESIS
La empresa Grupo Senderos S.A. de C.v. mejorara el control de los tiempos, accesos y seguridad
de la organizacin, as como la identificacin del personal tanto interno como externo dentro de las
instalaciones a travs de un sistema de gestin, automatizacin y control de acceso.

1.7 TIPOS DE INVESTIGACIN
Cuando se va a resolver un problema o se va a investigar un tema particular en forma cientfica, es
muy conveniente tener un conocimiento detallado de los posibles tipos de investigacin que se
pueden seguir. A continuacin se mencionan los tipos de investigacin que se utilizaran en este
proyecto.

8

Investigacin documental: Este tipo de investigacin es la que se realiza, como su nombre lo
indica, apoyndose en fuentes de carcter documental, esto es, en documentos de cualquier
especie. Como subtipos de esta investigacin encontramos la investigacin bibliogrfica, la
hemerogrfica y la archivstica.
Investigacin de campo: Este tipo de investigacin se apoya en informaciones que provienen
entre otras, de entrevistas, cuestionarios, encuestas y observaciones. Como es compatible
desarrollar este tipo de investigacin junto a la investigacin de carcter documental, se
recomienda que primero se consulten las fuentes de la de carcter documental, a fin de evitar una
duplicidad de trabajos.
Investigacin exploratoria: Recibe este nombre la investigacin que se realiza con el propsito
de destacar los aspectos fundamentales de una problemtica determinada y encontrar los
procedimientos adecuados para elaborar una investigacin posterior.
Investigacin descriptiva: Mediante este tipo de investigacin, que utiliza el mtodo de anlisis,
se logra caracterizar un objeto de estudio o una situacin concreta, sealar sus caractersticas y
propiedades. Combinada con ciertos criterios de clasificacin sirve para ordenar, agrupar o
sistematizar los objetos involucrados en el trabajo indagatorio.

1.8 TCNICAS DE INVESTIGACIN A EMPLEAR
Los instrumentos a utilizar para la recoleccin de datos durante el desarrollo del proyecto, sern
las tcnicas de investigacin de campo, debido a que se aplicara un cuestionario al personal de la
empresa Grupo Senderos, para conocer la situacin en la que se encuentran.

CAPTULO II
INFORMACIN DE LA EMPRESA

9

CAPTULO II INFORMACIN DE LA EMPRESA
2.1 INTRODUCCIN
En este captulo se describir a la empresa que es el caso de estudio de este proyecto. Se
mostraran los datos de la empresa Grupo Senderos, sus antecedentes histricos, la finalidad con la
que surge la organizacin y su crecimiento en los ltimos aos.

Al analizar qu Grupo Senderos est comprometido con la calidad en sus servicios y la correcta
atencin a sus usuarios, es de suponerse que los procesos, polticas, controles se encuentran en
un correcto nivel de madurez dentro de la organizacin.

Es por lo anterior que el crecimiento constante de Grupo Senderos y por consecuente el
incremento considerable en sus Recursos Humanos e instalaciones ha mostrado la necesidad de
tener un mejor control dentro de sus instalaciones, de aqu surge el inters de analizar una de las
problemticas que vive da con da la organizacin, en este caso, el control de acceso en sus
instalaciones.

Al finalizar dicho anlisis se propondr una solucin integral en materia de control de acceso en
Grupo Senderos y de esta forma ayudar al crecimiento de la organizacin y la correcta
administracin en sus instalaciones y recursos.

2.2 DATOS GENERALES DE LA EMPRESA
Grupo Senderos, es un grupo de empresas que forman parte del Grupo Estrella Blanca, dedicadas
a la comercializacin de productos y servicios en las Centrales de Autobuses. Grupo Senderos
posee los derechos de explotacin de locales y espacios comerciales, contribuyendo a los gastos
de Operacin de la Central mediante el pago de renta y/o absorbiendo algunos gastos propios de
la Central de Autobuses.

RAZN SOCIAL Grupo Senderos S.A. de C.V.
RFC SEN730822-H10
GIRO Comercializadora de productos y servicios
DOMICILIO Avenida Hospital Benito Jurez s/n. Colonia Magdalena de las Salinas
C.P. 7760 Delegacin Gustavo A. Madero.
LOCALIDAD Mexico, D.F.
10

2.3 ANTECEDENTES HISTRICOS
Grupo Senderos surge con la finalidad de brindar a los usuarios del auto - transporte, servicios
complementarios para hacer ms placentero su traslado.
Anteriormente estos productos y servicios se ofrecan a los usuarios a travs de vendedores
ambulantes, en restaurantes tipo fonda y tiendas improvisadas, con una diversidad interminable de
marcas, carentes de control, limpieza e imagen.

Los primeros empresarios del auto transporte detectaron la necesidad de plantear a quienes
expendan productos en las Centrales de Autobuses, la importancia de unificar el proceso de
compra venta. Poco a poco, fueron adquiriendo experiencia que les permiti irse especializando
y as, llegar a tener lo que hoy conocemos como las comercializadoras dentro de las Centrales de
Autobuses.

La causa de dicha problemtica era, bsicamente, la falta de experiencia de los auto-transportistas
en la comercializacin de este tipo de bienes. No obstante, este obstculo fue sorteado
exitosamente y despus de un tiempo, la adquisicin de experiencia y la especializacin dieron
forma a lo que hoy conocemos como comercializacin dentro de las Centrales de Autobuses.

El 22 de Agosto de 1973, Grupo Estrella Blanca dio la pauta para desarrollar una unidad
estratgica de negocio. La primer comercializadora que surgi fue Los Senderos S.A. de C.V., en
la Central del Norte, como resultado del gran esfuerzo y compromiso de quienes formaban para
ese entonces esta empresa.

El primero de enero de 1984, se consolida como Grupo Senderos. En sus orgenes, la
comercializacin de bienes de consumo se desarroll mediante restaurantes tipo fonda, loncheras,
mdulos y tiendas carentes de una estrategia definida de marcas, mercadeo e imagen corporativa
as como de una estructura coherente de procesos de operacin.

Es as como nace, crece y se consolida Grupo Senderos, una empresa orgullosamente mexicana
lder en el sector de la comercializacin de bienes y prestacin de servicios dentro de las Centrales
de Autobuses.

2.4 MISIN
Comercializar productos y servicios en las Centrales y Terminales de Autobuses, mediante una
esmerada atencin que cumpla las expectativas de los usuarios y trabajadores de la industria del
auto-transporte y que a su vez genere crecimiento conjunto entre la empresa y sus colaboradores.
11

2.5 VISIN
Ser una organizacin reconocida por la innovacin y diversidad de nuestros servicios, fielmente
comprometida con el desarrollo integral de sus colaboradores.

FILOSOFA.
Conservar los valores que nos conducen al xito trabajando en equipo y mostrando siempre una
actitud de servicio para reflejar la esencia de nuestro quehacer.

2.6 OBJETIVOS
Ser una empresa comercializadora de productos y servicios en las centrales y terminales de
autobuses, cumpliendo las expectativas de los usuarios y trabajadores de la industria del auto-
transporte y generar un crecimiento conjunto entre la empresa y sus colaboradores.

Corto Plazo
Brindar programas de capacitacin a nivel nacional que motiven el desarrollo de ideas innovadoras
y estrategias de negocio que generen crecimiento conjunto entre la empresa y sus colaboradores.

2.7 POLTICAS
La mejora contina enfocada a la competitividad del negocio, la eficacia en la operacin y
el logro de objetivos.
Contar con un intenso programa de capacitacin impartido a todos los niveles de la
organizacin que parte de la premisa del crecimiento en conjunto.
Ofrecer oportunidades laborales en el mbito nacional brindando al empleado un campo de
accin profesional con mayores retos y oportunidades.

2.8 SITUACIN ACTUAL DE LA EMPRESA

PROBLEMTICA DE LA EMPRESA
Actualmente la empresa Grupo Senderos no cuenta con algn sistema tecnolgico de control
de tiempos y acceso en la organizacin como apoyo para minimizar riesgos o llevar un control
adecuado, por lo tanto tiene un impacto directo en el clculo del costo de operacin y de la
mano de obra. Los responsables de las Gerencias as como el rea de Recursos Humanos,
saben lo importante que es para Grupo Senderos contar con reportes rpidos, funcionales y
12

eficientes relacionados con el tiempo como son: puntualidad y asistencia, vacaciones,
permisos, tiempo extra, horas trabajadas, personas que entran y salen de la empresa, entre
otros.
La manera que el personal de la empresa Grupo Senderos registra sus asistencia es por medio
de tarjetas de cartn y un reloj checador mecnico tradicional, teniendo como resultado perdida
de tiempo a la hora de la entrada y la salida, debido a la saturacin del mismo ocasionado
fallas constantes.
No se cuenta con un registro adecuado de las personas que entran y salen de la empresa,
basta con que tengan una identificacin y se registren en un libro de visitas, siendo vulnerables
a cualquier tipo de ataque.
Con respecto a la entrada y salida del estacionamiento, tampoco existe un control de acceso,
debido a que solo se registra el nmero de placas del automvil, sin considerar que se puede
introducir o sacar algn objeto.
Para obtener un reporte de las asistencias y faltas del personal, se tiene que consultar tarjeta
por tarjeta y realizar los clculos correspondientes.
Es importante mencionar que la empresa Grupo Senderos, no cuenta con polticas de
seguridad la cual hace una empresa bastante vulnerable.

2.9 ESTRUCTURA ORGANIZACIONAL Y PRINCIPALES FUNCIONES

ESTRUCTURA INTERNA

Grupo Senderos est integrado por la Sociedad Los Senderos, S.A. de C.V. y Sucursales, otras
Comercializadoras y empresas Filiales

Las Comercializadoras: Son las empresas que administran y operan bajo diferentes modalidades:
operacin propia, subarrendador y franquiciante de los locales y espacios comerciales en las
centrales de autobuses y ofrecen entre otros servicios los de:
Comida rpida
Tiendas de conveniencia
Guardera de equipaje

13

Comercializacin Propia.
En este esquema de operacin, el personal de Grupo Senderos maneja el almacn y administra
directamente los puntos de venta de las reas de comercializacin que pertenecen a la empresa.
Se utilizan las marcas del Grupo.
Es la operacin y administracin que realizan las Comercializadoras de los puntos de venta y
espacios comerciales con recursos propios, como son:
Determinacin de cuadros bsicos de productos, precios y servicios a otorgar.
Adquisicin de mercancas.
Controla los inventarios de mercancas en almacn y puntos de venta.
Establece los sistemas electrnicos de control en los puntos de venta y almacn.
Establece los sistemas de comunicacin y enlace entre el Corporativo y la
Comercializadora
Contrata los Recursos Humanos mediante la empresa administradora de Recursos
Humanos (CDPRH).

Las Empresas Filiales.
Son empresas dedicadas a ofrecer servicios complementarios diversos, entre los cuales destacan:
Servicio de comisariato a las lneas de autobuses del Grupo Estrella Blanca (G.E.B.)
Renta de vdeos a los Operadores de autobuses del G.E.B.
Administracin de Recursos Humanos de las Comercializadoras y Filiales

Subarrendador.
Otorga el derecho de uso y goce de un local o espacio comercial a un tercero, obteniendo como
contraprestacin un precio cierto y en dinero que en este caso es la renta.

Tratndose del subarrendamiento
4
de los locales y espacios comerciales en toda la Central de
Autobuses, el Subarrendatario deber ofrecer como mnimo los servicios de comida rpida, tiendas
de conveniencia, guardera de equipaje y dems productos y servicios que determine la Direccin
del Grupo Senderos. El monto de la contraprestacin ser suficiente para cubrir cuando menos la
renta a la Central y gastos de operacin y administracin de la Comercializadora.
Los Subarrendatarios de locales y espacios comerciales en las Centrales de Autobuses donde
Grupo Senderos cuenta con Operacin Directa, debern ofrecer exclusivamente servicios y
productos que sean autorizados por Senderos.

4
14

Franquiciante.
La franquicia
5
es el contrato por el cual el franquiciante Los Senderos, S.A. de C.V. transmite el
uso de una marca y conocimientos tcnicos para que el franquiciatario a quien se le otorga, pueda
vender bienes o prestar servicios de manera uniforme y con los mismos mtodos operativos,
comerciales y administrativos establecidos por el Franquiciante, tendientes a mantener la calidad,
prestigio e imagen de los productos y servicios a los que sta distingue, a cambio de una regala.
Regala inicial.- Es la contraprestacin nica que realiza el Franquiciatario para obtener la
franquicia.
Regala contina.- Es el pago sucesivo que realiza del 10% al 40% de las ventas diarias por la
explotacin de la franquicia y de conformidad al giro Comercial.
Proveedor nico.- Es cuando Senderos abastece de mercancas al franquiciatario con incremento
del 10% sobre el precio de costo.

Concesiones.
En este esquema, al igual que en el de franquicias, Grupo Senderos como franquiciador permite a
un franquiciado explotar las marcas de los giros. La diferencia radica en el hecho de que la
concesin autoriza al franquiciado administrar directamente el almacn de la comercializadora,
siempre y cuando, compre a los proveedores exclusivos del Grupo.

5
15

Fig. II.1 Estructura Corporativa.
16

ORGANIGRAMA

Fig. II.2 Organigrama General Grupo Senderos

CAPTULO III
MARCO TERICO

17

CAPITULO III MARCO TERICO

En este capitulo presentaremos una breve introduccin acerca de los sistemas de control de
acceso, intentaremos explicar las bases tericas y tcnicas exponindolo de una manera sencilla
para el usuario de tal manera que facilite la comprensin y uso de este tipo de tecnologas

3.1 INTRODUCCIN AL CONTROL DE ACCESO
Hoy en da la automatizacin y la lectura de datos realizada por mquinas estn convirtindose en
atributos vitales para el mundo actual. Debido a diversos factores las empresas requieren buscar
constantemente mtodos ms seguros y eficientes para controlar el acceso de su personal y
personal externo a las diferentes reas de la empresa, tiempos y justificaciones de dichos accesos;
cabe mencionar que el robo y el fraude son constantes amenazas para la seguridad de la
informacin, de activos fsicos y monetarios.

Por todo esto, consideramos necesario y altamente til en Grupo Senderos operar con un sistema
de control de accesos que permita controlar en pocas palabras quien, cuando, a donde y con que
recursos se ingresa o se retira de las instalaciones de la organizacin.

Por otra parte la proteccin de las diferentes reas crticas en una empresa es prioritaria cuando se
disea un control de accesos. El acceso de personal autorizado a espacios reservados debe tener
un registro confiable que permita auditar la actividad de cada individuo. Pero no se trata slo de
una cuestin de seguridad; en muchos casos, el control de personas pasa por una supervisin
administrativa de los empleados. Sea porque el mismo, desempeando tareas en sectores
diferentes, cobra una tarifa horaria distinta; o por un control estadstico, para saber cunto tiempo
consumen sus empleados y en dnde; y, por supuesto, para evitar posibles accesos no
autorizados o ausentismos.

3.2 CONCEPTO DE CONTROL DE ACCESO
Actualmente es muy comn, sobre todo en las grandes empresas or hablar acerca de controles de
acceso, cada vez encontramos mas sitios en donde se utilizan y regularmente encontramos una
gran variedad de este tipo de controles, entonces empecemos por definir que es un sistema de
control de accesos. Un sistema de control de accesos es un sistema electrnico a travs del cual
18

controlamos entradas y salidas y que nos permite conocer quin entra, cundo entra y a dnde
entra cada individuo.

El control de acceso fsico puede permitir a un empleado ingresar a determinadas reas
dependiendo su jerarqua, a los proveedores y visitantes al departamento asignado, evitando as
que acceden a reas restringidas, en caso de intentarlo el sistema alerta al personal de seguridad.

Un control de acceso consiste en proveer la habilidad para controlar, monitorear y restringir el
movimiento de personas, bienes o vehculos en, dentro o alrededor de cualquier edificio o lugar,
esto constituye uno de los servicios de seguridad que es indispensable para una empresa ya que
es el primer filtro para evitar que una situacin de riesgo se presente dentro de las instalaciones.

Se trata de una de las principales medidas de seguridad que se tienen que tomar en todas las
compaas grandes, medianas o pequeas. El control de acceso es uno de los sistemas de
proteccin que si se aplican correctamente, es de los ms efectivos pues controla todo el flujo de
personas que entran y salen del lugar en cuestin. Si a esto se le agrega un poco de tecnologa, se
puede obtener un sistema de registro de asistencia y al mismo tiempo un control de acceso a
donde determinados empleados pueden o no ingresar.

Un guardia de seguridad en los accesos, esclusas, plumas, torniquetes, tarjetas de proximidad e
incluso lectoras biomtricas, son algunos de los controles de acceso ms recurrentes en todo el
mundo.

El control de acceso es uno de los sistemas de proteccin que si se aplican correctamente es de
los ms efectivos pues controla todo el flujo de personas que entran y salen del lugar en cuestin.

3.3 TECNOLOGAS EXISTENTES DE CONTROL DE ACCESO
Los Sistemas de control de acceso son una popular solucin de seguridad para grandes empresas
con muchos empleados. Sistemas de control de acceso le permiten convenientemente permitir el
acceso a zonas de las empresas slo es necesaria a cada empleado de forma individual. Acceso a
los sistemas de control de la mayora de las veces el uso de una identificacin o de identificacin
con una banda magntica con la informacin codificada. Teclados, escneres de huellas digitales y
otro tipo de tecnologa tambin puede ser incorporado a un sistema de control de acceso,
dependiendo de las necesidades de seguridad y las consideraciones prcticas.
Una serie de valiosas caractersticas de seguridad estn disponibles con muchos sistemas de
seguridad de control de acceso.
19

Al igual que la media de pequeas empresas no necesita un escner de huella dactilar biomtrico,
una gran empresa con un alto sistema de seguridad puede requerir un sistema de control de
acceso en condiciones de seguridad a nivel de mltiples, con muchas caractersticas de seguridad
integradas. El primer paso para elegir el sistema correcto es examinar honestamente las
necesidades en su empresa de control de acceso de sistema de seguridad, para ello debemos
hacernos las siguientes preguntas:

Cuntas puertas deben ser garantizadas?
Cuntos empleados necesitan el acceso, la cantidad de empleados y el volumen de
negocios estn presentes?
Quiere controlar las salidas, as como las entradas?

Dentro de los sistemas de control de acceso podemos encontrar diferentes opciones de
identificacin. Podemos escoger entre los diferentes sistemas de identificacin en funcin de sus
necesidades:

Identificacin biomtrica. Autentifica la presencia del empleado. La identificacin biomtrica
autentifica la identidad del usuario a travs de su huella dactilar con las mximas garantas.

Tarjeta de proximidad: El ms cmodo y fcil. Las tarjetas de proximidad ofrecen la mxima
facilidad de uso al efectuar la identificacin con slo acercar la tarjeta a unos centmetros del lector.

Los terminales AC3000 con identificadores de proximidad estn disponibles con las dos
tecnologas ms utilizadas actualmente: 125Khz EM y 13.56 Mhz Mifare norma ISO 14443 Type A.

Identificador iButton: El ms resistente, seguro y fiable. Los identificadores iButton son botones
inteligentes con microchip electrnico de bajo costo con cpsula de acero y libres de
Fig. III.3 Opciones de Identificacin
20

mantenimiento (vida indefinida). Cada iButton tiene su cdigo nico. El Terminal lee el cdigo por
simple contacto, tan rpido como pulsar una tecla.
El control de acceso nos permitir definir, supervisar y registrar el comportamiento de los
elementos fsicos de control de accesos (lectoras de credenciales, controladores electrnicos,
mecanismos de apertura y alarma) donde se pueden generar y asignar diferentes perfiles a cada
usuario que con el perfil adecuado visualizarn los eventos a medida que se producen (accesos
otorgados o denegados, alarmas por violacin de puertas o por ingreso fuera de horario, etc.). Un
perfil de acceso define las autorizaciones de un grupo de personas para las que se aplica una
nica poltica de Control de Accesos.

3.3.1 COMPONENTES DEL CONTROL DE ACCESO
Cuando hablamos de sistemas nos referimos a un conjunto integrado, real o abstracto, de
componentes o partes que se interrelacionan y trabajan conjuntamente para cumplir un objetivo o
realizar un proceso. En el caso de un sistema de control de accesos tambin se encuentra
compuesto por ms de un elemento.

Generalmente los controles de acceso poseen coincidencias de componentes. Bsicamente
necesitan un hardware
6
que identifica y gestiona los accesos, lectores perifricos, medios de
identificacin (llaves electrnicas, mandos, sistemas de identificacin), software, programadores
autnomos (para transferencia de informacin) u otros componentes.

Los componentes con los que cuenta normalmente un control de acceso hoy en da son los
siguientes:

a) Tarjeta controladora
Esta tarjeta es la parte ms importante del control de acceso en la cual se hace la instalacin de
todos los perifricos y es la que realiza todos los procesos de control.

6
21

b) Lectoras y tarjetas
Son los dispositivos que deben censar el tipo de informacin presentada en forma de tarjeta para
ingresar o salir de algn lugar donde est presente este dispositivo. El sistema puede incluir un
mdulo para foto credencializacin e impresin de credenciales de acceso, que incluye la creacin
de mltiples diseos de credencial y la capacidad de una captura automtica de firma y foto entre
otros y permite la impresin en PVC.

c) Lectora biomtrica
La identificacin del personal biomtrico no es transferible. Los costos de administracin asociados
y las tarjetas son eliminados. Opera individualmente o puede expandirse a un sistema
multilectoras.

Fig. III.4 Tarjeta Controladora
Fig. III.5 Lectoras
22

d) Sensor.
7

Este dispositivo es el encargado de notificarnos el estado de la puerta. Cerrada o abierta. En cada
uno de los accesos de las reas definidas se instalan lectores, altamente resistentes y con soporte
a la intemperie. En ellos se podr registrar con credenciales de banda magntica o cdigos de
barras, realizndose una validacin en el panel central, para permitir o rechazar el acceso.

e) Chapa
Este dispositivo elctrico es el encargado de mantener cerrada o abierta nuestra puerta.

7
Fig. III.6 Lectora Biomtrica
Fig. III.7 Sensores
23

f) Software
8

Es la herramienta que nos sirve para programar el panel de Acceso y verificar el estado del
sistema. No es necesario que la PC este en lnea para que el equipo y el sistema sigan operando.

Debido a la popularidad que han ido ganando los sistemas de control de acceso cada da
encontramos nuevas tecnologas y mayor variedad de elementos que pueden integrarse a este tipo
de sistemas, que si bien no son indispensables pueden mejorar considerablemente el desempeo
del sistema en si. Algunos de estos elementos pueden ser:

1. Panel De Control
Para el Control de Acceso se emplea tecnologa de punta basada en Paneles de Control, los
cuales son el cerebro de las validaciones de Acceso para las diversas reas; adems de
almacenar las transacciones de manera efectiva para su procesamiento en Lnea o en Lote.

En cada punto de Acceso se colocar un Dispositivo de Control en el cual se conectarn los
Lectores, Relevadores y diversos tipos de Sensores, permitiendo implementar controles de Entrada
y Salida o de solo Acceso. Se emplean Bateras de Respaldo en caso de corte de corriente para
permitir la operacin de los equipos por varias horas.

2. Control De Diversos Tipos De Accesos
Al permitir el acceso mediante la verificacin de la tarjeta especfica del personal, se podrn activar
dispositivos de bloqueo de paso como Puertas, Torniquetes, Plumas de Estacionamiento. Estos
dispositivos podrn ser moni toreados desde el panel de control o la PC para indicar sobre tiempos
de apertura, alteraciones en su integridad o su mal funcionamiento.

8
Fig. III.8 Chapa
24

3. Manejo De Antipassback
Por medio del panel de control podr activar la condicin de antipassback para que su personal
respete el orden de acceso a las reas. Permitiendo deshabilitarlo despus de un tiempo definido.

4. Control de Sensores y Alarmas
Los paneles de entradas/salidas disponibles para el control de accesos permiten conocer la
situacin de los sensores y las alarmas, conociendo las anomalas sobre posibles contingencias en
las reas como son: Presencias de Personas, Fuego en algn rea, Puertas Abiertas, Violacin de
dispositivos de lectura.

5. Sistemas de Liberacin en Caso de Emergencia.
Podr instalar botones liberadores en caso de emergencia para abrir los accesos de manera
inmediata y se registrar el evento de emergencia dentro del sistema.

Como podemos ver contamos con gran variedad de dispositivos y tecnologas para nuestro
sistema de control de acceso, por lo cual es necesario hacer un buen anlisis de nuestros
requerimientos para determinar cuales elementos satisfacen de la mejor manera dichas
necesidades. El sistema se puede implementar en modalidad Cliente Servidor, permitiendo
controlar las bases de datos en forma centralizada al almacenar los registros en un equipo servidor
y soportar el acceso concurrente de diferentes usuarios dispuestos en distintos sitios de su
empresa. En resumen hay un gran panorama al respecto de los sistemas de control de acceso lo
importante es elegir el adecuado.

3.4 VENTAJAS DEL CONTROL DE ACCESO
El control de acceso es una til medida de seguridad aadida; un sistema de control de acceso le
permite simplemente desactivar prdida o robo de tarjetas de ID. Adems, si tiene un problema con
el robo o invasin de propiedad, el sistema de control de acceso le permitir vigilar al empleado las
entradas al edificio. Un buen sistema de control de acceso puede proveer e integrar nuevos
sistemas de seguridad existentes o en el conjunto del sistema de control de acceso de seguridad.
Control de acceso a los sistemas de seguridad son una tendencia creciente, ya que el trabajo as
como una parte de un sistema general de seguridad para crear un entorno seguro para sus
empleados, los bienes y archivos.

25

No son infalibles, ni son un sustituto de la buena gestin de los empleados, pero que
probablemente un aumento general de la puntualidad, la nmina y hacer ms conveniente el
mantenimiento de registros.

Realiza el control total (quin, dnde, cundo) de entradas/salidas de vehculos y personas en
puntos de acceso. Definicin de los accesos por puertas, salas e itinerarios sin lmite en el nmero
de puntos a controlar, ya sean puertas, barreras o torniquetes. Permite la asignacin por grupos de
los lugares de acceso autorizados en determinadas horas y en los das de la semana que
interesen, siendo la asignacin individual por cada persona. Como opcin, se puede disponer del
control en pantalla de ausentes / presentes en tiempo real, as como su ubicacin en el centro.
Informes disponibles en origen: Accesos por empleado, Accesos por puerta, Intentos de acceso no
permitidos, Accesos por sala, Accesos por itinerario, Tiempos de permanencia por persona y por
sala.

3.5 HERRAMIENTAS CASE
Las herramientas CASE (Computer Aided Software Engineering) son diversas aplicaciones
informticas destinadas a aumentar la productividad en el desarrollo de software reduciendo el
costo de las mismas en trminos de tiempo y de dinero. Estas herramientas nos pueden ayudar en
todos los aspectos del ciclo de vida de desarrollo del software en tareas como el proceso de
realizar un diseo del proyecto, calculo de costos, implementacin de parte del cdigo
automticamente con el diseo dado, compilacin automtica, documentacin o deteccin de
errores entre otras.

Las herramientas CASE alcanzaron su techo a principios de los aos 90. En la poca en la que
IBM haba conseguido una alianza con la empresa de software AD/Cycle para trabajar con sus
mainframes, estos dos gigantes trabajaban con herramientas CASE que abarcaban todo el ciclo de
vida del software. Pero poco a poco los mainframes han ido siendo menos utilizados y actualmente
el mercado de las Big CASE ha muerto completamente abriendo el mercado de diversas
herramientas ms especficas para cada fase del ciclo de vida del software.

Hoy en da, muchas empresas se han extendido a la adquisicin de herramientas CASE , con el fin
de automatizar los aspectos clave de todo el proceso de desarrollo de un sistema, desde el
principio hasta el final e incrementar su posicin en el mercado competitivo, pero obteniendo
algunas veces elevados costos en la adquisicin de la herramienta y costos de entrenamiento de
personal as como la falta de adaptacin de la herramienta a la arquitectura de la informacin y a
las metodologas de desarrollo utilizadas por la organizacin. Por otra parte, algunas herramientas
26

CASE proporciona un conjunto de herramientas semiautomatizadas y automatizadas que estn
desarrollando una cultura de ingeniera para muchas empresas. Uno de los objetivos ms
importante del CASE (a largo plazo) es conseguir la generacin automtica de programas desde
una especificacin a nivel de diseo.

El uso de las herramientas CASE puede mejorar la productividad en el desarrollo de una aplicacin
de bases de datos.

Para profundizar un poco mas en el tema es de vital importancia saber cuales son los principales
objetivos de esta herramienta, por lo que a continuacin se mencionan algunos de ellos:

Mejorar la productividad en el desarrollo y mantenimiento del software.
Aumentar la calidad del software.
Mejorar el tiempo y costo de desarrollo y mantenimiento de los sistemas informticos.
Mejorar la planificacin de un proyecto
Aumentar la biblioteca de conocimiento informtico de una empresa ayudando a la bsqueda de
soluciones para los requisitos.
Automatizar, documentacin, generacin de cdigo, pruebas de errores y gestin del proyecto.
Gestin global en todas las fases de desarrollo de software con una misma herramienta.
Facilitar el uso de las distintas metodologas propias de la ingeniera del software.
Permitir la aplicacin prctica de metodologas estructuradas, las cuales al ser realizadas con
una herramienta se consigue agilizar el trabajo.
Facilitar la realizacin de prototipos y el desarrollo conjunto de aplicaciones.
Simplificar el mantenimiento de los programas.
Mejorar y estandarizar la documentacin.
Aumentar la portabilidad de las aplicaciones.
Facilitar la reutilizacin de componentes software.
Permitir un desarrollo y un refinamiento visual de las aplicaciones, mediante la utilizacin de
grficos.

Una vez entendido los objetivos mencionados anteriormente podemos pasar a analizar cuales son
sus componentes. De una forma esquemtica podemos decir que una herramienta CASE se
compone de los siguientes elementos:

Repositorio (diccionario) donde se almacenan los elementos definidos o creados por la
herramienta, y cuya gestin se realiza mediante el apoyo de un Sistema de Gestin de Base
de Datos (SGBD) o de un sistema de gestin de ficheros.

27

Meta modelo (no siempre visible), que constituye el marco para la definicin de las tcnicas y
metodologas soportadas por la herramienta.

Carga o descarga de datos, son facilidades que permiten cargar el repertorio de la herramienta
CASE con datos provenientes de otros sistemas, o bien generar a partir de la propia
herramienta esquemas de base de datos, programas, etc. que pueden, a su vez, alimentar
otros sistemas. Este elemento proporciona as un medio de comunicacin con otras
herramientas.

Comprobacin de errores, facilidades que permiten llevar a cabo un anlisis de la exactitud,
integridad y consistencia de los esquemas generados por la herramienta.

Interfaz de usuario, que constar de editores de texto y herramientas de diseo grfico que
permitan, mediante la utilizacin de un sistema de ventanas, iconos y mens, con la ayuda del
ratn, definir los diagramas, matrices, etc. que incluyen las distintas metodologas.

Ahora bien debido a los diferentes niveles que una organizacin maneja la estructura CASE se
basa en la siguiente terminologa:
CASE de alto nivel son aquellas herramientas que automatizan o apoyan las fases finales
o superiores del ciclo de vida del desarrollo de sistemas como la planificacin de sistemas,
el anlisis de sistemas y el diseo de sistemas.

CASE de bajo nivel son aquellas herramientas que automatizan o apoyan las fases finales
o inferiores del ciclo de vida como el diseo detallado de sistemas, la implantacin de
sistemas y el soporte de sistemas.

CASE cruzado de ciclo de vida se aplica a aquellas herramientas que apoyan actividades
que tienen lugar a lo largo de todo el ciclo de vida, se incluyen actividades como la gestin
de proyectos y la estimacin.

Como podemos ver estas herramientas han tenido un gran crecimiento que nos han permitido
tener una visin hacia el futuro, debido a esta causa las herramientas CASE evolucionan hacia tres
tipos de integracin:
1) La integracin de datos permite disponer de herramientas CASE con diferentes estructuras
de diccionarios locales para el intercambio de datos.

2) La integracin de presentacin confiere a todas las herramientas CASE el mismo aspecto.

28

3) La integracin de herramientas permite disponer de herramientas CASE capaces de
invocar a otras CASE de forma automtica.

Ante esta situacin surge una pregunta muy importante como saber cuando una herramienta es
integrada?, para encontrar la respuesta identificamos cinco tipos de integracin:

1) Integracin de plataformas: se refiere a una herramienta con un conjunto comn de servicios
proporcionados por el ambiente operativo. Por ejemplo, el ambiente UNIX. En algunos
aspectos, esta es la forma de integracin mas baja, porque la integracin no es el objetivo
directo de la herramienta, sino que es el resultado de las caractersticas especiales del Sistema
Operativo sobre el que la herramienta trabaja.

2) Integracin de presentacin: se refiere a la definicin de una interfase de usuario consistente
entre las diferentes herramientas. Estandarizar las interfases de usuario aumenta la flexibilidad
y simplifica la eleccin de las herramientas por parte de los usuarios. Las organizaciones
intentan lograr desde hace tiempo una integracin en los formularios para usuarios y
desarrolladores, a fin de conseguir un vocabulario nico y un contenido de mens similar en
todas sus interfases grficas. Reduce el costo y tiempo de entrenamiento.

3) Integracin de control: se refiere a la habilidad de las herramientas para informar a otras
herramientas de sus acciones y recibir requerimientos de otras herramientas. Que en el
momento que se defina una accin en una herramienta de anlisis y diseo, se notifique o se
acceda a las otras herramientas afectadas. Las organizaciones tienen hace tiempo una forma
rudimentaria de integracin de control usando scripts que invocan programas segn el
resultado de distintas condiciones.

4) Integracin de datos: se refiere a la transferencia de informacin entre herramientas y al
establecimiento de las relaciones entre datos utilizando diferentes herramientas. Las formas de
transferencia son:

Las herramientas de forma individual permitan un intercambio de interfases y formato. Son
fciles de implementar pero no permiten una integracin efectiva de las relaciones entre
datos.
Tener una base comn, con filtros que extraen informacin y la almacena en bases
intermedias. Dependen del mantenimiento de la integracin punto a punto y generan
redundancia entre la base central y la auxiliar.
29

Que haya una BD centralizada donde todas las herramientas guarden su informacin. La
total funcionalidad del repositorio proporciona la capacidad de mantener el contenido
semntico de los objetos, lo que permite el trabajo conjunto de varias herramientas.

5) Integracin de procesos: se refiere a la automatizacin de la secuencia de actividades que la
organizacin ha definido como componentes del ciclo de vida del desarrollo del software. Se
usan mecanismos de integracin de presentacin, control y datos para permitir un alto nivel de
integracin de procesos, ya que esta es la fase final de integracin.

Por otro lado aunque no es fcil y no existe una forma nica de clasificarlas, las herramientas
CASE se pueden clasificar teniendo en cuenta los siguientes parmetros:

Las plataformas que soportan.
Las fases del ciclo de vida del desarrollo de sistemas que cubren.
La arquitectura de las aplicaciones que producen.
Su funcionalidad.

La siguiente clasificacin es la ms habitual basada en las fases del ciclo de desarrollo que cubren:

Upper CASE (U-CASE), herramientas que ayudan en las fases de planificacin, anlisis de
requisitos y estrategia del desarrollo, usando, entre otros diagramas UML.
Middle CASE (M-CASE), herramientas para automatizar tareas en el anlisis y diseo de la
aplicacin.
Lower CASE (L-CASE), herramientas que semiautomatizan la generacin de cdigo, crean
programas de deteccin de errores, soportan la depuracin de programas y pruebas.
Adems automatizan la documentacin completa de la aplicacin. Aqu pueden incluirse
las herramientas de Desarrollo_rpido_de_aplicaciones.
Existen otros nombres que se le dan a este tipo de herramientas, y que no es una
clasificacin excluyente entre si, ni con la anterior:
Integrated CASE (I-CASE), herramientas que engloban todo el proceso de desarrollo
software, desde anlisis hasta implementacin.
MetaCASE, herramientas que permiten la definicin de nuestra propia tcnica de
modelado, los elementos permitidos del metamodelo generado se guardan en un
repositorio y pueden ser usados por otros analistas, es decir, es como si definiramos
nuestro propio UML, con nuestros elementos, restricciones y relaciones posibles.
CAST (Computer-Aided Software Testing), herramientas de soporte a la prueba de
software.
30

IPSE (Integrated Programming Support Environment), herramientas que soportan todo el
ciclo de vida, incluyen componentes para la gestin de proyectos y gestin de la
configuracin.

Por funcionalidad podramos diferenciar algunas como:
Herramientas de generacin semiautomtica de cdigo.
Editores UML.
Herramientas de Refactorizacin de cdigo.
Herramientas de mantenimiento como los sistemas de control de versiones.

Hasta este momento hemos hablado de distintos puntos, ahora es momento de hablar de las
consideraciones que se deben tener en cuenta para la eleccin de una Herramienta Case:
Identificar la magnitud de problemas a resolver en la Institucin.
Identificar el nivel estratgico que deben tener los sistemas.
Evaluar los recursos de hardware y software disponibles en la Institucin y el medio.
Evaluar el nivel del personal.
Efectuar un estudio de costo-beneficio definiendo metas a lograr.
Elegir las herramientas apropiadas para la Institucin.
Establecer un programa de capacitacin de personal de sistemas y usuarios
Elegir una aplicacin que rena la mayor parte de los siguientes requisitos:

Gran impacto de resultados.

Disponibilidad de recursos.

Mnimo nivel de riesgos.

Mxima colaboracin de usuarios.

Tamao reducido de solucin.
Se establecer interfaces de compatibilidad de los nuevos sistemas que deben convivir con los
sistemas anteriores.

Como todo lo que existe hoy en da encontramos ventajas y desventajas que de igual forma no
podemos dejar de considerar:

Ventajas
Se pueden llegar a obtener las siguientes:
Menor tiempo de mantenimiento
31

Mayor independencia entre anlisis, diseo y programacin
Mayor independencia del anlisis y diseo con respecto a un entorno en particular.
Trabajar con tareas de mayor nivel que la codificacin pura.
Mejora de la calidad del producto de software
Aplicaciones ms productivas para la empresa.
Desventajas
Muchas veces las herramientas CASE no cumplen los objetivos esperados, o simplemente no
resultan atractivas para las empresas. Las razones pueden ser muchas, entre ellas:

Dificultades para adaptarse al cambio, pues es un cambio cultural, no solo tcnico.
Es difcil pasar de un anlisis realizado en solitario a la realizacin del anlisis en
colaboracin con los usuarios o con un equipo.

Muchas empresas no cumplen o no tienen prcticas de gestin de software organizadas,
sin las cuales la automatizacin del proceso de anlisis y diseo suele resultar ineficaz o
imposible.
A veces se cree que las nuevas herramientas son soluciones mgicas, cuando en realidad
el resultado se ve a mediano y largo plazo.
Muchos sectores de software estn tan atrasados en el cumplimiento de sus trabajos que
no disponen de tiempo para pensar en nuevas polticas de desarrollo.
Falsas expectativas creadas por los vendedores que originan desengaos y frustraciones.

Realmente son las herramientas CASE el mejor mtodo para el anlisis y soluciones de software,
ya que han venido a mejorar los aspectos claves en el desarrollo de los sistemas de informacin,
las CASE han sido creadas para la automatizacin de procesos de anlisis, diseo e
implementacin, brindndonos una un sin numero de componentes que hacen que los proyectos
sean cada da mas eficientes para los usuarios finales.
Desde que se crearon stas herramientas (1984) hasta la actualidad, las CASE cuentan con una
credibilidad y exactitud que tienen un reconocimiento universal, siendo usadas por cualquier
analista y / o programador que busca un resultado ptimo y eficaz, para cada uno de sus procesos.

3.6 METODOLOGA UML
Cuando hablamos de UML necesariamente debemos referirnos al concepto de las metodologas y
de la abstraccin de objetos, por ello empezaremos por dar estas definiciones.
32

Metodologa, del griego (met "ms all" ods "camino" logos "estudio"). Se refiere a los mtodos
de investigacin que se siguen para alcanzar una gama de objetivos en una ciencia. Mtodo es el
procedimiento para alcanzar los objetivos y la metodologa es el estudio del mtodo. Por ello, la
metodologa se entender aqu como la parte del proceso de investigacin (Mtodo Cientfico), que
sigue a la propedutica, y permite sistematizar los mtodos y las tcnicas necesarias para llevarla
a cabo.

Ya conociendo lo que es una metodologa, definamos a la metodologa UML. Lenguaje Unificado
de Modelado (UML, por sus siglas en ingls, Unified Modeling Language) es el lenguaje de
modelado de sistemas de software ms conocido y utilizado en la actualidad; est respaldado por
el OMG (Object Management Group). Es un lenguaje grfico para visualizar, especificar, construir y
documentar un sistema de software. UML ofrece un estndar para describir un "plano" del sistema
(modelo), incluyendo aspectos conceptuales tales como procesos de negocio y funciones del
sistema, y aspectos concretos como expresiones de lenguajes de programacin, esquemas de
bases de datos y componentes de software reutilizables.

Es importante resaltar que UML es un "lenguaje" para especificar y no para describir mtodos o
procesos. Se utiliza para definir un sistema de software, para detallar los artefactos en el sistema y
para documentar y construir. En otras palabras, es el lenguaje en el que est descrito el modelo.
Se puede aplicar en una gran variedad de formas para dar soporte a una metodologa de desarrollo
de software (tal como el Proceso Unificado Racional o RUP), pero no especifica en s mismo qu
metodologa o proceso usar.

UML no puede compararse con la programacin estructurada, pues UML significa (Lengua de
Modelacin Unificada), no es programacin, solo se diagrama la realidad de una utilizacin en un
requerimiento. Mientras que, programacin estructurada, es una forma de programar como lo es la
orientacin a objetos
9
, sin embargo, la orientacin a objetos viene siendo un complemento perfecto
de UML, pero no por eso se toma UML slo para lenguajes orientados a objetos

La explicacin se basar en los diagramas, en lugar de en vistas o anotacin, ya que son estos la
esencia de UML. Cada diagrama usa la anotacin pertinente y la suma de estos diagramas crean
las diferentes vistas. Las vistas existentes en UML son:

Se Dispone de dos tipos diferentes de diagramas los que dan una vista esttica del sistema y los
que dan una visin dinmica. Los diagramas estticos son:

9
33

Diagrama de clases: muestra las clases, interfaces, colaboraciones y sus relaciones. Son
los ms comunes y dan una vista esttica del proyecto.
Diagrama de objetos: Es un diagrama de instancias de las clases mostradas en el
diagrama de clases. Muestra las instancias y como se relacionan entre ellas. Se da una
visin de casos reales.
Diagrama de componentes: Muestran la organizacin de los componentes del sistema. Un
componente se corresponde con una o varias clases, interfaces o colaboraciones.
Diagrama de despliegue.: Muestra los nodos y sus relaciones. Un nodo es un conjunto de
componentes. Se utiliza para reducir la complejidad de los diagramas de clases y
componentes de un gran sistema. Sirve como resumen e ndice.
Diagrama de casos de uso: Muestran los casos de uso, actores y sus relaciones. Muestra
quien puede hacer que y relaciones existen entre acciones (casos de uso). Son muy
importantes para modelar y organizar el comportamiento del sistema.

Lo diagramas dinmicos son:

Diagrama de secuencia, Diagrama de colaboracin: Muestran a los diferentes objetos y las
relaciones que pueden tener entre ellos, los mensajes que se envan entre ellos. Son dos
diagramas diferentes, que se puede pasar de uno a otro sin perdida de informacin, pero que
nos dan puntos de vista diferentes del sistema. En resumen, cualquiera de los dos es un
Diagrama de Interaccin.

Diagrama de estados: muestra los estados, eventos, transiciones y actividades de los
diferentes objetos. Son tiles en sistemas que reaccionen a eventos.

Diagrama de actividades: Es un caso especial del diagrama de estados. Muestra el flujo entre
los objetos. Se utilizan para modelar el funcionamiento del sistema y el flujo de control entre
objetos.

Como podemos ver el nmero de diagramas es muy alto, en la mayora de los casos excesivos, y
UML permite definir solo los necesarios, ya que no todos son necesarios en todos los proyectos.
En el documento se dar una breve explicacin de todos, amplindose para los ms necesarios.

Diagramas recomendados
Los diagramas a representar dependern del sistema a desarrollar, para ello se efectuan las
siguientes recomendaciones dependiendo del sistema. Estas recomendaciones se debern
34

adaptar a las caractersticas de cada desarrollo, y seguramente ser la practica lo que nos diga las
cosas que echamos en falta o los diagramas que parecen ser menos necesarios.

Aplicacin monopuesto:
Diagrama de casos de uso.
Diagrama de clases.
Diagrama de interaccin.

Aplicacin monopuesto, con entrada de eventos:
Aadir: Diagrama de estados.

Aplicacin cliente servidor:
Aadir: Diagrama de despliegue y diagrama de componentes, dependiendo de la
complejidad.

Aplicacin compleja distribuida:

Todos.

As tenemos que para una aplicacin sencilla debemos realizar entre tres y seis tipos de
diagramas, y para una aplicacin compleja unos nueve tipos. Es esto demasiado trabajo? En un
principio no lo parece, ya que el tiempo dedicado a la realizacin de los diagramas es proporcional
al tamao del producto a realizar, no entraremos en la discusin de que el tiempo de diseo no es
tiempo perdido si no ganado. Para la mayora de los casos tendremos suficiente con tres o cuatro
diagramas. Debemos pensar que UML esta pensado para el modelado tanto de pequeos
sistemas como de sistemas complejos, y debemos tener en cuenta que los sistemas complejos
pueden estar compuestos por millones de lneas de cdigo y ser realizados por equipos de
centenares de programadores. As que no debemos preocuparnos, el mayor de nuestros
proyectos, desde el punto de vista de UML no deja de ser un proyecto mediano tirando a pequeo.
Diagrama de casos de uso.

Se emplean para visualizar el comportamiento del sistema, una parte de el o de una sola clase. De
forma que se pueda conocer como responde esa parte del sistema. El diagrama de uso es muy til
para definir como debera ser el comportamiento de una parte del sistema, ya que solo especifica
como deben comportarse y no como estn implementadas las partes que define. Por ello es un
buen sistema de documentar partes del cdigo que deban ser reutilizables por otros
desarrolladores. El diagrama tambin puede ser utilizado para que los expertos de dominio se
comuniquen con los informticos sin llegar a niveles de complejidad. Un caso de uso especifica un
requerimiento funcional, es decir indica esta parte debe hacer esto cuando pase esto.
35

En el diagrama nos encontramos con diferentes figuras que pueden mantener diversas relaciones
entre ellas:

Casos de uso: representado por una elipse, cada caso de uso contiene un nombre, que indique su
funcionalidad. Los casos de uso pueden tener relaciones con otros caso de uso. Sus relaciones
son:
Include: Representado por una flecha, en el diagrama de ejemplo podemos ver como un
caso de uso, el de totalizar el coste incluye a dos casos de uso.
Extends: Una relacin de una caso de Uso A hacia un caso de uso B indica que el caso de
uso B implementa la funcionalidad del caso de uso A.
Generalization: Es la tpica relacin de herencia.

Actores: se representan por un mueco. Sus relaciones son:
Communicates: Comunica un actor con un caso de uso, o con otro actor.
Parte del sistema (System boundary): Representado por un cuadro, identifica las diferentes
partes del sistema y contiene los casos de uso que la forman.

Val i dar Pr oduct o
Cr ear Pr oduct o
Cr ear pack pr oduct os
Act or 1
<<i ncl ude>>
<<ext end>>

En este grafico encontramos tres casos de usos Crear producto utiliza Validar producto, y Crear
pack productos es una especializacin de Crear productos. Podemos emplear el diagrama de dos
formas diferentes, para modelar el contexto de un sistema, y para modelar los requisitos del
sistema.

Modelado del contexto.
Se debe modelar la relacin del sistema con los elementos externos, ya que son estos elementos
los que forman el contexto del sistema.

Fig. III.9 System boundary
36

Los pasos a seguir son:

Identificar los actores que interactan con el sistema.
Organizar a los actores.
Especificar sus vas de comunicacin con el sistema.

I ndi vi dual Cor por at i vo
Cl i ent e
Comer ci o
Banco
Val i daci n t ar j et as de cr edi t o.
Real i zar t r ansacci on
Pr ocesar f act ur a
Gest i onar cuent a

Modelado de requisitos
La funcin principal, o la mas conocida del diagrama de casos de uso es documentar los requisitos
del sistema, o de una parte de el. Los requisitos establecen un contrato entre el sistema y su
exterior, definen lo que se espera que realice el sistema, sin definir su funcionamiento interno. Es el
paso siguiente al modelado del contexto, no indica relaciones entre autores, tan solo indica cuales
deben ser las funcionalidades (requisitos) del sistema. Se incorporan los casos de uso necesarios
que no son visibles desde los usuarios del sistema.

Para modelar los requisitos es recomendable:
Establecer su contexto, para lo que tambin podemos usar un diagrama de casos de uso.
Identificar las necesidades de los elementos del contexto (Actores).
Nombrar esas necesidades, y darles forma de caso de uso.
Identificar que casos de uso pueden ser especializaciones de otros, o buscar
especializaciones comunes para los casos de uso ya encontrados.

Fig. III.10 Validacin
37

Banco
Comer ci o
Cl i ent e
Val i daci n t ar j et as de cr edi t o.
Real i zar t r ansacci on
Pr ocesar f act ur a
Gest i onar cuent a
Consul t ar est ado cuent as
Det ect ar descubi er t os
<<i ncl ude>>

En este grafico encontramos tres casos de usos Crear producto utiliza Validar producto, y Crear
pack productos es una especializacin de Crear productos. Podemos emplear el diagrama de dos
formas diferentes, para modelar el contexto de un sistema, y para modelar los requisitos del
sistema.

Diagrama de clases
Forma parte de la vista esttica del sistema. En el diagrama de clases como ya hemos comentado
ser donde definiremos las caractersticas de cada una de las clases, interfaces, colaboraciones y
relaciones de dependencia y generalizacin. Es decir, es donde daremos rienda suelta a nuestros
conocimientos de diseo orientado a objetos, definiendo las clases e implementando las ya tpicas
relaciones de herencia y agregacin. En el diagrama de clases debemos definir a estas y a sus
relaciones.

La Clase
Una clase esta representada por un rectngulo que dispone de tres apartados, el primero para
indicar el nombre, el segundo para los atributos y el tercero para los mtodos. Cada clase debe
tener un nombre nico, que las diferencie de las otras.

Un atributo representa alguna propiedad de la clase que se encuentra en todas las instancias de la
clase. Los atributos pueden representarse solo mostrando su nombre, mostrando su nombre y su
tipo, e incluso su valor por defecto.

Fig. III.11 Requisitos Validacin
38

Usuario
Nombre : char
Direccion : char
situacion : int = 3
Entrar()
Salir()
Trabajar()
Un mtodo o operacin es la implementacin de un servicio de la clase, que muestra un
comportamiento comn a todos los objetos. En resumen es una funcin que le indica a las
instancias de la clase que hagan algo.

Para separar las grandes listas de atributos y de mtodos se pueden utilizar estereotipos. En la
Figura III.10 podemos ver un ejemplo. La clase usuario contiene tres atributos. Nombre que es
public, direccin que es protected y situacin que es private. Situacin empieza con el valor 3.
Tambin dispone de tres mtodos Entrar, Salir y Trabajar.

Relaciones entre clases.
Existen tres relaciones diferentes entre clases, Dependencias, Generalizacin y Asociacin. En las
relaciones se habla de una clase destino y de una clase origen. La origen es desde la que se
realiza la accin de relacionar. Es decir desde la que parte la flecha, la clase destino es la que
recibe la flecha. Las relaciones se pueden modificar con estereotipos o con restricciones.

Dependencias.
Es una relacin de uso, es decir una clase usa a otra, que la necesita para su cometido. Se
representa con una flecha discontinua va desde la clase utilizadora a la clase utilizada. Con la
dependencia mostramos que un cambio en la clase utilizada puede afectar al funcionamiento de la
clase utilizadora, pero no al contrario. Aunque las dependencias se pueden crear tal cual, es decir
sin ningn estereotipo (palabreja que aparece al lado de la lnea que representa la dependencia)
UML permite dar mas significado a las dependencias, es decir concretar mas, mediante el uso de
estereotipos.

Generalizacin.
Pues es la herencia, donde tenemos una o varias clases padre o superclase o madre, y una clase
hija o subclase. UML soporta tanto herencia simple como herencia mltiple. Aunque la
representacin comn es suficiente en el 99.73% de los casos UML nos permite modificar la
relacin de Generalizacin con un estereotipo y dos restricciones.
Fig. III.12 Ejemplo clase-atributos
39

Estereotipo de generalizacin.
Implementation: El hijo hereda la implementacin del padre, sin publicar ni soportar sus interfaces.

Restricciones de generalizacin.
Complete: La generalizacin ya no permite ms hijos.
Incomplete: Podemos incorporar ms hijos a la generalizacin.
Disjoint: solo puede tener un tipo en tiempo de ejecucin, una instancia del padre solo
podr ser de un tipo de hijo.
Overlapping: puede cambiar de tipo durante su vida, una instancia del padre puede ir
cambiando de tipo entre los de sus hijos.

Asociacin.
Especifica que los objetos de una clase estn relacionados con los elementos de otra clase. Se
representa mediante una lnea continua, que une las dos clases. Podemos indicar el nombre,
multiplicidad en los extremos, su rol, y agregacin.

Adems de haberse convertido en un estndar de facto, UML es un estndar industrial para
intercambio de objetos distribuidos. Para la revisin de UML se formaron dos "corrientes" que
promovan la aparicin de la nueva versin desde distintos puntos de vista. Finalmente se impuso
la visin ms industrial frente a la acadmica. Recientemente se ha publicado la versin 2.0 en la
que aparecen muchas novedades y cambios que, fundamentalmente, se centran en resolver
carencias prcticas.

CAPTULO IV
LA NORMA ISO 27001 Y LA SEGURIDAD

39

CAPTULO IV LA NORMA ISO 27001 Y LA SEGURIDAD.
4.1 INTRODUCCIN.
La Organizacin Internacional para la Estandarizacin o ISO en ingls, International Organization
for Standardization, que nace despus de la Segunda Guerra Mundial fue creada el 23 de febrero
de 1947, es el organismo encargado de promover el desarrollo de normas internacionales de
fabricacin, comercio y comunicacin para todas las ramas industriales a excepcin de la elctrica
y la electrnica. Su funcin principal es la de buscar la estandarizacin de normas de productos y
seguridad para las empresas u organizaciones a nivel internacional.

La ISO es una red de los institutos de normas nacionales de 157 pases, sobre la base de un
miembro por pas, con una Secretara Central en Ginebra, Suiza, que coordina el sistema. La
Organizacin Internacional de Normalizacin ISO, con base en Ginebra, Suiza, est compuesta por
delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomits
encargados de desarrollar las guas que contribuirn al mejoramiento ambiental.

Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no
gubernamental y no depende de ningn otro organismo internacional, por lo tanto, no tiene
autoridad para imponer sus normas a ningn pas.

Es una organizacin internacional no gubernamental, las normas desarrolladas por ISO son
voluntarias, por lo tanto, no tiene autoridad para imponer sus normas a ningn pas. Esta
compuesta por representantes de los organismos de normalizacin nacionales, que produce
normas internacionales industriales y comerciales. Dichas normas se conocen como Normas ISO y
su finalidad es la coordinacin de las normas nacionales, en consonancia con el Acta Final de la
Organizacin Mundial del Comercio, con el propsito de facilitar el comercio, facilitar el intercambio
de informacin y contribuir con unos Estndares comunes para el desarrollo y transferencia de
tecnologas.

El objetivo de la ISO es llegar a un consenso con respecto a las soluciones que cumplan con las
exigencias comerciales y sociales tanto para los clientes como para los usuarios.

La Organizacin ISO est compuesta por tres tipos de miembros:
1. Miembros natos, uno por pas, recayendo la representacin en el organismo nacional ms
representativo.
2. Miembros correspondientes, de los organismos de pases en vas de desarrollo y que
todava no poseen un comit nacional de normalizacin. No toman parte activa en el
40

proceso de normalizacin pero estn puntualmente informados acerca de los trabajos que
les interesen.
3. Miembros suscritos, pases con reducidas economas a los que se les exige el pago de
tasas menores que a los correspondientes.

ISO no es un acrnimo; proviene del griego iso, que significa igual. Es un error comn el pensar
que ISO significa International Standards Organization, o algo similar; en ingls su nombre es
International Organization for Standardization, mientras que en francs se denomina Organisation
Internationale de Normalisation; el uso del acrnimo conducira a nombres distintos: IOS en ingls
y OIN en francs, por lo que los fundadores de la organizacin eligieron ISO como la forma corta y
universal de su nombre.

Algunos estndares son los siguientes:

ISO 216 - Medidas de papel: ISO A4.
ISO 639 - Nombres de lenguas.
ISO 690:1987 - Regula las citas bibliogrficas (corresponde a la norma UNE 50104:1994).
ISO 690-2:1997 - Regula las citas bibliogrficas de documentos electrnicos.
ISO 732 - Formato de carrete de 120.
ISO 838 - Estndar para perforadoras de papel.
ISO/IEC 1539-1 - Lenguaje de programacin Fortran.
ISO 3029 - Formato carrete de 126.
ISO 3166 - Cdigos de pases.
ISO 4217 - Cdigos de divisas.
ISO 7811 - Tcnica de grabacin en tarjetas de identificacin.
ISO 8601 - Representacin del tiempo y la fecha. Adoptado en Internet mediante el Date and
Time Formats de W3C que utiliza UTC .
ISO 8859 - Codificaciones de caracteres que incluye ASCII como un subconjunto (Uno de ellos
es el ISO 8859-1, que permite codificar las lenguas originales de Europa occidental, como el
espaol).
ISO/IEC 8652:1995 - Lenguaje de programacin Ada.
ISO 9000 - Sistemas de Gestin de la Calidad - Fundamentos y vocabulario.
ISO 9001 - Sistemas de Gestin de la Calidad - Requisitos.
ISO 9004 - Sistemas de Gestin de la Calidad - Directrices para la mejora del desempeo.
ISO 9660 - Sistema de archivos de CD-ROM.
41

ISO 9899 - Lenguaje de programacin C.
ISO 10279 - Lenguaje de programacin BASIC.
ISO 10646 - Universal Character Set.
ISO/IEC 11172 - MPEG-1.
ISO/IEC 12207 - Tecnologa de la informacin / Ciclo de vida del software.
ISO 14000 - Estndares de Gestin Medioambiental en entornos de produccin.
ISO/IEC 15444 - JPEG 2000.
ISO 15693 - Estndar para tarjetas de vecindad.
ISO 22000 - Inocuidad en alimentos.
ISO 26300 - OpenDocument.
ISO/IEC 17025 -Requisitos generales relativos a la competencia de los laboratorios de ensayo
y calibracin.
ISO/IEC 26300 - OpenDocument Format (.odf).
ISO/IEC 27001 - Sistema de Gestin de Seguridad de la Informacin.
ISO/IEC 20000 - Tecnologa de la informacin. Gestin del servicio.
ISO 32000 - Formato de Documento Porttil (.pdf).
GARANTA S-1- Garanta contra todo tipo de fallos en la grabacin de discos compactos,
excepto problemas de compatibilidad.

4.2 NORMA 9000 Y 9001.
La familia de normas ISO 9000 son normas de "calidad" y "gestin continua de calidad",
establecidas por la Organizacin Internacional para la Estandarizacin ISO que se pueden aplicar
en cualquier tipo de organizacin o actividad sistemtica, que est orientada a la produccin de
bienes o servicios.
Se componen de estndares y guas relacionados con sistemas de gestin y de herramientas
especficas como los mtodos de auditoria en el proceso de verificar que los sistemas de gestin
cumplen con el estndar. Su implantacin en estas organizaciones, aunque supone un duro
trabajo, ofrece una gran cantidad de ventajas para las empresas.

Los principales beneficios son:
Reduccin de rechazos e incidencias en la produccin o prestacin del servicio
Aumento de la productividad
Mayor compromiso con los requisitos del cliente
42

Mejora continua
Estas normas pueden aplicarse prcticamente en cualquier compaa. No estn diseadas
especialmente para un producto o industria determinada. La serie de normas de ISO 9000 consta
de requisitos y directrices que permiten establecer y mantener un sistema de calidad en la
compaa.

En lugar de dictar especificaciones para el producto final, ISO 9000 se centra en los procesos
sustantivos, es decir, en la forma en que se produce. Las normas ISO 9000 requieren de sistemas
documentados que permitan controlar los procesos que se utilizan para desarrollar y fabricar los
productos. Estos tipos de normas se fundamentan en la idea de que hay ciertos elementos que
todo sistema de calidad debe tener bajo control, con el fin de garantizar que los productos y
servicios de calidad se fabriquen en forma consistente y a tiempo.

Para verificar que se cumple con los requisitos de la norma, existen unas entidades de certificacin
que dan sus propios certificados y permiten el sello. Estas entidades estn vigiladas por
organismos nacionales que les dan su acreditacin. Sin embargo, tal como ha ocurrido con los
sistemas de administracin de calidad adaptados a la norma ISO 9000, estas normas pueden
convertirse en un requisito para que una empresa se mantenga en una posicin competitiva dentro
del mercado.

Las Normas ISO 9000 no definen como debe ser el Sistema de Gestin de la Calidad de nuestra
empresa a estudiar, sino que fija requisitos mnimos que deben cumplir los sistemas de gestin de
la calidad.

Dentro de estos requisitos hay una amplia gama de posibilidades que permite a nuestra
organizacin definir nuestro propio sistema de gestin de la calidad, de acuerdo con nuestras
caractersticas particulares.

Las Normas ISO relacionadas con la calidad son las siguientes:

ISO 9000: Sistemas de Gestin de la Calidad Fundamentos y Vocabulario.
En ella se definen trminos relacionados con la calidad y establece lineamientos generales para los
Sistemas de Gestin de la Calidad.

ISO 9001: Sistemas de Gestin de la Calidad Requisitos.
Establece los requisitos mnimos que debe cumplir un Sistema de Gestin de la Calidad. Puede
utilizarse para su aplicacin interna, para certificacin o para fines contractuales.
43

La ISO 9001 es una norma internacional que se aplica a los sistemas de gestin de calidad y que
se centra en todos los elementos de administracin de calidad con los que una empresa debe
contar para tener un sistema efectivo que le permita administrar y mejorar la calidad de sus
productos o servicios. Establece los requisitos mnimos que debe cumplir un Sistema de Gestin
de la Calidad. Puede utilizarse para su aplicacin interna, para certificacin o para fines
contractuales.

Un Sistema de Gestin de la Calidad es un sistema en el cual los elementos son Procesos. La ISO
9001:2000 visualiza al Sistema de Gestin de la Calidad en su conjunto como un proceso.

4.3 QUE ES LA NORMA ISO 27001?
La informacin tiene una importancia fundamental para el funcionamiento y quiz incluso sea
decisiva para la supervivencia de la organizacin. El hecho de disponer de la certificacin segn
ISO 27001 ayuda a gestionar y proteger valiosos activos de informacin.

La norma ISO 27001 es un estndar internacional para la seguridad de la informacin publicado en
octubre de 2005. Dedicado a la organizacin de la seguridad de las tecnologas de la informacin.
Establece un sistema gerencial que permite minimizar el riesgo y proteger la informacin de
amenazas externas o internas

Esta norma, no est orientada a despliegues tecnolgicos o de infraestructura, sino a aspectos
netamente organizativos, es decir, la frase que podra definir su propsito es Organizar la
seguridad de la informacin

Actualmente es el nico estndar aceptado internacionalmente para la administracin de la
Seguridad de la Informacin y se aplica a todo tipo de organizaciones, independientemente de su
tamao o actividad.

Su objetivo principal es el establecimiento e implementacin de un Sistema de Gestin de la
Seguridad de la Informacin.

La seguridad de la informacin debe preservar la:
Confidencialidad: Aseguramiento de que la informacin es accesible slo para aquellos
autorizados a tener acceso.
Integridad: Garanta de la exactitud y completitud de la informacin y de los mtodos de
su procesamiento.
44

Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la informacin y sus activos asociados.

Entre otros objetivos de la norma son los siguientes:
La definicin clara y transmitida a toda la organizacin de los objetivos y directrices de
seguridad.
La sistematizacin, objetividad y consistencia a lo largo del tiempo en las actuaciones de
seguridad.
El anlisis y prevencin de los riesgos en los Sistemas de Informacin.
La mejora de los procesos y procedimientos de gestin de la informacin.
La motivacin del personal en cuanto a valoracin de la informacin.
El cumplimiento con la legislacin vigente.
Una imagen de calidad frente a clientes y proveedores.

Propone secuencias de acciones tendientes al:
Establecimiento-Implementacin
Operacin
Monitorizacin
Revisin-Mantenimiento
Mejora SGSI Sistema de Gestin de la Seguridad de la Informacin.

La situacin actual de la familia de la norma 27000 es la siguiente:

Publicadas.
2005 - ISO-27001 Certificable.
2006 - ISO 27006 regula los organismos de certificacin, alineada con 17021.
2007 - ISO-27002 gua de controles, Ex 17799.

Sin publicar an.
27003 Ayuda para la implantacin SGSI
27004 Mtricas
27005 Riesgos
27007 requisitos de auditoria de un SGSI
27011 Sector TICs
27031 Plan de Continuidad de Negocio.
27032 Ciberseguridad
27033 Seguridad en redes, sobre la base de 18028
45

27034 Seguridad en las aplicaciones.

4.4 BENEFICIOS DE CONTAR CON LA NORMA
El principal beneficio de la norma ISO 27001 es que aumenta la credibilidad de cualquier
organizacin. La norma claramente demuestra la validez de su informacin y un compromiso real
de mantener la seguridad de la informacin. El establecimiento y certificacin de un SGSI puede
as mismo transformar la cultura corporativa tanto interna como externa de la empresa Grupo
Senderos, abriendo nuevas oportunidades de negocio con clientes conscientes de la importancia
de la seguridad, adems de mejorar el nivel tico y profesional de los empleados y la nocin de la
confidencialidad en el puesto de trabajo. An ms, permite reforzar la seguridad de la informacin y
reducir el posible riesgo de fraude, prdida de informacin y revelacin. Adems de un alto nivel de
transparencia y confianza para los empleados de la empresa Grupo Senderos y de sus clientes y
proveedores.

4.5 NORMA ISO 27001(SGSI)
ISO 27001 es la nica norma internacional auditable que define los requisitos para un sistema de
gestin de la seguridad de la informacin (SGSI). Donde un SGCI es una parte del sistema de
gestin de una organizacin, basado en una aproximacin de los riesgos del negocio (actividad)
para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la
informacin. La creacin de un SGSI es una decisin estratgica en una organizacin y como tal,
debe ser apoyada y supervisada por la direccin. El hecho de certificar un SGSI segn la norma
ISO 27001 puede aportar las siguientes ventajas a la empresa Grupo Senderos:

Demuestra la garanta independiente de los controles internos y cumple los requisitos de
gestin corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de
aplicacin.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a
los clientes que la seguridad de su informacin es primordial.
Verifica independientemente que los riesgos de la organizacin estn correctamente
identificados, evaluados y gestionados al tiempo que formaliza los procesos,
procedimientos y documentacin de proteccin de la informacin.
Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la
informacin.
46

El proceso de evaluaciones peridicas ayudan a supervisar continuamente el rendimiento y
la mejora.
En la norma ISO 27001, se menciona lo siguiente:
"La organizacin, establecer, implementar, operar, monitorizar, revisar, mantendr y
mejorar un documentado SGSI en su contexto para las actividades globales de su negocio y de
cara a los riesgos".

Este documento deber de contener:
La poltica de seguridad
Las normas o estndares de funcionamiento
Los procedimientos detallados
Guas y recomendaciones

Para implementar el SGSI se debe utilizar el ciclo continuo PDCA
10
cuyo objetivo final es asegurar
la Integridad, Confidencialidad y Disponibilidad de la Informacin.
La metodologa PDCA es la mdula de la instrumentacin bsica de la Gestin de la Calidad Total,
pero vale la pena insistir en que su extraordinaria potencialidad tcnica solo podr ser bien
aprovechada si hay adecuada motivacin, participacin y valorizacin de los tcnicos y
funcionarios. La metodologa PDCA est integrada por cuatro pasos.

1. PLANEAR- PLAN (ESTABLECER EL SGSI) Establecer poltica, objetivos, procesos y
procedimientos SGSI relevantes para manejar el riesgo y mejorar la seguridad de la
informacin para entregar resultados en concordancia con las polticas y objetivos generales
de la organizacin.

2. HACER-DO (IMPLEMENTAR Y OPERAR EL SGSI) Implementar y operar la poltica,
controles, procesos y procedimientos SGSI.

3. CHEQUEAR- CHECK (MONITOREAR Y REVISAR EL SGSI) Evaluar y, donde sea aplicable,
medir el desempeo del proceso en comparacin con la poltica, objetivos y experiencias
prcticas SGSI y reportar los resultados a la gerencia para su revisin.

4. ACTUAR-ACT (MANTENER Y MEJORAR EL SGSI) Tomar acciones correctivas y preventivas,
basadas en los resultados de la auditoria interna SGSI y la revisin gerencial u otra informacin
relevante, para lograr el mejoramiento continuo del SGSI.

10
47

El uso eficiente de estos recursos, aplicando rigurosamente los procedimientos correspondientes,
permitir obtener resultados cada vez mejores, alcanzndose las metas establecidas, o por lo
menos, acercndose cada vez ms a ellas. Se trata de una metodologa relativamente simple, pero
que, si bien aplicada gerencialmente y con funcionarios motivados, ser extraordinariamente
efectiva.

4.6 NORMATIVIDAD Y LOS CONTROLES DE ACCESO
El concepto de control dentro de la norma agrupa todo el conjunto de acciones, documentos,
procedimientos y medidas tcnicas adoptadas para garantizar que cada amenaza, identificada y
valorada con un cierto riesgo, sea minimizada.
Organizativos
Implementacin de tecnologas de la seguridad.
Establecimiento de relaciones contractuales
Gestin de Incidencias
Gestin de Recursos Humanos
Cumplimiento con la normativa vigente.

4.7 CONTROLES DE LA NORMA
La preparacin y planificacin de SGSI, lo importante de todo este proceso es que desencadena
en una serie de controles (o mediciones) a considerar y documentar, que se puede afirmar, son
uno de los aspectos fundamentales del SGSI (junto con la Valoracin de riesgo). Cada uno de ellos
se encuentra en estrecha relacin a todo lo que especifica la norma ISO/IEC 17799:2005 en los
Fig IV.13 Metodologa PDCA.
48

puntos 5 al 15, y tal vez estos sean el mximo detalle de afinidad entre ambos estndares. La
evaluacin de cada uno de ellos debe quedar claramente documentada, y muy especialmente la de
los controles que se consideren excluidos de la misma. A continuacin se describir
detalladamente cada uno de los controles de la norma.

A) Poltica de seguridad

La Poltica de Seguridad, debera dividirse en dos documentos:

Poltica de seguridad (Nivel poltico o estratgico de la organizacin): Es la mayor lnea
rectora, la alta direccin. Define las grandes lneas a seguir y el nivel de compromiso
de la direccin con ellas.
Plan de Seguridad (Nivel de planeamiento o tctico): Define el Cmo. Es decir, baja a
un nivel ms de detalle, para dar inicio al conjunto de acciones o lneas rectoras que se
debern cumplir.

Una Poltica de Seguridad bien planteada, diseada, y desarrollada cubre la gran mayora de los
aspectos que hacen falta para un verdadero SGSI.

Poltica de Seguridad
Anlisis de riesgo
Grado de exposicin
Plan de Seguridad (semejante a Certificacin ISO)
Plan de contingencia

La poltica es el marco estratgico de la Organizacin, es el ms alto nivel. El anlisis de riesgo y el
grado de exposicin determinan el impacto que puede producir los distintos niveles de clasificacin
de la informacin que se posee. Una vez determinado estos conceptos, se pasa al Cmo que es el
Plan de Seguridad.

POLTICA DE
SEGURIDAD DE LA
INFORMACIN
Documento de
poltica
Revisin y
evaluacin
Fig IV.14 Controles Poltica de Seguridad.
49

B) Organizacin de la informacin de seguridad

Este segundo grupo de controles abarca once de ellos y se subdivide en:
Organizacin Interna: Compromiso de la Direccin, coordinaciones, responsabilidades,
autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de
inters en temas de seguridad, revisiones independientes.
Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a
clientes y socios de negocio.

Lo ms importante a destacar de este grupo son dos cosas fundamentales que abarcan a ambos
subgrupos:
Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el
mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos,
riesgos, etc.).
Derechos y obligaciones de cualquiera de los involucrados.

En este grupo de controles, lo ideal es disear e implementar una simple base de datos, que
permita de forma amigable, el alta, baja y/o modificacin de cualquiera de estos campos. La
redaccin de la documentacin inicial de responsables: derechos y obligaciones (para personal
interno y ajeno) y el conjunto de medidas a adoptar con cada uno de ellos.

Una vez lanzado este punto de partida, se debe documentar la metodologa de actualizacin,
auditabildad y periodicidad de informes de la misma.

50

C) Administracin de recursos

Este grupo cubre cinco controles y tambin se encuentra subdividido en:

Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo
aceptable de los mismos.

Clasificacin de la informacin: Guas de clasificacin y Denominacin, identificacin y
tratamiento de la informacin.

Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en
Seguridad de la informacin, en cuanto a que todo recurso debe estar perfectamente inventariado
con el mximo detalle posible, que se debe documentar el uso adecuado de los recursos y que
toda la informacin deber ser tratada de acuerdo a su nivel.

INFRAESTRUCTURA
Comit
Coordinacin
Responsabilidad
Autorizacin
Asesoramiento
Cooperacin
Revisin
ACCESOS DE
TERCERAS
PARTES
Identificacin de
riesgos
Seguridad en los
contratos
Fig IV.15 Controles Organizacin de la informacin de seguridad.
INFRAESTRUCTURA
Comit
Coordinacin
Responsabilidad
Autorizacin
Asesoramiento
Cooperacin
Revisin
ACCESOS DE
TERCERAS
PARTES
Identificacin de
riesgos
Seguridad en los
contratos
Fig IV.15 Controles Organizacin de la informacin de seguridad.
51

D) Seguridad de los recursos humanos.

Este grupo cubre nueve controles y tambin se encuentra subdividido en:

- Antes del empleo: Responsabilidades y roles, verificaciones curriculares, trminos y condiciones
de empleo.

- Durante el empleo: Administracin de responsabilidades, preparacin, educacin y entrenamiento
en seguridad de la informacin, medidas disciplinarias.

- Finalizacin o cambio de empleo: Finalizacin de responsabilidades, devolucin de recursos,
revocacin de derechos.

Se trata de un serio trabajo a realizar entre la gerencia de Recursos Humanos y los responsables
de Seguridad de la Informacin de la organizacin. Se debe partir por la redaccin de la
documentacin necesaria para la contratacin de personal y la revocacin de sus contratos (por
solicitud, cambio o despido). En la misma deber quedar bien claro las acciones a seguir para los
diferentes perfiles de la organizacin, basados en la responsabilidad de manejo de informacin que
tenga ese puesto.

Como se pueda apreciar, tanto la contratacin como el trmino de un puesto, es una actividad
conjunta de estas dos reas, y cada paso deber ser coordinado, segn la documentacin
confeccionada, para que no se pueda pasar por alto ningn detalle, pues son justamente estas
pequeas omisiones de las que luego resulta el haber quedado con alta dependencia tcnica de
personas cuyo perfil es peligroso, o que al tiempo de haberse ido, mantiene accesos o permisos
que no se debieran.
RESPONSABILIDAD
ES SOBRE LOS
ACTIVOS
Inventario de
activos
CLASIFICACIN DE
LA INFORMACIN
Guas de
clasificacin
Marcado y
tratamiento
Fig IV.16 Controles Administracin de Recursos.
52

Tanto el inicio como el trmino de cualquier tipo de actividad relacionada con personal responsable
de manejo de informacin de la organizacin, son actividades muy fciles de elaborar sus
procedimientos, pues no dejan de ser un conjunto de acciones secuenciales muy conocidas que se
deben seguir detalladamente y que paso a paso deben ser realizadas y controladas. En cuanto a
formacin, para dar cumplimiento al estndar, no solo es necesario dar cursos. Hace falta contar
con un Plan de formacin.

La formacin en seguridad de la informacin, no puede ser una actividad aperidica y determinada
por el deseo o el dinero en un momento dado, tiene que ser tratada como cualquier otra actividad
de la organizacin, es decir se debe plantear:
Meta a la que se desea llegar.
Determinacin de los diferentes perfiles de conocimiento.
Forma de acceder al conocimiento.
Objetivos de la formacin.
Metodologa a seguir.
Planificacin y asignacin de recursos.
Confeccin del plan de formacin.
Implementacin del plan.
Medicin de resultados.
Mejoras.

Fig. IV. 17 Controles Seguridad de Recursos humanos.
FORMACIN DE
LOS USUARIOS
Comunicacin de
incidencias
Comunicacin de
amenazas
Comunicacin de
fallos software
Aprender de los
incidentes
Procesos
disciplinarios
Acuerdos de
confidencialidad
Responsabilidades
en el puesto de
DEFINICIN DE LOS
PUESTOS DE TRABAJO
Responsabilidades
en el puesto de
Seleccin y poltica
de personal
FORMACIN DE
LOS USUARIOS
Comunicacin de
incidencias
Comunicacin de
amenazas
Comunicacin de
fallos software
Aprender de los
incidentes
Procesos
disciplinarios
Fig. IV. 17 Controles Seguridad de Recursos humanos.
Acuerdos de
confidencialidad
Responsabilidades
en el puesto de
DEFINICIN DE LOS
PUESTOS DE TRABAJO
Responsabilidades
en el puesto de
Seleccin y poltica
de personal
FORMACIN DE
LOS USUARIOS
Comunicacin de
incidencias
Comunicacin de
amenazas
Comunicacin de
fallos software
Aprender de los
incidentes
Procesos
disciplinarios
53

E) Seguridad fsica y del entorno.

Este grupo cubre trece controles y tambin se encuentra subdividido en:
- reas de seguridad: Seguridad fsica y perimetral, control fsico de entradas,
seguridad de locales edificios y recursos, proteccin contra amenazas externas y
del entorno, el trabajo en reas e seguridad, accesos pblicos, reas de entrega y
carga.
- Seguridad de elementos: Ubicacin y proteccin de equipos, elementos de soporte
a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en
el equipamiento fuera de la organizacin, seguridad en la redistribucin o
reutilizacin de equipamiento, borrado de informacin y/o software.

Uno de los mejores resultados que se pueden obtener en la organizacin de una infraestructura de
seguridad de la informacin, est en plantearla siempre por niveles. Tal vez no sea necesario
hacerlo con el detalle de los siete niveles del modelo ISO/OSI, pero s por lo menos de acuerdo al
modelo TCP/IP que algunos consideran de cuatro (Integrando fsico y enlace) y otros de cinco
niveles.

Es correcto considerar separadamente el nivel fsico con el de enlace, pues presentan
vulnerabilidades muy diferentes. Si se presenta entonces el modelo de cinco niveles, se puede
organizar una estructura de seguridad contemplando medidas y acciones por cada uno de ellos,
dentro de las cuales se puede plantear, por ejemplo, lo siguiente:

Aplicacin: Todo tipo de aplicaciones.
Transporte: Control de puertos UDP
11
y TCP
12
.
Red: Medidas a nivel protocolo IP e ICMP
13
, tneles de nivel 3.
Enlace: Medidas de segmentacin a nivel direccionamiento MAC
14
, tablas estticas y
fijas en switchs, control de ataques ARP
15
, control de broadcast y multicast a nivel
enlace, en el caso WiFi: verificacin y control de enlace y puntos de acceso, 802.X ,
empleo de tneles de nivel 2, etc.
Fsico: Instalaciones, locales, seguridad perimetral, Centro de Proceso de Datos
(CDPs), gabinetes de comunicaciones, control de acceso fsico, conductos de
comunicaciones, cables, fibras pticas, radio enlaces, centrales telefnicas.

11
12
13
14
15
54

En el caso fsico, es conveniente tambin separar todas ellas, por lo menos en los siguientes
documentos:
Documentacin de control de accesos y seguridad perimetral general, reas de acceso y
entrega de materiales y documentacin, zonas pblicas, internas y restringidas,
responsabilidades y obligaciones del personal de seguridad fsica.
Empleo correcto del material informtico y de comunicaciones a nivel fsico. Se debe
desarrollar aqu cuales son las medidas de seguridad fsica que se debe tener en cuenta sobre
los mismos (Ubicacin, acceso al mismo, tensin elctrica, conexiones fsicas y hardware
permitido y prohibido, manipulacin de elementos, etc.) No se incluye aqu lo referido a
seguridad lgica.
Seguridad fsica en el almacenamiento y transporte de material informtico y de
comunicaciones: Zonas y medidas de almacenamiento, metodologa a seguir para el ingreso y
egreso de este material, consideraciones particulares para el transporte del mismo (dentro y
fuera de al organizacin), personal autorizado a recibir, entregar o sacar material, medidas de
control. No se incluye aqu lo referido a resguardo y recuperacin de informacin que es motivo
de otro tipo de procedimientos y normativa.
Documentacin de baja, redistribucin o recalificacin de elementos: Procedimientos y
conjunto de medidas a seguir ante cualquier cambio en el estado de un elemento de Hardware
(Reubicacin, cambio de rol, venta, alquiler, baja, destruccin, comparticin con terceros,
incorporacin de nuevos mdulos, etc.).

Fig. IV.18 Controles Seguridad Fsica y del entorno.
CONTROLES
GENERAL
Poltica de
pantallas y mesas
Salidas de
equipos o
informacin
REAS SEGURAS
Permetro
seguridad
Control de
accesos
Oficinas y
despachos
El trabajo en
reas seguras
Zona de carga
y descarga
SEGURIDAD DE
LOS EQUIPOS
Instalacin y
proteccin
Cableado
Seguridad
fuera de la
oficina
Mantenimiento
Electricidad
55

F) Administracin de las comunicaciones y operaciones.

Este grupo comprende treinta y dos controles, es el ms extenso de todos y se divide en:
- Procedimientos operacionales y responsabilidades: Tiene como objetivo asegurar la correcta y
segura operacin de la informacin, comprende cuatro controles. Hace especial hincapi en
documentar todos los procedimientos, manteniendo los mismos y disponibles a todos los usuarios
que los necesiten, segregando adecuadamente los servicios y las responsabilidades para evitar
uso inadecuado de los mismos.

Esta tarea, en todas las actividades de seguridad (no solo informtica), se suele realizar por medio
de lo que se denomina Procedimientos Operativos Normales (PON) o Procedimientos Operativos
de Seguridad (POS), y en definitiva consiste en la realizacin de documentos breves y giles, que
dejen por sentado la secuencia de pasos o tareas a llevar a cabo para una determinada funcin.
Cuanto mayor sea el nivel de desagregacin de esta funcin, ms breve ser cada PON (tambin
habr mayor cantidad de ellos) y a su vez ms sencillo y comprensible.

Luego de trabajar algn tiempo en esta actividad, se llegar a comprender que la mayora de las
actividades relacionadas con seguridad, son fcilmente descriptibles, pues suelen ser una
secuencia de pasos bastante mecanizables, y all radica la importancia de estos procedimientos.
La gran ventaja que ofrece es:
Identificar con absoluta claridad los responsables y sus funciones.
Evitar la incertidumbre de ciertos administradores.
Evitar ambigedades de procedimientos.
Detectar ausencias procedimentales (futuras brechas de seguridad).

- Administracin de prestacin de servicios de terceras partes: Abarca tres controles, se refiere
fundamentalmente, como su nombre lo indica, a los casos en los cuales se encuentran indefinidas
determinadas tareas o servicios del propio sistema informtico. Los controles estn centrados en
tres aspectos fundamentales de esta actividad:
Documentar adecuadamente los servicios que se estn prestando (acuerdos,
obligaciones, responsabilidades, confidencialidad, operacin, mantenimiento, etc.).
Medidas a adoptar para la revisin, monitorizacin y auditoria de los mismos.
Documentacin adecuada que permita regularizar y mantener un eficiente control
de cambios en estos servicios.

- Planificacin y aceptacin de sistemas: El objetivo es realizar una adecuada metodologa para
que al entrar en produccin cualquier sistema, se pueda minimizar el riesgo de fallos.
56

Los dos aspectos claves de este control son el diseo, planificacin, prueba y adecuacin de un
sistema por un lado; y el segundo, es desarrollar detallados criterios de aceptacin de nuevos
sistemas, actualizaciones y versiones que deban ser implantados. Este ltimo aspecto ser un
documento muy activo, que se realimentar constantemente en virtud de las modificaciones,
pruebas, incorporaciones y avances tecnolgicos, por lo tanto se deber confeccionar de forma
flexible y abierto a permanentes cambios y modificaciones.

- Proteccin contra cdigo mvil y maligno: el objetivo de este apartado es la proteccin de la
integridad del software y la informacin almacenada en los sistemas. El estndar hace referencia al
conjunto de medidas comunes que ya suelen ser aplicadas en la mayora de las empresas, es
decir, deteccin, prevencin y recuperacin de la informacin ante cualquier tipo de virus.

La gran mayora de las empresas confan su seguridad antivirus en la mera aplicacin de un
determinado producto y nada ms, pero olvidan preparar al personal de administradores y usuarios
en cmo proceder ante virus y, por supuesto, tampoco realizan procedimientos de recuperacin y
verificacin del buen funcionamiento de lo documentado. Esto ltimo, es una de las primeras y ms
comunes objeciones que aparecen al solicitar certificaciones en estos estndares. No es eficiente
el mejor producto antivirus del mercado, sino se realizan estas dos ltimas tareas que se han
mencionado: Preparacin del personal e implementacin con prcticas de procedimientos.

- Resguardo: El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende
un solo control que remarca la necesidad de las copias de respaldo y recuperacin. De nada sirve
realizar copias de respaldo y recuperacin, sino se prepara al personal e implementan las mismas
con prcticas y procedimientos

- Administracin de la seguridad de redes: Los dos controles que conforman este apartado hacen
hincapi en la necesidad de administrar y controlar lo que sucede en la red, es decir, implementar
todas las medidas posibles para evitar amenazas, manteniendo la seguridad de los sistemas y
aplicaciones a travs del conocimiento de la informacin que circula por ella.

- Manejo de medios: El termino medio debe entenderse como todo elemento capaz de almacenar
informacin (discos, cintas, papeles, etc. tanto fijos como removibles). Por lo tanto el objetivo de
este grupo es, a travs de sus cuatro controles, prevenir la difusin, modificacin, borrado o
destruccin de cualquiera de ellos o lo que en ellos se guarda. En estos prrafos describe
brevemente las medidas a considerar para administrar medios fijos y removibles, su
57

almacenamiento seguro y tambin por perodos prolongados, evitar el uso incorrecto de los
mismos y un control especfico para la documentacin.

- Intercambios de informacin: Este grupo contempla el conjunto de medidas a considerar para
cualquier tipo de intercambio de informacin, tanto en lnea como fuera de ella, y para movimientos
internos o externos de la organizacin.

Los aspectos que no se pueden dejar al azar son:
Polticas, procedimientos y controles para el intercambio de informacin para tipo y
medio de comunicacin a emplear.
Acuerdos, funciones, obligaciones, responsabilidades y sanciones de todas las partes
que intervengan.
Medidas de proteccin fsica de la informacin en trnsito.
Consideraciones para los casos de mensajera electrnica.
Medidas particulares a implementar para los intercambios de informacin de negocio,
en especial con otras empresas.

- Servicios de comercio electrnico: Este grupo, supone que la empresa sea la prestadora de
servicios de comercio electrnico, es decir, no aplica a que los empleados realicen una
transaccin, por parte de la empresa o por cuenta propia, con un servidor ajeno a la misma.

La prestacin de servicios de comercio electrnico por parte de una empresa exige el cumplimiento
de varios detalles desde el punto de vista de la seguridad:
Metodologas seguras de pago.
Confidencialidad e integridad de la transaccin.
Mecanismos de no repudio.
Garantas de transaccin.

- Monitorizacin: Este apartado tiene como objetivo la deteccin de actividades no autorizadas en
la red y rene seis controles. Los aspectos ms importantes a destacar son:
Auditar Logs
16
que registren actividad, excepciones y eventos de seguridad.
Realizar revisiones peridicas y procedimientos de monitorizacin del uso de los sistemas.
Implementacin de robustas medidas de proteccin de los Logs de informacin de
seguridad.

16
58

La actividad de los administradores y operadores de sistemas, tambin debe ser monitoreada,
pues es una de las mejores formas de tomar conocimiento de actividad sospechosa, tanto si la
hace un administrador propio de la empresa (con o sin mala intencin) o si es uno que se hace
pasar por uno de ellos.
-Sincronizacin de tiempos: Hoy en da el protocolo Network Time Protocol (NTP) est tan
difundido y fcilmente aplicable que es un desperdicio no usarlo. Se debe implementar una buena
estrategia de estratos, tal cual lo propone este protocolo, y sincronizar toda la infraestructura de
servidores, tanto si se depende de ellos para el funcionamiento de los servicios de la empresa,
como si no depende.

Fig IV.19 Controles Administracin de las comunicaciones y operaciones
PLANIFICACIN
DE SISTEMAS
Planificacin
de capacidad
Aceptacin de
sistemas
PROCEDIMIENTOS Y
RESPONSABILIDADES
Documentacin
Cambios
Incidencias
Segregacin de
tareas
Separacin de
entornos
Servicios
Externos
Medidas y
controles
PROTECCIN
CDIGO MALICIOSO
INTERCAMBIOS
DE INFORMACIN
Acuerdos
Soportes en
transito
eCommerce
eMail
Informacin
publica
Otras
formas de
intercambio
Gestin
Eliminacin
USO Y SEGURIDAD
DE SOPORTES
Uso
Documentacin
de sistemas
Copias
Logs
GESTIN DE
RESPALDOS
Registro
de fallos
GESTIN DE
REDES
Controles
de redes
59

G) Control de accesos.
La actividad de control de accesos es diferente a la autenticacin, esta ltima tiene por misin
identificar que verdaderamente sea, quien dice ser. El control de acceso es posterior a la
autenticacin y debe regular que el usuario autenticado, acceda nicamente a los recursos sobre
los cuales tenga derecho y a ningn otro, es decir que tiene dos tareas derivadas:
Guiar al usuario debidamente.
Verificar el desvo de cualquier acceso, fuera de lo correcto.

El control de acceso es una de las actividades ms importantes de la arquitectura de seguridad de
un sistema.

A continuacin se mencionan algunos controles:
Requerimientos de negocio para el control de accesos: Debe existir una Poltica de Control
de accesos documentada, peridicamente revisada y basada en los niveles de seguridad
que determine el nivel de riesgo de cada activo.
Administracin de accesos de usuarios: Tiene como objetivo asegurar el correcto acceso y
prevenir el no autorizado y, a travs de cuatro controles, exige llevar un procedimiento de
registro y revocacin de usuarios, una adecuada administracin de los privilegios y de las
contraseas de cada uno de ellos, realizando peridicas revisiones a intervalos regulares,
empleando para todo ello procedimientos formalizados dentro de la organizacin.
Responsabilidades de usuarios: Todo usuario dentro de la organizacin debe tener
documentadas sus obligaciones dentro de la seguridad de la informacin de la empresa.
Independientemente de su jerarqua, siempre tendr alguna responsabilidad a partir del
momento que tenga acceso a la informacin. Evidentemente existirn diferentes grados de
responsabilidad, y proporcionalmente a ello, las obligaciones derivadas de estas funciones.
Lo que no puede suceder es que algn usuario las desconozca. Por lo tanto se derivan tres
actividades.
Identificar niveles y responsabilidades.
Documentarlas correctamente.
Difundirlas y verificar su adecuada comprensin.

Para estas actividades propone tres controles, orientados a que los usuarios debern aplicar un
correcto uso de las contraseas, ser conscientes del equipamiento desatendido (por lugar, horario,
lapsos de tiempo, etc.) y de las medidas fundamentales de cuidado y proteccin de la informacin
en sus escritorios, medios removibles y pantallas.

60

Control de acceso a redes: Todos los servicios de red deben ser susceptibles de medidas
de control de acceso; para ello a travs de siete controles, en este grupo se busca prevenir
cualquier acceso no autorizado a los mismos.

Como primera medida establece que debe existir una poltica de uso de los servicios de red para
que los usuarios, solo puedan acceder a los servicios especficamente autorizados. Luego se
centra en el control de los accesos remotos a la organizacin, sobre los cuales deben existir
medidas apropiadas de autenticacin.

Un punto sobre el que merece la pena detenerse es sobre la identificacin de equipamiento y de
puertos de acceso. Este aspecto es una de las principales medidas de control de seguridad. En la
actualidad se poseen todas las herramientas necesarias para identificar con enorme certeza las
direcciones, puertos y equipos que pueden o no ser considerados como seguros para acceder a
las diferentes zonas de la empresa. Tanto desde una red externa como desde segmentos de la
propia organizacin. En los controles de este grupo menciona medidas automticas, segmentacin,
diagnstico y control equipamiento, direcciones y de puertos, control de conexiones y rutas de red.
Para toda esta actividad se deben implementar: IDS
17
s, IPSs
18
, FWs con control de estados, honey
pots, listas de control de acceso, certificados digitales, protocolos seguros, tneles, etc. Es decir,
existen hoy en da muchas herramientas para implementar estos controles de la mejor forma y
eficientemente, por ello, tal vez este sea uno de los grupos que ms exigencia tcnica tiene dentro
de este estndar.

Control de acceso a sistemas operativos: El acceso no autorizado a nivel sistema operativo
presupone uno de los mejores puntos de escalada para una intrusin; de hecho son los
primeros pasos de esta actividad, denominados Fingerprintig y footprinting, pues una vez
identificados los sistemas operativos, versiones y parches, se comienza por el ms dbil y
con solo conseguir un acceso de usuario, se puede ir escalando en privilegios hasta llegar
a encontrar el de administrador. La gran ventaja que posee un administrador, es que las
actividades sobre un sistema operativo son mnimas, poco frecuentes sus cambios, y no
comunes a nivel usuario del sistema, por lo tanto si se saben emplear las medidas
adecuadas, se puede identificar rpidamente cuando la actividad es sospechosa, y en
definitiva es lo que se propone en este grupo: Seguridad en la validacin de usuarios del
sistema operativo, empleo de identificadores nicos de usuarios, correcta administracin
de contraseas, control y limitacin de tiempos en las sesiones y por ltimo verificaciones

17
18
61

de empleo de utilidades de los sistemas operativos que permitan realizar acciones
interesantes.

Control de acceso a informacin y aplicaciones: En este grupo, los dos controles que
posee estn dirigidos a prevenir el acceso no autorizado a la informacin mantenida en las
aplicaciones. Propone redactar, dentro de la poltica de seguridad, las definiciones
adecuadas para el control de acceso a las aplicaciones y a su vez el aislamiento de los
sistemas sensibles del resto de la infraestructura. Este ltimo proceder es muy comn en
sistemas crticos (Salas de terapia intensiva, centrales nucleares, servidores primarios de
claves, sistemas de aeropuertos, militares, etc.), los cuales no pueden ser accedidos de
ninguna forma va red, sino nicamente estando fsicamente en ese lugar. Por lo tanto si se
posee alguna aplicacin que entre dentro de estas consideraciones, debe ser evaluada la
necesidad de mantenerla o no en red con el resto de la infraestructura.

Movilidad y teletrabajo: Esta nueva estructura laboral, se est haciendo cotidiana en las
organizaciones y presenta una serie de problemas desde el punto de vista de la seguridad:

1. Accesos desde un ordenador de la empresa, personal o pblico.
2. Posibilidades de instalar o no, medidas de hardware/software seguro en el ordenador
remoto.
3. Canales de comunicaciones por los cuales se accede (red pblica, privada, GPRS
19
,
UMTS
20
, WiFi
21
, Tnel, etc.).
4. Contratos que se posean sobre estos canales.
5. Personal que accede: propio, de terceros, o ajeno.
6. Lugar remoto: fijo o variable.
7. Aplicaciones e informacin a la que accede.
8. Nivel de profundidad en las zonas de red a los que debe acceder.
9. Volumen y tipo de informacin que enva y recibe.
10. Nivel de riesgo que se debe asumir en cada acceso.

Cada uno de los aspectos expuestos merece un tratamiento detallado y metodolgico, para que no
surjan nuevos puntos dbiles en la estructura de seguridad.

19
20
21
62

La norma no entra en mayores detalles, pero de los dos controles que propone se puede identificar
que la solucin a esto es adoptar una serie de procedimientos que permitan evaluar, implementar y
controlar adecuadamente estos aspectos en el caso de poseer accesos desde ordenadores
mviles y/o teletrabajo.

REQUERIMIENTOS
Poltica
Registro
Privilegios
GESTIN DE ACCESO
A USUARIOS
Passwords
Revisin
derechos
RESPONSABILIDAD
USUARIOS
Uso de
Passwords
Equipos
desatendidos
CONTROL ACCESO
A APLICACIONES
Restriccin de
acceso
Aislamiento de
sistemas
CONTROL DE ACCESO
A LA RED
Routing
Autenticacin
usuarios y nodos
Puertos de
diagnostico
Control de
Conexin y
Seguridad de los
servicios de red
INFORMTICA MVIL Y
TELETRABAJO
Informtica mvil
Teletrabajo
Identificacin de
terminales
Login
CONTROL DE
ACCESO AL SISTEMA
OPERATIVO
Identificacin de
usuarios
Gestin de
Passwords
Utilidades del
sistema
Fig IV.20 Controles Control de acceso
63

H) Adquisicin de sistemas de informacin, desarrollo y mantenimiento.

Este grupo rene diecisis controles.

Requerimientos de seguridad de los sistemas de informacin
Este primer grupo que incluye un solo control, plantea la necesidad de realizar un anlisis de los
requerimientos que deben exigirse a los sistemas de informacin, desde el punto de vista de la
seguridad para cumplir con las necesidades del negocio de cada empresa en particular, para poder
garantizar que la seguridad sea una parte integral de los sistemas.

Procesamiento correcto en aplicaciones
En este grupo se presentan cuatro controles, cuya misin es el correcto tratamiento de la
informacin en las aplicaciones de la empresa. Para ello las medidas a adoptar son, validacin en
la entrada de datos, la implementacin de controles internos en el procesamiento de la informacin
para verificar o detectar cualquier corrupcin de la informacin a travs de los procesos, tanto por
error como intencionalmente, la adopcin de medidas para asegurar y proteger los mensajes de
integridad de las aplicaciones. Y por ltimo la validacin en la salida de datos, para asegurar que
los datos procesados, y su posterior tratamiento o almacenamiento, sea apropiado a los
requerimientos de esa aplicacin.

Controles criptogrficos
Nuevamente se recalca este objetivo de la criptografa
22
de proteger la integridad, confidencialidad
y autenticidad de la informacin. En este caso, a travs de dos controles, lo que propone es
desarrollar una adecuada poltica de empleo de estos controles criptogrficos y administrar las
claves que se emplean de forma consciente.

El tema de claves criptogrficas, es un denominador comn de toda actividad de seguridad, por lo
tanto ms an cuando lo que se pretende es implementar un completo SGSI, por lo tanto es
conveniente y muy recomendable dedicarle la atencin que evidentemente merece, para lo cual
una muy buena medida es desarrollar un documento que cubra todos los temas sobre los cuales
los procesos criptogrficos participarn de alguna forma y desde el mismo referenciar a todos los
controles de la norma en los cuales se hace uso de claves. Este documento de la actividad
criptogrfica, evitar constantes redundancias y sobre todo inconsistencias en la aplicacin de
claves.

22
64

Seguridad en los sistemas de archivos
La Seguridad en los sistemas de archivos, independientemente que existan sistemas operativos
ms robustos que otros en sus tcnicas de archivos y directorios, es una de las actividades sobre
las que se debe hacer un esfuerzo tcnico adicional, pues en general existen muchas herramientas
para robustecerlos, pero no suelen usarse. Es cierto que los sistemas de archivos no son un tema
muy esttico, pues una vez que un sistema entra en produccin suelen hacerse muchas
modificaciones sobre los mismos, por esto ltimo principalmente es que una actividad que denota
seriedad profesional, es la identificacin de Cules son los directorios o archivos que no deben
cambiar y cules s? Suele ser el mejor indicador de una actividad anmala, si se ha planteado
bien el interrogante anteriormente propuesto. Si se logra identificar estos niveles de estaticidad y
cambio y se colocan los controles y auditorias peridicas y adecuadas sobre los mismos, este ser
una de las alarmas de la que ms haremos uso a futuro en cualquier etapa de un incidente de
seguridad, y por supuesto ser la mejor herramienta para restaurar un sistema a su situacin
inicial.

Este grupo de tres controles, en definitiva lo que propone es justamente esto, control de software
operacional, test de esos datos y controlar el acceso al cdigo fuente.

Seguridad en el desarrollo y soporte a procesos
Este apartado cubre cinco controles cuya finalidad est orientada hacia los cambios que sufre todo
sistema. Los aspectos clave de este grupo son:
1. Desarrollar un procedimiento de control de cambios.
2. Realizacin de revisiones tcnicas a las aplicaciones luego de realizar cualquier cambio,
teniendo especial atencin a las aplicaciones crticas.
3. Documentar claramente las restricciones que se deben considerar en los cambios de
paquetes de software.
4. Implementacin de medidas tendientes a evitar fugas de informacin.
5. Supervisin y monitorizacin de desarrollos de software externalizado.

Administracin tcnica de vulnerabilidades
Toda vulnerabilidad que sucede en un sistema de informacin, tarde o temprano se describe con
todo lujo de detalles en Internet. Las palabras claves de esto son tarde o temprano, pues cuanto
antes se tenga conocimiento de una debilidad y las medidas adecuadas para solucionarlas, mejor
ser para la organizacin.

Este grupo que solo trata un solo control, lo que propone es adoptar medidas para estar al tanto de
estos temas ms temprano que tarde. Esta actividad, en la actualidad no requiere esfuerzos
65

econmicos si se pone inters en la misma, pero s requiere mucho tiempo para poder consultar
Webs especializadas o leer los mails que llegan si se est subscripto a grupos de noticias de
seguridad, o buscar en Internet.
Lo importante es que existe un amplio abanico de posibilidades para realizar esta tarea, que va
desde hacerlo individualmente hasta externalizarla, y a su vez desde hacerlo muy temprano hasta
demasiado tarde y en todo este abanico se pueden elegir un sinnmero de opciones intermedias.

La norma simplemente nos aconseja plantearse formalmente el tema, anlisis la relacin
costo/beneficio en la empresa para esta tarea y adoptar una decisin coherente dentro del abanico
expuesto.

REQUERIMIENTOS
DE SEGURIDAD
Anlisis y
especificaciones
Poltica de
criptogrfica
Cifrado
CONTROLES
CRIPTOGRFICOS
Firma digital
No repudio
Control de
cambios
Revisin de
cambios sistema
Operativo
SEGURIDAD
DESARROLLO Y
SOPORTE
Restriccin de
cambios
Desarrollo
externalizado
Validacin de
entrada
Control proceso
interno
SEGURIDAD EN
APLICACIONES
Autenticacin
mensajes
Validacin de
salida
Control software
produccin
Proteccin
datos prueba
SEGURIDAD DE
FICHEROS SISTEMA
Control cdigo
fuente
Fig IV.21 Controles Adquisicin de sistemas de informacin, desarrollo y
mantenimiento
66

I) Administracin de los incidentes de seguridad.

Todo lo relativo a incidentes de seguridad queda resumido a dos formas de proceder:
Proteger y proceder.
Seguir y perseguir.

La mejor traduccin de estos dos procederes, pero lo que trata de poner de manifiesto es que ante
un incidente, quien no posea la capacidad suficiente solo puede proceder y proteger, es decir
cerrar, apagar, desconectar, etc., con ello momentneamente solucionar el problema, pero al
volver sus sistemas al rgimen de trabajo normal el problema tarde o temprano volver pues no se
erradicaron sus causas.

La segunda opcin, en cambio, propone verdaderamente convivir con el enemigo, y permite ir
analizando paso a paso su accionar, llegar a comprender todo el detalle de su tarea y entonces s
erradicarlo definitivamente. Por supuesto este ltimo trabajo, requiere estar preparado y contar con
los medios y recursos suficientes.

En definitiva, es esto lo que trata de dejar claro este punto de la norma a travs de los cinco
controles que agrupa, y subdivide en:

Reportes de eventos de seguridad de la informacin y debilidades.
Como su nombre lo indica, este apartado define el desarrollo de una metodologa eficiente para la
generacin, monitorizacin y seguimiento de reportes, los cuales deben reflejar, tanto eventos de
seguridad como debilidades de los sistemas. Estas metodologas deben ser giles, por lo tanto se
presupone el empleo de herramientas automatizadas que lo hagan.

En concreto para que estos controles puedan funcionar de manera eficiente, lo mejor es implantar
herramientas de deteccin de vulnerabilidades, ajustarlas a la organizacin, para saber con total
certeza dnde se es dbil y donde no, y a travs de estas desarrollar un mecanismo simple de
difusin de las mismas a los responsables de su administracin y solucin, los cuales debern
solucionarlas o justificar las causas para no hacerlo, ante lo cual, esta debilidad pasar a ser
tratada por el segundo grupo de este control, es decir una metodologa de deteccin de intrusiones,
que ser la responsable de generar la alerta temprana, cuando una de esas debilidades sea
explotada por personal no autorizado. Estas alertas necesitan tambin un muy buen mecanismo de
gestin, para provocar la respuesta inmediata.

67

Administracin de incidentes de seguridad de la informacin y mejoras.
Si se poseen los dos mecanismos mencionados en el punto anterior, la siguiente tarea es disponer
de una metodologa de administracin de incidentes, lo cual no es nada ms que un procedimiento
que describa claramente: pasos, acciones, responsabilidades, funciones y medidas concretas.
Todo esto no es eficaz si no se realiza la preparacin adecuada, por lo tanto es necesario
difundirlo, practicarlo y simularlo, es decir generar incidentes que no hagan peligrar los elementos
en produccin, tanto sobre maquetas como en planta y poner a prueba todos los eslabones de la
metodologa.

J) Administracin de la continuidad de negocio.

El Aseguramiento de la Continuidad del Negocio (BCM por sus siglas en ingls) es un proceso
continuo de anlisis y administracin del riesgo, con el propsito de asegurar que el negocio puede
continuar an en caso de que el riesgo se materialice. Estos riesgos pueden provenir de
condiciones externas (sobre las cuales no se tenga control como una falla en el suministro de
electricidad) o del interior de la organizacin, como un dao a los sistemas ya sea accidental o
deliberado. BCM no se enfoca solamente a situaciones de desastre y su recuperacin, sino que
engloba cualquier aspecto que pueda afectar por largo tiempo la continuidad del servicio o
producto que preste la compaa, incluyendo por ejemplo los recortes de personal en ciertas reas.

Business Continuity Management (BCM) Administracin de la Continuidad del Negocio, consiste
en la implementacin de acciones especficas orientadas a recuperar en el menor tiempo posible la
operacin de las funciones crticas del negocio frente a contingencias que puedan afectar las
operaciones normales del mismo. Es un proceso continuo de planeacin preventiva, que permite
conocer riesgos de interrupciones; minimizarlos, eliminarlos o controlarlos, asegurando que el
negocio continu operando al ms alto nivel de servicio.

As, la importancia del BCM radica en que una compaa pueda estar segura de que podr
continuar cumpliendo sus metas de negocio an si las cosas van mal. Para ello es necesario contar
con planes de contingencia para los distintos factores que puedan perjudicar dicha continuidad. En
este sentido, es necesario tomar en consideracin aspectos como:
Habilidades requeridas para desarrollar el negocio
Obsolescencia de la tecnologa
Medios de aseguramiento los equipos existentes, etc.

68

La implantacin y administracin del BCM involucra a todos los niveles en la organizacin. El
consejo ejecutivo debe asumir la responsabilidad de este proceso. Esto asegura que el proceso se
maneje desde el nivel correcto de importancia a toda la organizacin, lo que incrementa la
posibilidad de una implementacin efectiva. Si el concepto de BCM no viene desde estos niveles
de la empresa, el xito del sistema no puede asegurarse.

La esencia de BCM se basa en comprender el negocio y establecer aquellas cosas que son vitales
para su sobre vivencia. Si la compaa cuenta con una misin bien establecida y los elementos
clave del negocio estn bien identificados y estructurados, esto indica que la organizacin esta
enfocada correctamente a BCM, ya que el enfoque de este sistema est puesto en las actividades
crticas del negocio, las cuales se sostienen tanto de factores internos como externos, que pueden
incluir entre otros:
Proveedores
Clientes
Accionistas
Sistemas de informacin
Procesos de manufactura
Respuesta a emergencias

BCM se desarrolla a travs de un plan de aseguramiento de la continuidad del negocio (BCP por
sus siglas en ingls), que debe ser proporcionado y autorizado por el Presidente de la compaa y
sujeto a exmenes rigurosos. Del mismo modo, para el xito del sistema, debe existir en la
organizacin una cultura abierta a aceptarlo. Por ello, es importante tambin realizar programas de
educacin y concientizacin para asegurar el entendimiento de absolutamente todos los miembros
de la compaa, as como para que adopten el plan diseado, esto va en todos los niveles de la
organizacin, desde obreros hasta accionistas internos y externos, e incluso proveedores.

El Plan de Continuidad del Negocio (BCP) tiene tres objetivos principales:

Prevencin: Minimizar la probabilidad de que ocurran interrupciones al negocio mediante
la integracin de salvaguardasen la operacin normal diaria.

Contencin: Minimizar el impacto causado por cualquier interrupcin de negocio
manteniendo el ms alto nivel de servicio posible.

Recuperacin: Asegurar la pronta restauracin de las operaciones normales despus de
ocurrida la interrupcin.
69

Es vital planear; no porque la probabilidad de un desastre sea alta, sino porque las consecuencias
pueden ser fatales para todos. Adems los incidentes afectan tanto a la organizacin como a la
informacin que esta utiliza

Las empresas necesitan darse cuenta de que el seguir un proceso bien definido, cuando sucede un
desastre, es significativamente mejor que tratar de responder a un incidente en modo de crisis, sin
los beneficios de planeacin, coordinacin y pruebas.

-VALIDAD DE LA REALIDAD.
Insuficiente apoyo y compromiso de la Alta Direccin
Los responsables de la planeacin de la continuidad del negocio se vuelven los Llaneros
Solitarios
Poca Autoridad y sin Control del Presupuesto
Mientras que el impacto por interrupciones del negocio sigue creciendo y por ende los
costos asociados
Las reas del negocio se mantienen ajenas al proceso, sin la debida involucracin.

Los aportes tecnolgicos, los procesos de rpida evolucin y los nuevos emprendimientos, pueden
introducir riesgos de interrupcin que impactan negativamente en una empresa. En nuestro entorno
altamente competitivo, las organizaciones no pueden permanecer inactivas por perodos
prolongados de tiempo, reaccionar en forma lenta, acceder a actualizaciones informticas por
dems onerosas o experimentar procesos inflexibles. Nuestra prctica en la Administracin de
Riesgos de la Informacin ha desarrollado un enfoque proactivo tendiente a minimizar los riesgos
de interrupcin y a asegurar el control de los cambios y de la continuidad. Este enfoque se
denomina Administracin de la Continuidad del Negocio, para denotar la necesidad de una accin
y un control continuos.

Las empresas estn empezando a darse cuenta de que el enfoque tradicional de la administracin
de la configuracin ya no es adecuado. Para mantenerse al ritmo de las dems, las empresas han
comenzado a expandir la lista de las reas de riesgos de IT tradicionalmente cubiertas por la
administracin de la configuracin.

Esta visin ampliada es conocida como administracin de la configuracin empresarial (ECM). En
el pasado, la administracin de la configuracin se concentraba en identificar, controlar y dar
cuenta de los cambios de configuracin producidos en las siguientes reas:

70

Software de sistemas
Programas y aplicaciones de software
Hardware de sistemas
Redes

Hoy en da, la Administracin de la Configuracin Empresarial ampla la visin tradicional, para dar
cuenta de los cambios producidos en todo el proceso del negocio de IT y de las reas de riesgo.

K) Marco legal y buenas prcticas.

Este grupo cubre diez controles. Es uno de los aspectos ms dbiles que en estos momentos
posee la norma, pues la aplicacin de la misma en cada Pas, debe estar de acuerdo a las bases y
regulaciones legales del mismo, las cuales slo son consideradas, una vez que las organizaciones
de estandarizacin correspondientes adecuan el estndar Ingls a cada Pas respectivo.

Estas consideraciones no pueden dejar dudas, pues el ltimo grupo de controles de ISO-27001, se
refiere a "Marco legal y buenas prcticas", y su no cumplimiento es motivo de No Conformidad
Mayor, lo que ocasiona la no certificacin. Es decir, el recibir la certificacin ISO-27001, implica y
avala, que los auditores correspondientes, han realizado una evaluacin de las conformidades
legales de la empresa y dieron el visto bueno.

Proceso de
gestin
Anlisis de
impactos
ASPECTOS DE LA
GESTIN DE
CONTINUIDAD
Redaccin,
Implantacin del
PCN
Validacin de
salida
Fig IV.22 Control Administracin de los incidentes de
seguridad y continuidad de negocio
71

-Cumplimiento de requerimientos legales.
Lo primero a considerar aqu es la identificacin de la legislacin aplicable a la empresa, definiendo
explcitamente y documentando todo lo que guarde relacin con estos aspectos. Otro componente
de este primer grupo es lo relacionado con los derechos de propiedad intelectual debiendo generar
procedimientos que aseguren el cumplimiento de las regulaciones, el punto tal vez ms destacable
aqu es el referido al empleo de software legal, su concienciacin y difusin.
Todos los registros que guarden algn tipo de informacin clasificada desde el punto de vista legal,
deben ser protegidos para evitar prdidas, alteraciones y un aspecto muy importante: divulgacin
inadecuada, en particular, y esto ya es una regulacin generalizada en todos los Pases, los
registros de carcter personal y de ello lo ms importante es lo que se puede considerar como
datos ntimos en el caso de tener necesidad de almacenarlos, como pueden ser enfermedades,
discapacidades, orientacin religiosa, sexual, poltica, etc. Para todos estos registros, se deben
implementar todos los procedimientos necesarios, para prevenir su procesamiento incorrecto, pues
se pueden haber considerado todos los aspectos legales en su guarda y custodia, pero al momento
de ser procesados, quedan expuestos (memorias temporales, permanencia exterior, o transmisin
insegura, etc.), o sus resultados, quedan fuera del permetro o las evaluaciones de seguridad que
fueron realizadas sobre los registros. Por lo tanto, para todo registro deber ser identificado,
analizado, implementado y documentado, todos los aspectos legales que le aplican, durante el
almacenamiento y tambin en todo momento en que sea requerido para su procesamiento
(incluyendo aqu sus desplazamientos).

-Cumplimiento de polticas de seguridad, estndares y tcnicas de buenas prcticas.
En este grupo a travs de dos controles, la norma trata de hacer hincapi en el control del
cumplimiento de estas medidas, pues de nada sirve tener todo en regla con los aspectos legales, si
luego el personal involucrado no da cumplimiento a las medidas y en definitiva, la implementacin
falla. Para evitar estas debilidades y los graves problemas que pueden ocasionar, es que se debe
asegurar que todos estos procedimientos se cumplan y verificar peridicamente que las
regulaciones estn vigentes, sean aplicables y estn de acuerdo con toda la organizacin.

-Consideraciones sobre auditorias de sistemas de informacin.
Las auditorias de los sistemas de informacin son imprescindibles, las dos grandes
consideraciones son realizarla de forma externa o interna. Cuando se contrata este servicio a
travs de empresas externas, los resultados son mejores, pues son su especialidad y por lo tanto
tienen en Know How
23
necesario y suficiente para detectar los aciertos y errores, la parte negativa
es que por los recursos econmicos que implica, no pueden ser todo lo peridicas que se desean.
Por otro lado, las auditorias internas, no poseen tal vez tanta experiencia pero por realizarse con

23
72

recursos propios, ofrecen la posibilidad de realizarlas con mayor periodicidad e inclusive realizarlas
aleatoriamente lo cual suele ser muy efectivo.

El ltimo tema que considera el estndar es lo referido al empleo de herramientas de auditoria de
seguridad. Este es un tema de vital inters desde varios aspectos

Una herramienta de auditoria de seguridad instalada, puede servir para el lado bueno el oscuro
de la organizacin. Por lo tanto, las mismas debern ser tratadas con todas las precauciones
(Inventariadas, identificadas, controladas en su acceso, monitorizadas, desinstaladas, etc.).
Pues si un usuario no autorizado, accede a ellas, se le est sirviendo la red en bandeja de
plata.
El empleo de una herramienta de auditoria de seguridad debe ser perfectamente regulado, en
cuanto a su alcance, profundidad, potencialidad, horario, fechas, ventanas de tiempo de
operacin, objetivo, resultados deseados, etc. Pues al igual que en el punto anterior, no puede
dejarse librado al azar su uso correcto, caso contrario se puede disparar todo un procedimiento
de incidencias, o caerse una infraestructura, etc.
Se debe coordinar con cada sistema a auditar qu es exactamente lo que se va a hacer sobre
este y cuales son los derechos y obligaciones que se poseen en el uso de esa herramienta
sobre cada sistema en particular, pues no tiene porqu ser el mismo para todos.
Se debe regular especficamente, en los casos de auditorias externas cules son los derechos,
obligaciones y responsabilidades en el empleo de las mismas, incluyendo claramente las
indemnizaciones por daos y perjuicios que pueden ocasionar en su empleo incorrecto.

-Mejores Prcticas para obtener el apoyo de la Alta Direccin

Los programas de Continuidad del Negocio y Recuperacin en Caso de Desastre requieren de
mayor visibilidad y apoyo de la Alta Direccin, va un programa de concientizacin
Estos programas deben considerar tambin las iniciativas de cumplimiento (SOX),
regulaciones de la industria y los eventos recientes de desastre
Deben ser trabajados (preparados) conjuntamente con los ejecutivos de las lneas de negocio,
apoyados en pruebas informales o anlisis de impacto al negocio, para obtener su soporte

-Respuesta a incidentes

Un incidente de crisis no es el momento para iniciar la planeacin de la recuperacin.
Los planes y procedimientos ya deben estar documentados y probados en forma previa a la
falta de disponibilidad de los servicios del negocio.
73

El inicio de la recuperacin y la administracin del incidente dependen de contar con los
equipos de recuperacin en sitio.
Por lo tanto, la Notificacin a los miembros de recuperacin es un disparador clave para una
respuesta estable y oportuna.

4.8 VULNERABILIDADES E IDENTIFICACIN DE LOS ACTIVOS.
A continuacin identificaremos en primer lugar, todos los activos relevantes de la empresa. Por
cada grupo de activos, estudia las amenazas, su probabilidad de ocurrencia y el impacto que
pueden causar, en funcin de su vulnerabilidad. Aqu se establecen las medidas de salvaguarda
necesarias para reducir hasta un valor aceptable con un costo asumible, el riesgo asociado a cada
una de las amenazas. Se establece el riesgo residual que se est dispuesto a aceptar. Entre los
principales activos de la empresa Grupo Senderos se encuentran los siguientes:
Vidas humanas
Edificios
CUMPLIMIENTO DE LOS
REQUISITOS LEGALES
Identificacin la
legislacin
D.P.I
Registros de
organizacin
Proteccin DCP
Evitar mal uso de
recursos
Controles de
cifrado
Recogida de
pruebas
REVISIONES DE LA
POLTICA DE
SEGURIDAD Y DE
Conformidad con
poltica de seguridad
Comprobacin
conformidad tcnica
CONSIDERACIONES SOBRE
LAS AUDITORIAS DE
SISTEMAS
Controles Auditoria
Proteccin de
herramientas
auditoria
Fig IV.23 Controles Marco legal y buenas Prcticas

74

Muebles
Aire acondicionado y calefaccin
Electricidad
Sistemas de control de incendios

Aqu solo se muestran algunos activos, en el siguiente capitulo, se presenta ms a detalle la
identificacin de los activos y las vulnerabilidades. Adems analizaremos con el diagrama de las
elipses dichos activos y vulnerabilidades.

4.9 DEFINICIN DEL ALCANCE DEL MODELO
Se exige como punto de partida para establecer el SGSI definir el alcance en trminos de las
caractersticas del negocio, sus activos y tecnologa.

Alcance: El anlisis de riesgo para este caso de estudio abarca todos los procesos que se realizan
para controlar el acceso a la empresa Grupo Senderos

Al determinar el alcance se utiliz el Mtodo de las Elipses con el objeto de visualizar con precisin
los distintos subprocesos que componen el sistema. Esta metodologa es un mtodo sencillo que
permite identificar los distintos tipos de activos de informacin existentes dentro del alcance.
Fig IV.24 Metodologa de las Elipses.

CAPTULO V
ANLISIS Y EVALUACIN DE LOS SISTEMAS DE CONTROL DE ACCESO
EXISTENTES EN EL MERCADO

76

CAPTULO V ANLISIS Y EVALUACIN DE LOS SISTEMAS DE CONTROL DE
ACCESO EXISTENTES EN EL MERCADO

5.1 ANLISIS DE RIESGOS EN BASE A LOS ACTIVOS Y LAS VULNERABILIDADES
A continuacin haremos una descripcin detallada de los pasos con que cuenta nuestra
metodologa de anlisis de riesgo, la cual consideramos el punto central de la definicin de una
estrategia de seguridad, perfectamente alineada con la visin de la organizacin, dentro de su
entorno de operacin y utiliza mtodos tanto cualitativos, como cuantitativos, los primeros permiten
agilidad en el proceso y facilidad en la asignacin de valores de impacto o riesgo, y los segundos
nos permiten la precisin y exactitud, necesarias para la de toma decisiones de tipo financiero, por
ejemplo, en el caso de la seleccin de los controles adecuados, para mitigar un posible evento
negativo a la operacin y continuidad del negocio.

El marco general del SGSI parte de la fase de planificacin y diseo, dentro de la cual, y para este
proyecto, se realizarn las siguientes tareas:

:: Identificacin y valoracin de Activos (inventario).
:: Identificacin de amenazas y vulnerabilidades.
:: Anlisis del Riesgo
:: Plan de Tratamiento de riesgos.
:: Identificacin y seleccin de controles aplicables.
5.1.1 IDENTIFICACIN Y VALORACIN DE ACTIVOS
Se deben identificar los activos de la empresa Grupo Senderos para llevar a cabo el anlisis de los
riesgos. Los activos se definen como cualquier elemento que represente un valor para la
organizacin. Esto incluye activos intangibles como la reputacin de la empresa e informacin
digital y activos tangibles como la infraestructura fsica.

A continuacin se detallarn en la siguiente tabla los activos de la empresa Grupo Senderos.
El Valor de activo, se definir de acuerdo al siguiente grupo:
ALTA -> 5
MEDIA -> 3
BAJA ->1

b) Identificacin de Amenazas y vulnerabilidades
77

Nombre del Activo
Clasificacin
del Activo (1-5)
Entorno de TI
Global
Clase de
Activo
Site de Comunicaciones, reas de
computo
5
Infraestructura
fsica
Tangible
Servidores 3
Infraestructura
fsica
Tangible
Equipos de Escritorio 1
Infraestructura
fsica
Tangible
Switches y Cableado 3
Infraestructura
fsica
Tangible
Impresoras, scanners 1
Infraestructura
fsica
Tangible
Modems 1
Infraestructura
fsica
Tangible
Medios extrables (por ejemplo,
cintas, disquetes, CD-ROM, DVD,
discos duros porttiles, dispositivos
de almacenamiento PC Card,
dispositivos de almacenamiento
USB, etc.)

1
Infraestructura
fsica
Tangible
Fuentes de alimentacin de energa 3
Infraestructura
fsica
Tangible
Sistemas contra incendios 3
Infraestructura
fsica
Tangible
Sistemas de Aire Acondicionado 3
Infraestructura
fsica
Tangible
Datos Recursos Humanos 5
Datos de
Intranet
Tangible
Datos Financieros 5
Datos de
Intranet
Tangible
Software:

Sistema Integral Senderos (SISII)
Sistema Unicaja Grupo
Senderos(SUGS)
AS400

5
Infraestructura
bsica
Servicios
de TI
Contraseas de empleados 5 Datos de Tangible
78

Nombre del Activo
Clasificacin
del Activo (1-5)
Entorno de TI
Global
Clase de
Activo
intranet
Claves de cifrado Sistemas
Informticos
5
Datos de
intranet
Tangible
Uso compartido de Archivos 3
Infraestructura
bsica
Servicios
de TI

5.1.2 IDENTIFICACIN DE AMENAZAS Y VULNERABILIDADES
La informacin acerca de las amenazas y vulnerabilidades proporciona la prueba tcnica que se
emplea para asignar prioridades a los riesgos en una empresa. Se definen las amenazas como una
causa de repercusiones posibles en la organizacin, un suceso o entidad con posibilidad de daar
el sistema. Las repercusiones derivadas de una amenaza normalmente se definen con conceptos
como confidencialidad, integridad y disponibilidad.

Fuentes de Amenaza

Accidentales:
Eventos naturales: fuego, agua, clima, falta de personal (enfermedad)
Error humano: programadores, sistema, operadores, administradores.
Malfuncionamiento de Hw y Sw: Problemas CPU, almacenamiento, E/S, red local, red
WAN
24
, alimentacin, cada de Aplicaciones de Sw, Internet.
Deliberadas (equipo o extranjeros):
Infiltracin al sistema (datos)
Uso no autorizado de los recursos
Destruccin fsica de los recursos
Robo fsico de los recursos
De gestin (Administrativas)
Falta de Polticas y procedimientos de seguridad
Control de accesos deficientes

24
Tabla V.1 Identificacin de amenazas y vulnerabilidades.

79

Estimacin de la probabilidad de las amenazas
Despus de que se hayan proporcionado las estimaciones de las posibles repercusiones en los
activos organizativos se establece la probabilidad de que las repercusiones se produzcan. Entre las
cuales en Grupo Senderos se consideran las siguientes:
Alta: muy probable, previsin de uno o varios ataques en un ao.
Media: probable, previsin de ataque en dos a tres aos.
Baja: no probable, no se prev ningn ataque en tres aos

Vulnerabilidad
Una vulnerabilidad es un punto dbil de un activo o grupo de activos que una amenaza puede
atacar. De un modo simplificado, las vulnerabilidades proporcionan el mecanismo o el modo en que
se pueden producir las amenazas en (o la ausencia de) los procedimientos de seguridad, controles
tcnicos, controles fsicos u otros controles que puede aprovechar dicha amenaza. Las
condiciones para un ataque son: motivacin, habilidad, oportunidad, recursos.

Se debe estimar el impacto en la empresa de acuerdo a lo siguiente:
Acceso no autorizado a las reas con equipo de cmputo.
Modificacin deliberada o accidental de los datos y del software
Indisponibilidad de servicios y datos.
Destruccin de datos y servicios.
Desastres naturales
5.1.3 ANLISIS DE RIESGOS
El anlisis de riesgos identifica las amenazas, vulnerabilidades y riesgos de los activos de una
organizacin, con el fin de generar un plan de Gestin de Riesgos y de la implementacin de los
controles que aseguren un ambiente informtico seguro, bajo los criterios de disponibilidad,
confidencialidad e integridad de la informacin.

A continuacin se examina si la empresa Grupo Senderos esta cumpliendo con los requerimientos
de seguridad incluyendo polticas de la organizacin y del sistema. Dentro de las tcnicas a
emplear incluye investigacin, observacin y pruebas. Una auditoria puede variar ampliamente en
alcance, pero para este trabajo, se ha establecido examinar los principios de seguridad utilizando
una metodologa de Checklist.

IDENTIFICACIN Y SELECCIN DE CONTROLES APLICABLES (CHECKLIST)

La lista de chequeo es considerada como una herramienta de auditora, es uno de los mtodos de
evaluacin ms viejos ampliamente usados en seguridad informtica, consiste en revisar si
80

existen controles administrativos, operativos y tcnicos, este proceso no evala la efectividad de
los controles implantados. Adems se identifica que se cumplan los principios de seguridad
generalmente aceptados.
Controles administrativos: estos controles hacen referencia a la recoleccin de documentos
como: polticas y normatividad general referente a la seguridad del sistema.
Controles operativos: estos controles hacen referencia a los procedimientos que sirven para
asegurar los requerimientos de seguridad. Ejemplo: planes de contingencia, manejo de incidentes,
realizacin de backups
25
etc.
Controles tcnicos: estos controles hacen referencia a cualquier dispositivo de hardware o
software que aseguran el cumplimiento de los requerimientos de seguridad. Ejemplo: control de
acceso y autorizacin, firewalls
26
, mecanismos de auditoria de eventos, etc.
A continuacin se amplia cada uno de los controles enfocados a la empresa Grupo Senderos: Los
controles pueden tomar uno de cinco posibles estados:
Implantado (I),
En proceso de ser implantado (P),
Control no existente (N),
Se desconoce su estado/por verificar (V)
No aplica (X).

ANLISIS DE RIESGOS (CHEKLIST DE CONTROLES)

25
26

Controles Administrativos

(I) (P) (N) (V) (X) Observaciones
Existe una poltica especfica del sistema para el
manejo de seguridad

X

Existen polticas para el manejo de redes, sistemas
operativos, aplicaciones, etc.

X
Existen polticas para el manejo de Internet
Tipo de informacin que puede ser
transmitida
Tipos de sistemas que pueden ser
conectados a la red
Uso de firewalls y gateways seguros
X
81

Requerimientos para autenticacin de
usuarios

Existen polticas para el manejo de otras redes
externas

X
Existe un ente encargado de dar solucin a
incidentes de seguridad

X
Las funciones de seguridad estn integradas en las
funciones del personal

X

Controles Operacionales

Conocimiento y entrenamiento de personal

X
Separacin de deberes

X
Identificacin del personal clave

X
Conocimiento y entrenamiento de personal

X
Efectiva administracin de usuarios

X
Registro de intrusos

X
Planes de contingencia

X
Controles de acceso fsico

X
Seguridad fsica contra Eventos naturales

X

Controles Tcnicos

Identificacin y autenticacin X
Manejo de llaves

X
Control de acceso lgico

X
Proteccin a puertos

X
Firewalls, gateways seguros X
Autenticacin basada en host X
Auditoria X
Deteccin de intrusos

X
Reconstruccin de eventos X

Logs, revisin

X
82

Tabla V.2 Checklist de Controles

Donde existan polticas los siguientes tpicos son evaluados: S/N

Evaluacin de Controles

DETERMINACIN DE LA PROBABILIDAD.
Con el fin de derivar una probabilidad o una estimacin de la ocurrencia de un evento, los
siguientes factores deben ser tomados en cuenta:
Fuente de la amenaza y su capacidad.
Criptografa X
Firmas electrnicas X
Certificados X
CRITERIOS DE POLTICAS
S/N
(S= Si N= No)
Define el objetivo? N
Esta respaldada por los directivos? N
Define procedimientos, son claros y entendibles? N
Indica la informacin, software y hardware a emplear? N
Indica la informacin, software y hardware a emplear? N
Designa personal responsable? N
Dicta las penalidades y acciones disciplinarias? N
Los procedimientos son actualizados peridicamente? S
Conoce los usuarios y personal adecuado las polticas? N
Estado de los controles Nivel de Riesgo Controles
Total de Controles = 28
I,P,N,V,X Alto, Medio, Bajo
Administrativos (6) N = 4 = 66.666667%
I= 2 = 33.33 %

ALTO
Operacionales(9) N =5 = 55.55%
V = 4 = 44.44%
ALTO
Tcnicos(13) N=10 = 76.92 %
P=3 = 23.076%

ALTO
Evaluacin de tpicos de Polticas
(9)
No = 8 = 88.888%
Si = 1 = 11.11%
ALTO
Tabla V.3 Evaluacin de Polticas.
Tabla V.4 Evaluacin de Controles.
83

Naturaleza de la vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente de amenaza
la podemos clasificar en alta, media-alta, media, media-baja y baja, como se describe a
continuacin.

Nivel

Definicin
Alta = 5

La amenaza esta altamente motivada y es
suficientemente capaz de llevarse a cabo.
Media-Alta =4

La amenaza est fundamentada y es posible.

Media = 3

La amenaza es posible.
Media-Baja = 2

La amenaza no posee la suficiente capacidad.
Baja = 1

La amenaza no posee la suficiente motivacin y
capacidad

Numero de ocurrencias del evento en un periodo de un ao.
Con el fin de poder determinar la probabilidad de ocurrencia de ciertos eventos, como el caso de
una prdida de potencia, falla en las comunicaciones se define una escala en la cual, a una
probabilidad alta, le asignamos el valor P=5, para una probabilidad media le asignamos el valor
P=3 y por ltimo para una probabilidad baja le asignamos el valor P=1, esta asignacin se define
en proporcin directa al numero de veces que el evento puede ocurrir en un periodo de un ao.
Para el caso P=5 se considera que ocurre al menos dos veces al ao.

Tabla V.5 Probabilidad de ocurrencia de un evento determinado.
84

Mediante la consolidacin de la informacin obtenida durante la recopilacin de datos se han
concluido las tareas del paso de recopilacin de datos facilitados para el anlisis de riesgos se
realiz la asignacin de prioridades a los riesgos, se estimo la probabilidad de cada vulnerabilidad
potencial que podra ser explotada por una amenaza.

Al analizar los riesgos se pueden identificar una cantidad enorme de datos que se tienen que
recopilar, administrar y hacer un seguimiento de ellos. El proceso de administracin de riesgos de
seguridad recomienda identificar y administrar los riesgos de mxima prioridad para la empresa.

5.1.4 PLAN DE TRATAMIENTO DE RIESGOS

Identificacin del conjunto de contramedidas de seguridad por implementar para llegar al nivel de
seguridad definido y su administracin, acordes con el nivel de riesgo aceptado.
85

ANLISIS DEL IMPACTO Y EL FACTOR DE RIESGO
La seguridad en el control de acceso requiere de la participacin de todos los niveles de la
organizacin y es una responsabilidad compartida. Actualmente Grupo Senderos no cuenta con los
controles, polticas y procedimientos necesarios, para mantener la seguridad con respecto a su
personal y a sus activos.
El anlisis de riesgo es un proceso cclico y continuo que involucra al rea de tecnologas de la
informacin y a la administracin.
Se aplica tanto a los activos crticos como a nivel organizacional hasta alcanzar el nivel de
seguridad adecuado, por lo tanto a continuacin se detalla el Plan de Tratamiento de Riesgos para
la empresa Grupo Senderos.

86

87

En esta plan para el Tratamiento de riesgos de seguridad, se maneja un enfoque proactivo que
puede ayudar a la empresa Grupo Senderos a responder a las amenazas de seguridad que
pueden comprometer el xito de sus negocios.
Un proceso de administracin de riesgos de seguridad formal permite que la empresa funcione del
modo ms econmico con un nivel conocido y aceptable de riesgos de negocios y una forma
coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de
administrar el riesgo.

La inversin en un proceso de administracin de riesgos, con un marco slido y funciones y
responsabilidades bien definidas, prepara la organizacin para articular prioridades, planear la
mitigacin de amenazas y afrontar la siguiente amenaza o vulnerabilidad de la empresa.

5.1.4 IDENTIFICACIN Y SELECCIN DE CONTROLES APLICABLES.
En esta fase se evaluarn las conclusiones del plan de tratamiento del riesgo as como el Checklist
de Controles con el fin de mitigar los riesgos encontrados.

De acuerdo a la tabla anterior, se tomaran las medidas de seguridad necesarias para una
propuesta de polticas de seguridad, y el anlisis necesario para la seleccin de una propuesta
tecnolgica viable para la empresa Grupo Senderos y que se adecue a sus necesidades de control
de acceso y de personal, que es el alcance primordial de este proyecto

PLAN DE IMPLEMENTACIN TECNOLGICA.
El plan de Implementacin tecnolgica, se presenta como una herramienta para el control de las
actividades que se deben llevar a cabo para mitigar los riesgos identificados, en la evaluacin de
riesgo del proyecto en curso y de acuerdo al alcance definido.

De esta forma la seguridad hoy en da se ha convertido en la carta de navegacin para el tema de
la inversin en tecnologa, debemos en toda inversin tecnolgica, considerar aspectos
relacionados con la gestin de la seguridad, con el fin de que esta inversin este alineada
plenamente con la estrategia del negocio y garantice de manera efectiva y eficiente su continuidad.

DEFINICIN DE POLTICAS
Se entiende por poltica, las reglas generales de comportamiento definidas para la interaccin entre
los usuarios y los activos informticos. Las polticas son independientes de los ambientes propios
de la entidad y representan la base de un modelo de seguridad.

88

Las Polticas de seguridad dependen de la cultura de la organizacin. Por esta razn las polticas y
procedimientos deben estar hechos a la medida, segn los requerimientos especficos de cada
organizacin. Para la definicin de las polticas y procedimientos se realiza un proceso de
validacin en conjunto con la organizacin con el fin de generar polticas y procedimientos que se
ajusten a esta. Como punto de partida para la definicin de las polticas se tendr como referencia
el anlisis de riesgo realizado, los controles del ISO 27001.

Las polticas cubrirn los siguientes temas:

Seguridad en la Organizacin:
Roles y Responsabilidades de Seguridad de la Informacin
Polticas para la conexin con terceros.

Clasificacin de la Informacin:
Importancia de la informacin segn la organizacin.

Seguridad en el recurso Humano:
Responsabilidades de seguridad de la informacin para los diferentes cargos.

Seguridad Fsica:
Polticas de Control de Acceso fsico..
Polticas sobre el uso de recursos.

Las polticas constan de:
Introduccin
Alcance
Polticas
a. Poltica General de Seguridad de la Informacin
b. Principios Generales
c. Confidencialidad de la Informacin
d. Control de Acceso Fsico
e. Uso apropiado de los recursos
Seguimiento y control
Actualizacin de las Polticas de Seguridad
Acrnimos y abreviaturas
Referencias

89

DEFINICIN DE PROCEDIMIENTOS
Los procedimientos son la descripcin detallada de la manera como se implanta una poltica. El
procedimiento incluye todas las actividades requeridas, los roles y responsabilidades de las
personas encargadas de llevarlos a cabo.

Los procedimientos a definir son los siguientes:
Administracin de la entrada a reas de computo restringidas
Procedimiento de Acceso al edificio.
Plan de Contingencia de Eventos naturales

Los procedimientos constan:
1. Objetivo
2. Alcance
3. Usuarios
4. Definiciones
5. Descripcin De Roles Y Responsabilidades
a. Usuario visitante / Personal Grupo Senderos
b. Responsable del Centro de Cmputo
c. Grupo de Mtodos y Procedimientos
d. Auditoria Informtica
6. Explicacin
7. Control de Cambios

En conclusin de esta seccin de Anlisis de Riesgos se ofrece un panorama a detalle que
conlleva una comprensin amplia de los riesgos ms importantes. La combinacin de pasos
cualitativos y cuantitativos en el proceso de anlisis de riesgos proporciona la base sobre la cual se
pueden tomar decisiones slidas acerca del riesgo y la mitigacin, siguiendo un proceso
empresarial inteligente que identifica los requerimientos y necesidades que actualmente Grupo
Senderos necesita cubrir en cuestiones de seguridad fsica que es el alcance que cubre este
proyecto.

5.2 BENCHMARKETING.
El Benchmarking es un concepto que empez a utilizarse hace unos 20 aos. En muchos casos
ms de forma terica que prctica. Pero no ha sido hasta entrada la dcada de los 90 que las
principales empresas a nivel mundial comienzan a interesarse por este tema.

90

La competencia cada vez mayor a la que se ven sometidas muchas compaas las ha obligado a
buscar recursos y tcnicas novedosas con las que pueden competir. Una de estas tcnicas es el
Benchmarketing.

5.2.1 CONCEPTO DE BENCHMARKETING.
El benchmark es una tcnica utilizada para medir el rendimiento de un sistema o componente de
un sistema, frecuentemente en comparacin con el cual se refiere especficamente a la accin de
ejecutar un benchmark. Seguramente se ha odo hablar de Benchmark pero no del
Benchmarketing. En definitiva es el mismo concepto, pero se utiliza Benchmarketing para hacer
hincapi en la funcin comercial o marketing. La palabra benchmark es un anglicismo traducible al
castellano como comparativa. Ms formalmente puede entenderse que un benchmark es el
resultado de la ejecucin de un programa informtico o un conjunto de programas en una mquina,
con el objetivo de estimar el rendimiento de un elemento concreto o la totalidad de la misma, y
poder comparar los resultados con mquinas similares.

En trminos de ordenadores, un benchmark podra ser realizado en cualquiera de sus
componentes, ya sea CPU, RAM, tarjeta grfica, etc. Tambin puede ser dirigido especficamente
a una funcin dentro de un componente, por ejemplo, la unidad de coma flotante de la CPU; o
incluso a otros programas.
La tarea de ejecutar un benchmark originalmente se reduca a estimar el tiempo de proceso que
lleva la ejecucin de un programa (medida por lo general en miles o millones de operaciones por
segundo). Con el correr del tiempo, la mejora en los compiladores y la gran variedad de
arquitecturas y situaciones existentes convirtieron a esta tcnica en toda una especialidad.

Este conocimiento es an ms necesario en la actualidad dado que tanto los diferentes factores
que afectan el comportamiento de los negocios como la internacionalizacin de los mercados, la
aceleracin del cambio tecnolgico, la dinamizacin del ciclo de los productos y el cambio en los
hbitos de consumo de la demanda, pueden originar un relativo desconcierto en las empresas.

La prctica de estudios de referencia tiene una alta relacin con la creacin de mayor valor para el
cliente y el mejoramiento continuo de los sistemas que crean deliberadamente valor para el cliente.
Con el nfasis en la satisfaccin de los requerimientos del cliente, los estudios de referencia se
dirigen hacia la reduccin de los sacrificios e inconvenientes a que tiene que sujetarse un cliente
para recibir un producto o servicio.

Actualmente, ya se busca que los productos sean desarrollados y producidos de forma ms rpida,
as como un nivel de calidad ms alto. Por eso, adems de las metas cuantitativas, como costo o
91

tiempos, se toman en cuenta as como las metas cualitativas, como flexibilidad, seguridad de
entrega, conocimiento de los procesos, innovacin, calidad total y proteccin del medio ambiente.

5.2.2 CLASIFICACIN DE BENCHMARKETING.
El benchmarking se ha convertido en una prctica gerencial estndar entre las empresas
reconocidas por su excelencia. Dado el rendimiento objetivo, existen diferentes tipos de
benchmark, los ms comunes y aplicados son los siguientes:

Benchmarketing competitivo
Identifica caractersticas claves de un producto o servicio y las compara con sus competidores. El
benchmaking competitivo se aplica tambin a comparacin de procesos y de indicadores de
desempeo.

Una de las ventajas ms claras de este tipo de benchmarking es la identificacin de las
capacidades y el desempeo de los competidores y la posibilidad de comparar avances y mejoras
posibles en industrias y procesos comparables. Naturalmente el acceso a la informacin es una de
las grandes desventajas dado que pocas empresas e industrias permiten la comparacin directa
entre competidores.
Este suele ser el ms conocido por las empresas. En general consiste en efectuar pruebas de
comparabilidad as como investigaciones que nos permitan conocer todas las ventajas y
desventajas de nuestros competidores ms directos. La matriz DOFA puede ser una buena
herramienta.

Esta matriz se utiliza para conocer elementos tanto de nuestra competencia como de nuestro
propio producto o servicio, estos elementos son:
Debilidades
Amenazas
Fuerzas
Oportunidades

Los competidores directos de productos son contra quienes resulta ms obvio llevar a cabo el
benchmarking. En definitiva cualquier investigacin de benchmarking debe mostrar cules son las
ventajas y desventajas comparativas entre los competidores directos.

Benchmarketing Genrico:
Existen funciones y procesos que pueden ser idnticos en empresas de sectores y actividades
diferentes. As departamentos de contabilidad, facturacin, control de stocks, logstica etc., de otras
92

empresas pueden mostrar similitudes con nuestra compaa, as que tambin puede parecer lgica
la comparacin de las mejores prcticas de estas empresas y la adecuacin a nuevos sistemas o
procesos de mejora.

Podremos observar, por lo tanto, cmo han funcionado nuevas tecnologas; productos o mtodos
de trabajo en otras organizaciones sin necesidad de aplicar el mtodo Ensayo-Errror. Es decir,
perfeccionar un sistema por nuestra cuenta a base, en muchos casos de cometer errores. Adems
de ser un mtodo lento, suele ser costoso, involucra una comparacin de funciones o procesos
similares entre organizaciones de diferentes industrias. La ventaja de este tipo es que ofrece
bastantes posibilidades de innovaciones y un alto potencial de resultados positivos.
La desventaja es que requiere bastante experiencia y un buen grupo de trabajo, se consume
bastante tiempo en la fase de preparacin de la informacin.

Benchmarking funcional:
No es necesario concentrarse en los competidores directos de productos. Existe una gran
posibilidad de identificar competidores funcionales o lderes de la industria para utilizarlos en el
benchmarking.

5.2.3 METODOLOGA DE BENCHMARKETING.
Las oportunidades identificadas por el proceso de benchmarking pueden conducir a un cambio
estratgico de la funcin especfica actual de un elemento o sistema, lo que significa que la
metodologa del estudio de benchmarking, los resultados y las oportunidades especficas se tienen
que comunicar tanto dentro de la funcin como dentro de la jerarqua de la empresa.

El estudio de benchmarking se tiene que organizar para su presentacin y revisin, el cual debe
incluir:

a) Un resumen ejecutivo. Se debe concentrar los resultados, conclusiones y recomendaciones
fundamentales. Debe describir las mejores prcticas de la industria y compararlas con las
existentes.

b) Descripcin del proceso del estudio. Incluye la seleccin del socio de benchmark, el mtodo de
recopilacin de datos e informacin y la tcnica de anlisis. Si el estudio se ha organizado bien
desde el inicio esta seccin se debe preparar con facilidad.

93

c) La base de datos e informacin que sirvieron de fuente. Debe incluir una descripcin de los
datos recopilados, el formato de los datos y de la informacin, si es necesario un glosario y los
propios documentos comparativos.

d) La presentacin de los hallazgos. Es el centro de atencin principal de la presentacin y el
informe. Los hallazgos se deben concentrar en preparar ten trminos tan claros y concisos como
sean posibles las prcticas de benchmark encontradas. Deben proyectar la repercusin que
tendrn sobre la organizacin si se adoptan y se deben expresar en trminos descriptivos as como
la mtrica comn usada dentro de la organizacin.

Una vez definido el concepto de Benchmarketing y conociendo la metodologa que se debe seguir
para evaluar diferentes alternativas de Sistemas de Control de Acceso disponibles en el mercado
encaminaremos esta metodologa para determinar cual de estas soluciones satisface las
necesidades de Grupo Senderos de forma eficiente y aportando el mayor de los beneficios. Se
visualiza en una tabla comparativa.

5.3 REQUERIMIENTOS Y DIMENSIONAMIENTO DE LA SOLUCIN DEL CONTROL DE
ACCESO.
A continuacin se sealaran algunos de los requerimientos que se consideran bsicos para la
propuesta hacia la Empresa Grupo Senderos.

Existen soluciones controladas electrnicamente que organizan el acceso de las personas
autorizadas a recintos de seguridad relevante. Para ello estn especialmente pensados los tornos
de altura completa para una segura delimitacin perimetral exterior.
En combinacin con lectores de tarjetas de identificacin regula el acceso sin necesidad de
supervisin la individualizacin de paso en el sentido deseado.

Para la puerta de entrada principal existen soluciones adicionales, en muchos casos
complementarias con las perimetrales. Se trata de las puertas giratorias o esclusas de seguridad.
Pueden ser programadas siguiendo diferentes niveles de seguridad en funcin de los
requerimientos. Desde el simple control mediante una tarjeta de identificacin, la entrada de un
cdigo de Identificacin Personal (PIN) hasta el control de rasgos biomtricos como son las
huellas dactilares, los ojos, etc.

Para asegurar el acceso de personas autorizadas en el rea interior de acceso a oficinas o reas
de produccin se recomienda la instalacin de tornos y pasillos de sensores. Son dispositivos
94

rpidos, fiables y fciles de utilizar. Tambin existe una amplsima gama que abarca desde
soluciones sencillas con molinetes hasta puertas giratorias de cristal.

Para asegurar el acceso a reas interiores se dispone de soluciones para cada requerimiento o
situacin con terminales, controladores y perifricos para el control de accesos.

Para el control de zonas o recintos hay soluciones mecnicas y contina con seguridad y
flexibilidad expandida a los sistemas mecatrnicos.

Aqu la tecnologa mecatrnica
27
ofrece la ventaja de la seguridad redundante. Para la apertura
autorizada de la puerta deben coincidir la autorizacin mecnica y la electrnica. Otra ventaja es la
posibilidad de cancelar la autorizacin a llaves extraviadas sin necesidad de cambiar el cilindro.
La importancia del software.
El software del sistema debe ser una solucin global, altamente integrada, para el control
automtico de accesos. Los procesos se pueden reflejar de manera muy sencilla. Permitir la
supervisin y monitorizacin en lnea de la instalacin. El sistema debe permitir de una manera
sencilla gestionar todos los elementos afectos al control de acceso desde dispositivos de
individualizacin de paso, controladores, lectores, gestin de medios de identificacin y cilindros
electrnicos desde una nica plataforma.

Requerimientos

Entre los requerimientos ms importantes que debe tener la solucin de control de acceso para la
empresa Grupo Senderos considerando sus activos y vulnerabilidades, se encuentran los
siguientes:

Proteger de accesos no autorizados a personas, activos e informacin.
Evitar el uso indebido de puestos amparndose en el anonimato.
Realizar un control de reservas sin necesidad de personal dedicado.
Cumplimiento de los tiempos de reserva.
Control estadstico del uso de puestos.
Horarios de Control de Acceso.
Limites de acceso diarios por hora inicial y hora final.
Acceso controlado por trabajador por punto de acceso.
Opcin de horario de acceso libre por trabajador.
Opcin de validacin con horario calendarizado por semana.

27
95

Traslado de registros de accesos a checadas de Control de asistencia con opciones "1era
entrada y ultima salida diarias" " todas las checadas de acceso".
Opcin de "omitir checadas imprevistas intermedias" en el Reporte de Prenmina para
evitar descontar tiempo a la jornada diaria por registros derivados del transito por reas
controladas.
Control sobre el tiempo extra que representa un alto costo en las empresas.
Elimina perdidas por clculos desatinados con la tradicional tarjeta del reloj checador.
Obliga el cumplimiento de la jornada de trabajo del personal.
Evita que los trabajadores hagan mal uso de sus tarjetas de cartn. .
Mejora desempeo y productividad del personal de Nminas.
Realza la imagen de empresa moderna y actualizada.
Facilidad para integrar aplicaciones de Control de Acceso.
Evitar la prdida de equipo de cmputo.

El Sistema de Control de Asistencia es un software que permite llevar registro automtico del
tiempo laborado e incidencias del personal en base a los turnos.
Caractersticas del Sistema:
Fcil de Usar.
Sistema Multiusuario y Multiempresa.
Catlogos de clasificacin por Empresa, rea, Departamentos, Centros, Categoras y
Grupos.
Turnos por da, semana y calendarizacin del rol de turnos.
Reportes en lnea de checadas, asistencias, ausentismos, retardos, tiempo extra y
prenmina, quien entra y quien sale de la empresa.
Base de Datos.
Catlogo de Personal con fotografa.
Monitoreo interactivo de personal checando su hora de entrada y salida.
Programa incluido para diseo e impresin de credencial con Logotipo de la Empresa,
fotografa del empleado y cdigo de barras usando impresora lser o Inyeccin de tinta a
color.

Los Reportes del Sistema de Control de Asistencia pueden ser filtrados por rango de fechas
facilitando la seleccin del perodo y sin necesidad de realizar cierres del perodo. Tambin se
puede seleccionar por Trabajador, Departamento, Categora, Grupo y Turno. Poder exportar los
reportes a Archivo Texto, Word Excel.
96

As mismo dicho sistema debe emitir reportes como:
Reporte de Checadas
Reporte de Ausentismo
Reporte de Retardos
Reporte de Tiempo extra
Reporte PreNmina analtico
Reporte PreNmina
Reporte de Consumos de comedor
Reporte de Control de accesos
De igual manera, tener la posibilidad de realizar consultas o reportes de los siguientes conceptos:
Faltas.
Tiempo extra horas dobles.
Tiempo extra horas triples.
Horas laboradas en da de descanso.
Horas laboradas en da festivo
Retardos (entrada posterior a la hora de entrada al tiempo de holgura definido en el
turno)
Permisos en Horas (salidas anticipadas y/ salidas parciales durante la jornada)
Prima dominical
Incapacidades
Vacaciones
Permisos falta justificada
Dems conceptos de ausentismo definibles por usuario

5.4 ESTUDIO DE LAS ALTERNATIVAS DE LA SOLUCIN.
Para el siguiente apartado, se analizaron seis posibles alternativas de solucin, las cuales se
describen a detalle a continuacin.

1.- Reloj checador de Asistencia por medio de Lector Biomtrico de Huella Digital.
(ACCESO)
Es un sistema que substituye a los checadores Mecnicos, de Proximidad con tarjetas o de cdigo
de barras, puede trabajar con varios tipos de lectores de huella digital y proximidad (RFID). Con la
capacidad de capturar hasta 10 huellas digitales por empleado.

97

El checador trabaja con todas las Terminales IP
28
con sensor de huella digital y de proximidad
(RFID) de ZK Software. No se requiere una PC dedicada y se puede conectar a una red por el
puerto RJ45 asignndole una direccin IP. La base de datos puede residir en un servidor de red o
en una computadora con Windows XP Profesional.

Gracias a este reloj checador se evitan grandes problemas como son la confiabilidad en el control
de asistencia de los empleados. Se tiene un control real del momento que checan los empleados,
evitando tener sistemas obsoletos, ya sea por libretas, reloj checador de tarjetas cdigo de
barras; ya que se presta a que otras personas realicen estos registros por otros se adultere la
informacin, esto con el perjuicio econmico y de productividad.

El Sistema Acceso de Control de Asistencia por medio de Lector Biomtrico de Huella Digital y
Clave est diseado para tener el mximo control de sus empleados; ya que necesariamente
tendr que registrarse la persona por medio de su clave y huella digital, facilita el manejo de la
informacin, puesto que al encontrarse capturada en una base de datos dentro del sistema ahorra
costos por tiempo y errores humanos de captura, registrando la asistencia, retardos, faltas y salidas
a comer.

A) VENTAJAS
La principal ventaja del checador es que, al conectarse a una computadora, usa el monitor para que el
empleado vea su fotografa y se d cuenta si est registrando una entrada o una salida. Entre otras
ventajas que tiene este checador son las siguientes:

Hay avisos alusivos al record de asistencia de los empleados.
Se pueden programar mensajes por empleado, por departamento o en general.
Puede incorporar sonido en respuesta a cada evento.
Tiene un costo ms econmico que una Terminal.
Se configura fcilmente y no lo restringe un diseo predeterminado, puede cambiar el
aspecto y adecuarlo a su propio estilo.

B) REQUERIMIENTOS TCNICOS
DEL EQUIPO DE CMPUTO PARA TRABAJAR CON EL LECTOR: Una PC con
Windows (De Windows 98 en adelante) con un puerto USB
29
libre, donde se conectar el
sensor. Esta computadora tambin podr usarse como Servidor, si se va a usar otra
computadora, se requiere que ambas estn conectadas en la misma red.

28
29
98

SOBRE EL USUARIO: Es conveniente que el personal que va a manejar el sistema, est
capacitado en el uso general de equipo de cmputo, sistemas (Windows y Redes) y
conocimiento de las polticas en recursos humanos de la empresa.
DE LA INFORMACIN NECESARIA PARA EMPEZAR A USARLO: El da de la
instalacin, el cliente recopilar previamente los datos completos de 3 empleados con su
horario de trabajo definido, y todas las polticas de asistencia de la empresa.
DE LOS REQUERIMIENTOS DE RED: Una conexin de red con una direccin IP esttica
disponible, la cual ser asignada por el personal de sistemas, as como un cable de red
(UTP
30
) con la distancia necesaria para conectar la computadora donde estar conectado
el checador.
DE LOS REQUERIMIENTOS DE INTERNET: Contar con acceso a Internet y correo
electrnico, para el envo de archivos de licencia de activacin del producto y
actualizaciones futuras. Es muy til contar con Messenger para mayor rapidez al resolver
alguna duda o un acceso remoto si fuera necesario.
DE LA COLOCACIN FSICA: El lector USB puede trabajar en cualquier superficie lisa.

C) FICHA TCNICA
Interfase USB.
Resolucin 512 (DPI).
Tamao 49 ancho 79 largo por 19 de alto (mm).
Escalas de grises de 8 bits (256 niveles).
Drivers para Windows 95/98/NT 4.0 , 2000, ME, XP.
Temperatura 0-40 Centgrados.
Humedad de funcionamiento 20%-80%.
Voltaje 5 -+ 5 % (Vdc).

30
Fig. V.25 Lector Biomtrico de Huella Digital.
99

2.-Reloj checador TA102 Fingertec (PEOPLEVIEW)

La serie FingerTec TA102 ofrece el concepto toque y listo con su potente tcnica de identificacin
uno-a-muchos que tiene la capacidad de verificar un usuario con slo tocar su huella dactilar en el
sensor. No se requiere ni la entrada del nmero de identificacin del empleado por adelantado ni el
marcado de tarjeta para registrar el tiempo utilizando la serie FingerTec TA102.

Lo nico que se requiere es que el usuario verifique su huella dactilar registrada a travs del lector.
La verificacin se logra en menos de 2 segundos, hacienda que la serie FingerTec TA102 sea un
sistema efectivo de control del horario y de la asistencia para cualquier ambiente de oficina o de
fbrica.

Fingertec TA102 es un reloj checador que le permitir llevar un eficiente control de asistencia con
mxima seguridad, con la capacidad de almacenar 1,500 huellas digitales y guardar 100,000
eventos en memoria.

El checador podr enlazar la cantidad de relojes checadores que desee dentro de su red, y en sus
sucursales remotas. Comunicacin IP. Cabe mencionar que este reloj checador no requiere una
computadora para operar.

El checador esta diseado para que los empleados no tengan la posibilidad de checar unos por
otros, as como eliminar el abuso del tiempo que se consume a la hora de checar con tarjetas o en
un libro de entradas y salidas.

Al momento que el empleado checa su hora de entrada o salida, ste podr visualizar en pantalla su
nombre, su numero de empleado, y la hora exacta en el que se esta realizando el movimiento. As
mismo se incrementa la productividad del empleado desde el primer da.

Con Fingertec TA102 Puede almacenar horarios normales, mixtos, nocturnos, roles de turnos,
horarios especiales, segn sean las necesidades de la empresa.

A) VENTAJAS
Una de las principales ventajas de Fingertec TA102, es que no necesita una computadora para su
funcionamiento.

Elimina el fraude y abusos del tiempo. El sistema permitir conocer la identidad de las
personas que se presentan a laborar.
100

Utiliza la huella digital de los empleados y elimina el gasto de consumibles e insumos para
llevar el control de personal.
Reduce el tiempo que se emplea en generar la nmina, adems se obtiene una nmina
real.
Automatiza procesos para calcular la nmina.
Obtencin de reportes fciles de asistencia y visitas.
Fcil de operar, se incluyen videos de capacitacin.

capacitado sobre el funcionamiento del reloj, el cual es una manera sencilla.
disponible.
DE LA COLOCACIN FSICA: El checador, necesita estar en una superficie lisa.

C) FICHA TCNICA
Tamao 205 x 140 x 50 (mm).
Tiempo para la identificacin 2 segundos.
Registro hasta 10 huellas dactilares por segundo.
Colocacin de la huella dactilar en cualquier ngulo (360).
Capacidad de usuarios 1,500 plantillas.
Alarma 10 horarios preestablecidos con temporizador de retardo.
Ethernet 10/100 BaseT (UDP).
Comunicacin TCP/IP, RS232, RS485 & USB.
Temperatura de operacin 0 45 C .
Humedad de operacin 20 80 %.
Voltaje de operacin DC 5V 2.
Idioma de pantalla (Lector) Ingls (Estndar), (Bajo pedido Indonesio, Chino, Tailands,
Espaol, Farsi y rabe, Portugus).
Idioma (Software) Ingls, Chino, Indonesio, Tailands, Vietnamita, Alemn, Farsi, rabe,
Espaol, Ruso, Malayo y Portugus.

101

3.- Lector de proximidad EVOPROX (ACESSOR)
Los lectores de proximidad son frmula ms eficiente para la identificacin de sus empleados y del
personal que circule por sus instalaciones gracias a su comodidad ya que puede identificarse sin
sacar la tarjeta de su billetera. Ideal para realizar el control de acceso e incluso el control horario y
de presencia de los empleados.

Los lectores de proximidad son sistemas altamente fiables con cotas muy altas de seguridad.
Se trata de un sistema muy limpio para el usuario y es percibido como dispositivos altamente
tecnolgicos.

Este tipo de aplicaciones se utilizan para validar la identidad del portador de la tarjeta en un
sistema centralizado de gestin.

Tambin se utilizan para restringir o permitir el acceso a una determinada rea en funcin de
distintos parmetros que pueden estar grabados en la tarjeta o pueden ser recuperados de un
sistema central de gestin a partir de la identidad grabada en la tarjeta. Este tipo de aplicaciones
suelen estar ligadas a puertas o tornos automatizados que permiten o impiden el paso fsico de una
persona a una determinada rea, si bien tambin tiene sentido este servicio en el mbito de la
autenticacin en sistemas informticos

Actualmente la capacidad de almacenamiento es muy limitada, pero en un futuro quizs se podra
almacenar toda la historia dentro de la tarjeta.
Analizando las tarjetas con banda magntica, podemos decir que stas pueden daarse al
rasparse porque existe contacto fsico entre la tarjeta y el lector. La informacin de la tarjeta puede
copiarse y hasta borrarse si se deja cerca de un campo magntico o un telfono mvil. Es la
tecnologa ms econmica pero la duracin de la tarjeta es limitada porque se daa con facilidad.

Fig. V. 26 Reloj checador TA102 Fingertec.
102

A) VENTAJAS
Facilidad de manejo
Alto rango de lectura
Dimensiones reducidas
Encapsulado para usos externos

capacitado sobre el funcionamiento del reloj, el cual es una manera sencilla. Ademas de contar
con la tarjeta, obligatorio.
disponible.
DE LA COLOCACIN FSICA: El lector necesita estar en una superficie lisa, alejado de la
humedad.

C) FICHA TCNICA
Distancia funcionamiento 5cm aprox
Alimentacin 12Vdc (9-21V)
Compatibilidad Llave proximidad, tarjeta proximidad y emisor llave
Frecuencia de oscilacin 13,56MHz
Cableado 6 cables (recomendable apantallado)
Seccin cable hasta 100/150/200m 0,22/0,35/0,5mm2 (recomendable categora 5)
Temperatura de funcionamiento -20C a +55C
Dimensiones 84x75x14mm / 110X150X55mm (STEELPROX-MOTION)
Protocolos Wiegand 26 / CONTROLLER-6000 / C4+ / BUS-L

Fig. V.27 Lector de proximidad EVOPROX
103

4.- Lector de Proximidad KRD13M (SINTA SOLUCIONES)
El lector de proximidad KRD13M, compatible con la normativa ISO 14443A. Dispositivo con lector
de proximidad Mifare configurable para comportamiento autnomo (off-line) o a tiempo real (on-
line).Cabe mencionar que se debe contar con una tarjeta apta para este lector.
El dispositivo Mifare puede configurarse en modo on-line controlado por comandos y tambin se
puede configurar en un modo autnomo para que lea informacin de la tarjeta.
El lector puede ser configurado para operar en uno de los 3 modos de funcionamiento bsico:
Controlado por comandos desde un host: Admite comandos ASCII
31
y libreras OCX
Slo lectura: Lectura del nmero de serie nico (UID ) de la tarjeta.
Autnomo: Leer un bloque cualquiera dentro de la tarjeta chip

Opcionalmente, la terminal admite dentro de la propia caja las siguientes funcionalidades:
Conectividad IP: Ethernet, Wi-Fi o ambas
Conectividad CAN: para ser usado en la red de lectores de otras marcas

A) VENTAJAS
La tecnologa Mifare combina la comodidad de uso con la seguridad: la informacin de
cada bloque de informacin est protegida por password.
Se puede configurar en uno de los modos autnomos para que lea directamente el nmero
de serie de la tarjeta (UID) o incluso un contenido prefijado de la memoria de la tarjeta.
capacitado sobre el funcionamiento del reloj, el cual es una manera sencilla. Adems de
contar con la tarjeta, de uso obligatorio.
disponible.
DE LA COLOCACIN FSICA: El lector necesita estar en una superficie lisa, alejado de la
humedad.

C) FICHA TCNICA
Lector de tarjetas compatible con ISO 14443A.

31
104

La distancia de lectura es de hasta 5 cm. dependiendo del tag.
2 Leds: rojo y verde.
Seal acstica tipo beeper.
Programacin: comandos serie o libreras OCX.
Conexin bsica RS-232

5.- Software de Control de Accesos AMADEUS 5
Amadeus 5 es un sofisticado software de Control de Acceso y Administracin de Alarmas, que
permite en forma centralizada y en tiempo real, controlar el flujo de empleados y visitantes por las
dependencias de su empresa, monitorear y reaccionar ante alarma

Transforma las instalaciones en un edificio inteligente. Por ejemplo, el pase de una tarjeta en un
lector apagar automticamente las luces y la calefaccin en cualquier rea designada,
permitiendo as la economa de energa.

Permite definir mltiples Grupos de Acceso, Programas Diarios, Semanales y Feriados, los cuales
se usan para especificar: horas a las que los empleados y visitantes pueden acceder a las
diferentes zonas de la empresa, horas a las que los lectores operan en diferentes niveles de
seguridad y los horarios en los que las zonas estn bajo alarma.

Permite crear una completa base de datos con informacin de los empleados: nombre, apellido,
fotografa, matrcula del automvil, compaa, departamento, telfono de oficina, PIN, fecha de
validez de la tarjeta, etc. Ofrece a lo menos 4 campos personalizables segn los requerimientos de
la empresa (RUT, nmero interno Empresa, etc.).

Los visitantes podrn recibir una tarjeta en el la recepcin. Esta tarjeta deber tener todas las
autorizaciones apropiadas. Los visitantes podrn desplazarse en forma autnoma o debern ser
escoltados por otros usuarios durante todo el tiempo que estn dentro de las instalaciones.
Fig. V.28 Lector de proximidad KRD13M
105

Se mostrarn en tiempo real todos los eventos y transacciones, lnea a lnea con informacin
completa y con la hora estampada. Es posible definir 2 zonas de visualizacin de registros en la
pantalla, uno para las alarmas y el otro para las transacciones (pasadas de empleados por puertas,
etc.).

Permite definir una gran variedad de eventos que pueden ser considerados como Alarma y
monitoreados en tiempo real: acceso denegado, lectura de tarjeta desconocida, puerta forzada,
puerta que permanece abierta sobre un tiempo determinado, activacin de entrada de alarma de
un controlador, supervisin de lnea de alarma, batera de un controlador con poca carga, etc.

Para cada uno de los eventos de alarma definidos, se puede programar un conjunto de respuestas
automticas: activacin de rels de los controladores (activar sirenas, abrir/cerrar puertas, etc.),
instrucciones en pantalla para el operador que supervisa el sistema, ejecutar un mensaje de voz
pregrabado o un sonido especfico en la Sala de Control y Monitorizacin, enviar un comando a un
puerto COM (por ejemplo manejo de equipos externos como Matrices de Video de CCTV
32
.
Permite asociar todas las entradas de alarma, puertas, salidas de rel y procesos con iconos
grficos. Los iconos son ubicados en una posicin representativa sobre los mapas o planos
grficos definidos por el administrador.

En caso de generarse una alarma se desplegar el mapa con el icono de la alarma
correspondiente y se mostrarn instrucciones de accin. Se podrn escribir comentarios que
aparecern posteriormente en los informes.

Permite crear tantos contadores como sea necesario. Cualquier evento (lectura de tarjeta en un
lector, etc.) puede activar el aumento o disminucin de un contador. Se ejecutarn acciones
automticas cuando un contador alcance un cierto valor (por ejemplo, al salir todas las personas de
una zona, se apagarn automticamente las luces).

Los lectores pueden operar en distintas modalidades segn las zonas horarias programadas. Por lo
menos dos Niveles de Seguridad estarn disponibles: por ejemplo dejar abiertas ciertas puertas
durante horas de oficina, y controladas fuera de esas horas.

A) VENTAJAS
Amadeus 5 permite modificar en un paso la autorizacin de acceso de todos los usuarios usando la
funcin de Nivel de Crisis. Rpidamente se descarga el nuevo nivel de crisis a los controladores,
sin necesidad de cambiar por separado el permiso de cada usuario.

32
106

Siempre tendr disponible la Ubicacin Fsica de un usuario por su ltimo pase a travs de un
lector. Esto permite verificar la asistencia y evacuar reas designadas en caso de emergencia.
Permite mostrar en tiempo real la fotografa de los usuarios que pasan a travs de un lector.

Utilice la funcin de Escolta cuando requiera una doble validacin para autorizar el acceso a ciertos
lectores: la tarjeta del usuario que necesita ser escoltado y la tarjeta de la persona que ser
escolta.

Ofrece tres posibilidades de Interbloqueo para condicionar la apertura de una segunda puerta a la
apertura y cierre de otra primera puerta.

Con la funcin de Antipassback se previene dos autorizaciones de acceso sucesivas por una
puerta sin una salida vlida (temporal o atemporal), o se define un camino (serie de lectores y
puertas) que los usuarios deben seguir para acceder a reas especficas.

Para mayor seguridad es posible el uso de lectores biomtricos de huella digital, o de lectores
biomtricos junto a una tarjeta. En caso de existir lectores Wiegand, no hay necesidad de
reemplazar tarjetas ni lectores.

Posee un generador de informes flexible y poderoso para mostrar, imprimir y exportar informes
tanto de la base de datos como de los eventos registrados. Permite seleccionar cualquier
combinacin de campos para obtener informes ordenados apropiadamente segn las necesidades
de su empresa. Todos los informes pueden ser exportados a formatos de MS Excel, MS Word,
PDF
33
, HTML
34
, archivo de texto, etc.

Permite crear diferentes perfiles de operadores del software. Para cada pantalla y men se permite
definir: si se le permite leer, modificar, o se le niega totalmente el acceso. El software solo mostrar
las opciones habilitadas para cada operador.

Proporciona una interfaz de servidor OPC que permite la conexin en-lnea con cualquier Scada. A
travs de esta interfaz es posible transferir en tiempo real todas las transacciones al Scada y por el
Scada para enviarles instrucciones a los controladores.
Permite la asignacin de un cierto nmero de espacios de estacionamiento a varias compaas. Si
la cuota de una compaa se ha completado, impedir al automvil entrar al parque de
estacionamiento, as como podr generar una respuesta: activar una seal luminosa de

33
34
107

estacionamiento lleno, etc. Permite adems controlar y obtener en tiempo real la informacin de
que vehculos estn presentes en el estacionamiento en cada momento.

Amadeus 5 se utiliza con los controladores On-Line OPEN4, NSL4, TPL4, MEGA y DS216. Admite
mltiples Estaciones de Trabajo. Puede operar con bases de datos MS Access para instalaciones
medianas, o en un servidor con SQL Server, para instalaciones con miles de usuarios y cientos de
controladores.

C) FICHA TECNICA
Software de Control de Accesos y Alarmas
Fcil instalacin y programacin, software en espaol
Visualizacin de eventos y transacciones en tiempo real
Aumento de la seguridad con el uso de identificacin biomtrica de huellas digitales
Soporta mltiples Estaciones de Trabajo
Bases de datos en MS Access o SQL sobre servidor con MS SQL Server
Definicin de mltiples horarios Diarios, Semanales y Feriados
Definicin de mltiples Grupos de Acceso
Poderosa herramienta para crear informes de actividad
Informes exportables a formatos estndar (MS Word, MS Excel, etc.)
Control de Visitantes
Despliegue de fotografa de los usuarios
Monitoreo Grfico de Alarmas en tiempo real
Niveles de Seguridad
Niveles de Crisis
Escolta
Trampa (Interbloqueo)
Anti-Passback Local, Temporizado y Global
Reflejos Locales y Globales
Despliegue de fotografa de los usuarios
Mdulo opcional de Administracin de Estacionamientos de Vehculos
Mdulo opcional de Control de Ascensores
Mdulo opcional de Ronda de Guardia
Mdulo opcional de Mltiples Compaas
Un edificio o mltiples sitios remotos va MODEM, RS232, RS485 o TCP/IP

108

6.-Sistema de control de presencia y control de acceso integrado (SCA)
Es una solucin empresarial que integra control de presencia y control de accesos tanto para
pequeos centros de trabajo, como para grandes empresas, edificios de oficinas e incluso redes de
delegaciones gracias a su modularidad asociadada a la tecnologa TCP/ IP nativo utilizada en la
comunicacin de todo el sistema.

Administra y supervisa de forma fcil y segura los accesos a lugares restringidos desde salas o
pequeas oficinas hasta grandes edificios o conjunto de ellos, adaptndose a las necesidades de
cada empresa.

Permite la gestin del control horario de su empresa de forma sencilla. Mediante la definicin de
horarios y calendarios tanto laborales como vacacionales podr establecer un modelo laboral de
los empleados tan flexible como desee.

Controla en todo momento de forma detallada las horas trabajadas por los empleados y las
desviaciones de la jornada real frente a la establecida.

Este sistema incluye los siguientes dispositivos:

Diferentes tipos de lectores: montaje en superficie, empotrados, para tornos, de exteriores,
para panel, antivandlico, con y sin teclado.
Lectores con teclado para accesos con mayor seguridad (identificacin por PIN).
Gestin de puertas estancas.
Fig. V.29 Software de Control de Acceso
109

Funcionalidades domticas: Control automtico de sistemas en funcin de seales externas o
segn horarios.
Gestin del personal y las visitas de su centro, asignando a cada usuario una tarjeta que lo
identifique.
Configuracin de accesos en funcin de horarios y das de la semana y/o tipos de das
especiales.

A) VENTAJAS
- Gestiona adecuadamente los recursos
- Reduce el absentismo
- Fomenta la puntualidad
- Cumple con la legislacin laboral y la LOPD
- Evita conflictos laborales
- Controla zonas restringidas
- Garantiza la seguridad
Gestin de rangos horarios de distinto tipo: horas trabajadas normales y horas extras. Permite
incluir periodos de descanso mximo dentro de un rango, controlando aquellas personas que
sobrepasan el lmite de tiempo.

Definicin de una amplia gama de jornadas de trabajo: desde jornadas flexibles, hasta jornadas
estrictas con periodos de tiempo limitados y fichajes obligatorios concretos. Los fichajes
obligatorios cuentan con un periodo de cortesa que permite darles flexibilidad.

Gestin completa de individuos. Personalizacin de calendarios y descuento de las vacaciones
personales de forma automtica.

Gestin completa de grupos de empleados. Dichos grupos pueden ser usados para la gestin de
calendarios laborales y vacacionales colectivos.

Distincin de niveles de acceso de cada usuario a la informacin. Un jefe de departamento puede
ver informacin asociada al grupo del cual es responsable mientras que un empleado simplemente
puede ver su propia informacin.

Consulta de informacin e introduccin de incidencias desde el teclado del lector. Los tipos de
incidencias son totalmente configurables por el usuario.

110

Permite la insercin de fichajes manuales para la correccin de olvidos o errores, siempre
manteniendo la informacin real generada por el empleado.
Informe detallado de horas trabajadas desglosando entre horas normales y extras, incidencias,
vacaciones, ausencias, puntualidad, horas, fichajes realizados y horas por el cdigo.

Exporta informacin a formatos tales como Word, Excel, Pdf.

En caso de fallo de la red informtica, siguen funcionando los accesos y se siguen registrando los
pasos de tarjeta tanto para accesos como para presencia, ya que las placas disponen de una
memoria no voltil con capacidad de registro de unas 100.000 lecturas y aperturas donde se
almacenan las configuraciones y los eventos que son descargados una vez se recupera el sistema.

Placas de control con conexin Ethernet
35
con protocolo TCP/IP. La conectividad Ethernet
simplifica las instalaciones aprovechando los recursos informticos habituales. TCP/IP es un
protocolo de comunicacin de intercambio de informacin a travs de Internet con funcionamiento
on-line u off-line.

Toda la informacin se centraliza y almacena en una base de datos (SQL Server, Oracle), y a
travs del programa de gestin se puede monitorizar toda la actividad registrada en sus diversas
sedes o delegaciones. El software es multipuesto, la licencia controla el nmero de unidades de
control que existen en una instalacin, pero permite tener un nmero ilimitado de usuarios
accediendo de forma simultnea a la aplicacin.

C) FICHA TCNICA
Instalacin sencilla: RJ45 para red local y alimentacin elctrica 230 Vac 12 Vdc.
Opcin de kit para alimentacin Power-over-Ethernet.
Conexin de hasta 2 lectores en cada placa. Cada lector permite controlar hasta dos
accesos y cada acceso permite abrir hasta dos puertas.
Editor para gestionar diseos o plantillas de tarjetas utilizadas por los usuarios.
Posibilidad de mantenimiento remoto del sistema.
7.- Solucion integral para el control de accesos (SAMRT SIA)
Es una solucin empresarial integral para el control de accesos de toda la empresa a travs de un
control de visitantes en lnea con conexiones de diversa tecnologas como Banda Magntica,
Cdigo de Barras, Proximidad, Huella Dactilar, Biometra de Mano y Tarjetas Inteligentes.

35
111

Altamente Configurable por medio de Paneles de Control los Paneles pueden trabajar en Lnea y
Fuera de Lnea respaldo de energa para seguir operando el Acceso.

Versin MONOUSUARIO
36
y cliente servidor con modulo de Consulta va WEB manejo de
informacin por medio de base de datos corporativa. Para el Control de Acceso se emplea
tecnologa de punta basada en Paneles de Control, los cuales son el cerebro de las validaciones
de Acceso para las diversas reas; adems de almacenar las transacciones de manera efectiva
para su procesamiento en Lnea o en Lote.

y Salida o de solo Acceso. En caso de pnico se podrn liberar todos los accesos de manera
rpida. Se emplean Bateras de Respaldo en caso de Corte de Corriente para permitir la operacin
de los equipos por varias horas.
PANELES DE CONTROL - COMPACTO Y EXTENDIDO.
Es el cerebro central del Sistema de Control de Acceso, almacena toda la informacin necesaria
para la validacin de los puntos de Acceso, entre sus caractersticas principales se tiene:

36
Fig. V.30 Versin Monousuario.
112

Comunicacin Serial RS232/RS422/RS485, opcionalmente Modem
37
o Ethernet-TCP/IP.
Descarga en lnea o en Lotes de la informacin.
Opciones de Memoria Ram segn las necesidades: Compacto: 512kb. Extendido de 1Mb
hasta 8MB.
Conexin de hasta 64 Dispositivos de Control por medio de 4 canales RS-485.
Conexin de diversos tipos de lectores: desde teclados sencillos hasta Cdigo de Barras,
Banda Magntica, Proximidad, Biometra de la Mano, Huella Dactilar, Tarjetas Inteligentes,
o incluso combinaciones de stos Manejo de mltiples zonas de tiempo, que pueden
definirse para permitir el acceso a cada una de las reas a controlar y asignarse segn las
necesidades
Manejo de Zonas de tiempo, que pueden definir hasta 12 horarios para permitir el acceso a
las reas.
Cambio de Horario de Verano.
Soporte de ANTIPASSBACK (no permitir que se accese de nuevo a un rea si no se ha
registrado previamente una salida para esa misma persona).
Control y registro de seales para diversos tipos de dispositivos como Sensores de Paso,
Sensores de Apertura de Puertas y Ventanas, Sensores de Movimiento, Botones de
Pnico, entre otros.
Relevadores para activacin de Puertas, Torniquetes, Barreras de Estacionamiento,
Alarmas, Semforos y dems dispositivos de Aviso o Bloqueo.
Soporte a la administracin de patrones biomtricos de Biometra de Mano y Huella
Dactilar, que permiten dar de alta a usuarios en una terminal y replicar los patrones por
medio de la red hacia otras terminales

37
Fig. V.31 Panel de Control.
113

DES - DISPOSITIVOS DE CONTROL ENTRADA Y SALIDA.
Controla las Entradas y Salidas de las personas en un rea, adems de otros dispositivos por
medio de sus seales disponibles y relevadores para activacin de otros dispositivos como
alarmas, semforos y dems.

Conexin Serial 485 hacia el Panel.
Permite conectar hasta 2 Lectores tipo Wiegand o Clock/Data.
6 Relevadores para activacin de Puertas, Torniquetes, Barreras y/o Alarmas.
8 Seales de Validacin para Sensores de Puertas, de paso de personas, de movimiento y
Botones de Liberacin.
Sensores de Apertura de Gabinete y Corte de Corriente de Dispositivo.
Leds de estatus para identificar el correcto funcionamiento.
DAC - DISPOSITIVOS DE ACCESO.
Controlar el Acceso a una rea, permitiendo la apertura de una puerta o dispositivo de bloqueo.

Conexin Serial 485 hacia el Panel.
Permite conectar fsicamente Un Lector tipo Wiegand o Clock/Data.
2 Relevadores para activacin de Puerta o Punto de Bloque y Alarma Auxiliar.
2 Seales de Validacin para Sensor de Puerta y Botn de Liberacin.
Sensor de Apertura de Gabinete de Dispositivo.
Leds de estatus para identificar el correcto funcionamiento del Dispositivo.

Fig. V.32 DES.
114

LECTORES DISPONIBLES PARA VALIDACIN.

Fig. V.33 Magntico / Cdigo Barras

Fig. V.34 Proximidad

Fig. V.35 Proximidad y/o NIP

Fig. V.36 Proximidad MIFARE

Fig. V.37 Biometra Dactilar con MIFARE

Fig. V.38 Biometra Palma de la Mano

115

VENTAJAS
Administracin de Personal autorizado para Accesar a las instalaciones, indicando sus
reas y Horarios validos para Accesar.
Facilidad para definir las reas en que se puede Acceder, as como su imagen grfica en
foto o plano.
Control de Accesos a las reas de la empresa por medio de Paneles Inteligentes y
Dispositivos de Control.
Manejo de diversas tecnologas como Banda Magntica, Cdigo de Barras, Proximidad,
Huella Dactilar, Biometra de Mano y Tarjetas Inteligentes.
Recoleccin de la Informacin desde el Panel hacia la Pc en Lnea o por Bloques.
Permite conocer todas los Accesos realizados en una rea de manera rpida. Emisin de
Alarmas de Eventos que se generen en los Accesos.
Monitoreo en Tiempo Real de los Accesos de manera grfica para consultar el
comportamiento y los eventos en las reas requeridas.
Diversos Reportes de Control de Accesos como son: Reporte de Transacciones, de
Accesos Denegados, Accesos por reas, Accesos por Horarios.
Importacin de la informacin de personal desde archivos ASCII. Control de Visitantes en
Lnea para permitir el Acceso a las instalaciones.
Exportacin de las transacciones a sistemas de Control de Asistencias u otros.
Base de Datos Corporativa para mejor administracin y respaldo.

MANEJO DE PERSONAL
Definicin de hasta 8 Catlogos de Clasificacin para administrar su personal.
Almacena toda la informacin necesaria para el control de Acceso de su personal, as
como la posibilidad de definir informacin adicional segn sus necesidades.
Opcin de Importacin de la tabla de personal.
Definicin de Zonas de Tiempo, permitiendo programar mltiples horarios y das de la
semana en que se puede accesar.
Listado de Das festivos, para que su personal pueda o no registrar en esos das.
Fcil definicin de las reas de Acceso a las que puede acceder el personal, as como la
posibilidad de almacenar Fotografas o Planos de la zona de Acceso.
Implementacin de uso de Antipassback.
Definicin de Visitantes en Lnea, permitiendo registrar sus visitas a la empresa, as como
las reas a donde puede acceder en sus instalaciones.

116

MONITOREO DE LOS ACCESOS EN LNEA
Extraccin de las Transacciones de los Accesos en Lnea o por Bloques, por medio de
comunicacin Serial 232/485, Mdem o Ethernet TCP/IP. Almacenamiento de las transacciones,
permitiendo conocer a detalle (fecha, hora, dispositivo, persona, lugar, entre otros) todos los
movimientos de entrada y salida de su personal que se realicen en los lectores, as como el
seguimiento de la activacin de puertas, alarmas, y otras incidencias que se pudieran presentar en
el control de acceso.
Monitoreo de Alarmas que se presenten en los paneles para su validacin por parte de las
personas encargadas de Seguridad. Consulta de Histrico de Transacciones obtenidas de los
accesos de manera rpida y sencilla, por medio de los reportes disponibles en el sistema.
ADMINISTRACIN DE LOS EQUIPOS
Dentro del software se podr definir de manera sencilla y rpida los diversos paneles y dispositivos
conectados al sistema, como son:

Controlador de Comunicaciones.
Paneles de Control.
Dispositivo de Entrada y Salida.
Lectores de Acceso: Cdigo de Barras, Proximidad y/o Biomtricos.
Diversos Formatos de Credenciales.
Seales de Validacin.
Relevadores de Activacin.
Procedimientos y Eventos.

Una vez que se realizo el anlisis y evaluacin del riesgo as como los requerimientos y
dimensionamiento, se realizo el estudio de las alternativas de solucin donde en el prximo
capitulo se presentara la eleccin y la propuesta as como se definirn sus caractersticas y
polticas con el apoyo de herramientas CASE.

CAPTULO VI
ELECCIN Y PROPUESTA DEL SISTEMA CONTROL DE ACCESO.

117
CAPITULO VI ELECCIN Y PROPUESTA DEL SISTEMA CONTROL DE
ACCESO.

Conociendo la definicin y las bases de un proceso de Benchmark que se vio en el putno 5.2 del
capitulo anterior, procederemos a disear un benchmarking que permita medir y comparar
objetivamente las prestaciones de cada unas de las soluciones incluidas en el estudio.

Para ello debemos identificar las variables que nos permitirn evaluar cada unos de los puntos a
favor o en contra de las posibles soluciones, de esta manera identificaremos el rendimiento
objetivo para la empresa Grupo Senderos. Que es exactamente lo que trata de medir? De que
forma la medida del rendimiento le ayudara despus a tomar una decisin? Cuanto tiempo y
cuantos recursos esta dispuesto a gastar en el proceso de medida?

As mismo hemos aislado las diferentes variables, es decir, las medidas comparativas nos darn la
informacin que necesitamos referente a cada una de las alternativas de solucin a Evaluar.

DESCRIPCIN DEL PROCESO DEL ESTUDIO
Al igual que la media de pequeas empresas no necesita un escner de huella dactilar biomtrico,
una gran empresa con un alto sistema de seguridad puede requerir un sistema de control de
acceso en condiciones de seguridad a nivel de mltiples, con muchas caractersticas de seguridad
integradas. Ahora nos enfocaremos a determinar cual de las soluciones disponibles en el mercado
es la mejor para la empresa Grupo Senderos, en base a las necesidades particulares de la
empresa.

El primer paso para elegir el sistema correcto es examinar honestamente las necesidades en su
empresa de control de acceso de sistema de seguridad. Cuntas puertas deben ser
garantizados? Cuntos empleados necesitan el acceso, la cantidad de empleados y el volumen
de negocios estn presentes? Quiere controlar las salidas, as como las entradas? Qu tipo,
cuanto reportes y con que periodicidad los requiere?, etc.

Estas preguntas nos ayudaran a determinar el alcance necesario para el sistema de control de
acceso requerido por Grupo Senderos. Los detalles de los requerimientos de la empresa y el
dimensionamiento de la solucin, se encuentran en el tema 5.3 del capitulo numero 5. El correcto
anlisis del sistema de control de acceso para la empresa tambin proporcionar un nivel de
seguridad adecuado para las necesidades de la misma, debe ser fcil de utilizar, mantener y
vigilar.
118

LA PRESENTACIN DE LOS HALLAZGOS
A continuacin propondremos una serie de puntos los cuales consideramos son los mas
importantes para evaluar una solucin de control de acceso, esto basado en los requerimiento
planteados para la empresa Grupo Senderos. Se han seleccionado tres conjuntos de herramientas
o soluciones integrales, tratando de abarcar en la ms amplia medida cada uno de los puntos
considerables para determinar las prestaciones de cada una.

TABLA COMPARATIVA DE HARDWARE
DISPOSITIVO
Control
De
Asistencia
Relevador
Para Abrir
Contrachapa
Elctrica
Control
De
Acceso
Registros
Tarjetas
Mifare/ ID
Wi Fi
(inalmbrico)
Comentarios
K200 X X 30,000 ID X
*Control de
Asistencia
de tarjetas
ID (NO
HUELLA).
TAC1000(T4
)
X X 50,000 X X
*Control de
Asistencia.
B1 X X 50,000 X X
*Control de
Asistencia
con
Funciones
adaptables
(ejemplo:
Tiempo
Extra,
Salidas,
etc..)
B3 Opcional X 50,000 X X
*Control de
Asistencia
con opcin
relevador
para abrir
una
contrachapa
elctrica.
T5 Opcional X 50,000 X X
*Control de
Asistencia
con servidor
WEB incluido
(Opcional).
TAC3000(A1
0)
X 50,000 X X
*Control de
Asistencia
con relevador
para abrir
una
contrachapa
elctrica.
119

A7 X X 50,000 X X
*Control de
Asistencia
con opcin
relevador
para abrir
una
contrachapa
elctrica,
servidor
WEB y USB.
A11 X 50,000 Opcional X
*Control de
Asistencia
con opcin
relevador
para abrir
una
contrachapa
elctrica,
servidor
WEB y USB
con sensor U
are U y
opcionalment
e tarjetas
Mifare /ID.
Iclock100 X X 50,000 Opcional X
*Control de
Asistencia
Multimedia
con pantalla
TFT, .

Ahora se presenta una tabla, donde se realiz la comparacin de todas las soluciones estudiadas,
en primera columna se presentan las caractersticas, en segundo lugar se presenta la solucin
numero siete que es la solucin integral para el control de accesos (SAMRT SIA) y en la siguiente
columna se analiza la solucin sistema de control de presencia y control de accesos integrado
(SCA) y en el ultima columna se agrupan todos los dispositivos anteriormente analizados.

Tabla VI.8 Comparacin del Hardware
120

CARACTERSTICAS
SOLUCIN 7
SAMRT SIA

SOLUCIN 6
SCA
DISPOSITIVOS
Software de Control de Accesos y
Alarmas SI SI SI
Soporte tcnico para solucin de
problemas SI SI SI
Fcil instalacin y programacin,
software en espaol SI NO NO
Confeccin, configuracin y
personalizacin SI SI NO
Visualizacin de eventos y
transacciones en tiempo real SI SI SI
Creacin de departamentos en forma de
organigrama. SI SI NO
Reglas de Restriccin. NO NO SI
Aplicacin multiusuario. SI SI SI
Informacin general del empleado. SI SI NO
Despliegue de fotografa de los usuarios SI SI NO
Perfiles de seguridad para el control del
software. SI NO NO
Creacin de turnos rotativos. SI SI NO
Generacin de reporte actual e histrico
por departamento o empleado. SI SI NO
Definicin de calendario de festivos. SI SI NO
Manejo de permisos, ausencias y
novedades autorizadas. SI SI NO
Faltas SI SI NO
Faltas por retardos NO SI NO
Descuento de tiempo en retardos MANUAL SI MANUAL
Tiempo extra SI SI MANUAL
Separar tiempo extra doble y triple NO NO NO
Premio de asistencia SI SI NO
Salidas temprano SI NO NO
Control de Visitantes SI SI NO
Exporta a MS-Excel SI NO NO
Grafica de conceptos: faltas, tiempo
extra, premios, faltas por retardos, etc. SI NO NO
Mdulo opcional de Ronda de Guardia SI SI NO

Tabla VI. 9 Comparacin de soluciones
121

Una vez que se analizaron las diferentes soluciones de acceso para la empresa Grupo Senderos,
la ms adecuada para dicha empresa, es la solucin numero siete: Solucin Integral para el control
de accesos (SAMRT SIA) debido a los beneficios que se encontraron en ella. A continuacin se
hace una descripcin de la solucin seleccionada.

6.1 DESCRIPCIN DE LA SOLUCIN
El sistema integral de accesos SIA nos permitir vigilar y registrar entradas y salidas del personal o
visitantes de GRUPO SENDEROS permitiendo definir las verdaderas reglas de quienes pueden
entrar o salir en los horarios que la empresa defina.

Es un sistema opera bajo el ambiente Windows, compatible con versiones Windows 98, Windows
NT, Windows 2000, Windows XP de fcil operacin y sencillez en la configuracin.

Para el Control de Acceso se emplea tecnologa de punta basada en Paneles de Control, los
cuales son el cerebro de las validaciones de Acceso para las diversas reas; adems de
almacenar las transacciones de manera efectiva para su procesamiento en Lnea o en Lote.

y Salida o de solo Acceso. En caso de pnico se podrn liberar todos los accesos de manera
rpida. Se emplearan Bateras de Respaldo en caso de Corte de Corriente para permitir la
operacin de los equipos por varias horas.

Este sistema manejara los siguientes aspectos:
Control Personal
Permitir llevar el control de la lista de personas que tienen o no el acceso a su empresa, as
como los horarios en que puede o no registrar su acceso.
Catlogos de clasificacin.
Se tendr la disponibilidad de clasificar al personal con necesidades del control de Acceso
implementar, por ejemplo: Departamentos, Puestos, Tipo de Empleado, Tipos de Visitante.
Catlogo de Personal.
Es la base donde se capturara toda la informacin general necesaria del personal.
Manejo de Defaults en captura de personal.
La funcin Defaults se utilizara para asignar un dato comn a un grupo de personas cuando se
adicionan al catlogo de personal, permitiendo definir la misma fecha de ingreso, zona de tiempo,
rea, entre otros.
122

Definicin de Visitantes en Lnea.
Se podr Configurar el manejo de Visitantes. A partir de la ventana de captura en lnea de
Visitantes podr ingresar la informacin general de sus visitas, as como las reas
a las que puede entrar con la credencial especial que le proporcione.

Control de reas y Tiempos
Para el mejor control de Acceso podremos definir las reas a controlar y los horarios en que se
puede o no acceder a las reas definidas.
Definicin de Clasificacin de reas de Control
Permite definir hasta 3 niveles de conceptos de clasificacin de los tipos de reas que desea
controlar para una mejor administracin
Definicin de Zonas de tiempo.
El sistema permite definir zonas de tiempo en los que el personal o los visitantes pueden entrar o
registrar accesos, pudiendo definir hasta 12 intervalos de horarios en cada zona de tiempo
y los das en que se puede acceder. Evitando que el personal no entre en horarios no
permitidos.

Fig. VI.39 Pantalla definicin de visitantes
123

Definicin de Das festivos.
Se podr definir cuales son los das feriados y si el personal puede o no registrar en esos das.
Fcil definicin de las zonas de Acceso
A travs de pantallas de captura o de un visor grafico podr definir las posiciones de sus accesos
en la empresa y de manera sencilla y rpida definir las propiedades del acceso.
Almacenamiento de Fotografas de zona de Acceso.
Permite almacenar una fotografa de la zona de acceso para su fcil consulta por parte del
operador del sistema.
Extraccin de la informacin en Lnea o por Bloques
Las transacciones de los accesos se podr consultar en lnea o hasta que se decida obtener la
informacin de los paneles, por medio de comunicacin serial, Mdem o Ethernet.

6.1.1 CARACTERSTICAS
El Sistema de Control de Acceso, a travs del panel de control almacena toda la informacin
necesaria para la validacin de los puntos de Acceso, entre sus caractersticas principales que
cuenta este sistema son:
Comunicacin Serial RS232/RS422/RS485, opcionalmente Modem o Ethernet-TCP/IP.
Descarga en lnea o en Lotes de la informacin.
Opciones de Memoria Ram segn las necesidades: Compacto: 512kb. Extendido de 1Mb
hasta 8MB.
Fig. VI.40 Pantalla definicin de zona de
tiempos
124

Conexin de hasta 64 Dispositivos de Control por medio de 4 canales RS-485.
Conexin de diversos tipos de lectores: desde teclados sencillos hasta Cdigo de Barras,
Banda Magntica, Proximidad, Biometra de la Mano, Huella Dactilar, Tarjetas Inteligentes,
o incluso combinaciones de stos Manejo de mltiples zonas de tiempo, que pueden
definirse para permitir el acceso a cada una de las reas a controlar y asignarse segn las
necesidades
Manejo de Zonas de tiempo, que pueden definir hasta 12 horarios para permitir el acceso a
las reas.
Cambio de Horario de Verano.
Soporte de ANTIPASSBACK (no permitir que se accese de nuevo a un rea si no se ha
registrado previamente una salida para esa misma persona).
Control y registro de seales para diversos tipos de dispositivos como Sensores de Paso,
Sensores de Apertura de Puertas y Ventanas, Sensores de Movimiento, Botones de
Pnico, entre otros.
Relevadores para activacin de Puertas, Torniquetes, Barreras de Estacionamiento,
Alarmas, Semforos y dems dispositivos de Aviso o Bloqueo.
Soporte a la administracin de patrones biomtricos de Biometra de Mano y Huella
Dactilar, que permiten dar de alta a usuarios en una Terminal y replicar los patrones por
medio de la red hacia otras terminales
Exportacin a otros Sistemas de las transacciones almacenadas.
Completamente Grfico, el sistema opera bajo ambiente Windows, compatible con
versiones Windows 98, Windows NT, Windows 2000, Windows XP.
rbol de Elementos del sistema. El sistema cuenta con una Lista de Elementos para
acceso directo a las funciones ms utilizadas del sistema, lo cual facilita su manejo.
Manejo de Usuarios y Grupos para controlar el Acceso al sistema.
Mdulo disponible para consulta de informacin WEB
Registro de auditoria (bitcora), registro de los cambios y modificaciones realizadas a la
informacin en el sistema.
Mantenimiento de Archivos como: Iniciacin de Archivos, Exportacin de la informacin a
otros tipos de formatos: Texto, Excel, DBase, entre otros.

6.1.2 NIVELES DE ACCESO Y SEGURIDAD
Este mdulo habilita a un usuario con mximos privilegios a registrar y actualizar la Base de Datos
de la solucin. A la vez, permite activar o desactivar los elementos involucrados, a saber: Usuarios,
puntos de acceso, tarjetas. Esta funcionalidad, integra los perfiles a cada uno de los grupos
asociados a los lectores de tarjeta y los privilegios con que contara cada uno.El administrador del
125

sistema puede ahora asignar privilegios a grupos como los de venta o de contabilidad y aadir
usuarios a esos grupos.

6.1.3 TOPOLOGA DE RED
La estructuracin idnea de este servicio es un encaminamiento de red centralizado. Bsicamente,
consiste un serie de dispositivos distribuidos a lo largo de las instalaciones y centralizados en nodo
centra, la cual ser responsable de encaminar, controlar y validar todo el acceso hacia y desde el
exterior o exterior de la empresa.

La ventaja principal es que permite que todos los nodos se comuniquen entre s de manera
conveniente, cada dispositivo es independiente de los dems y solo depende del nodo central de
control y procesamiento. Esto garantiza la disponibilidad y permanencia del sistema aun cuando
alguno de los componentes falle o sea aislado del sistema, por lo cual no se afectara la operacin y
desempeo del resto del sistema de control de acceso.
Fig. VI.41 Diagrama de distribucin y conectividad de Grupo Senderos.
126

Fig VI.42 Reporte en formato PDF.
6.1.4 REPORTES
Facilita la obtencin de toda la informacin relacionada con el control de acceso de cada uno del
los elementos a controlar mediante el uso de la solucin. Dicha informacin ser presentada
ajustada a los parmetros y criterios de seleccin, que el usuario autorizado introduce previo a la
ejecucin de la consulta. Toda consulta puede ser exportada a formatos XLS o PDF.

Utiliza los mismos criterios de consultas y adicionalmente se pueden establecer hasta cuatro
niveles de ordenamiento combinados y un nivel de agrupacin de registros.

El ordenamiento se puede realizar utilizando los siguientes campos:

Departamento
Responsable
Fecha
Hora

Como podemos observar la informacin recibida y contenida en el sistema de control de acceso
podr ser consultada, compartida y utilizada de manera segura, sencilla y practica.

6.2 POLTICAS DE SEGURIDAD Y PROCEDIMIENTOS
Una poltica de seguridad es un conjunto de reglas y definiciones que definen la manera en que
una organizacin maneja, administra, protege y asigna recursos para alcanzar el nivel de seguridad
definido como objetivo. Una poltica de seguridad debe asegurar cuatro aspectos fundamentales en
una solucin de seguridad: autenticacin, control de acceso, integridad y confidencialidad.

127

Las empresas y organizaciones raramente mantienen sus servicios constantes, sino que
continuamente introducen nuevas tecnologas para mejorarlos. Es por esto que tales cuestiones (y
por tanto, la poltica de seguridad) deben ser revisadas peridicamente para adaptarse a las
necesidades de seguridad reales, ya que la introduccin o modificacin de algn recurso puede
generar fallas en la arquitectura de seguridad actual.

Al diagnosticar la situacin actual, se identific la falta de polticas de seguridad de Grupo
Senderos, lo que genera aplicaciones o usos efectuados de manera indebida. Fue evidente
tambin que actualmente no existe tampoco un plan de contingencia para el caso de accidentes
naturales por consiguiente en el presente apartado detallaremos nuestra propuesta de las polticas
de seguridad y procedimientos definidos para Grupo Senderos, la propuesta ha sido
detenidamente planteada, analizada y revisada a fin de alcanzar el mejor aprovechamiento de la
alternativa tecnolgica que sea seleccionada.

Para la empresa Grupo Senderos se realizaron los siguientes Documentos:
Poltica de Seguridad para el personal de Grupo Senderos S.A. de C.V.
Procedimiento de Control de Acceso Fsico
Plan de Contingencia de Eventos Naturales Grupo Senderos S.A. de C.V.

Cabe mencionar que el Procedimiento de Control de Acceso Fsico de acuerdo a la implementacin
de una alternativa de solucin tecnolgica, entrara en una fase de mejora y se adecuar al futuro
panorama de Control de Accesos

A continuacin se dar una breve resea del contenido de las polticas de seguridad y
procedimientos los cuales se podrn consultar en su totalidad en el Anexo de este proyecto.

6.3 APLICACIN DE HERRAMIENTAS CASE
El desarrollo de sistemas de informacin se ve sometido actualmente a grandes exigencias en
cuanto a productividad y calidad, debido a la importancia creciente que adquiere la informacin
como activo principal de las empresas y organismos, que puede suponer su principal ventaja
estratgica. Las Herramientas CASE son la mejor base para el proceso de anlisis y desarrollo de
software, desde el inicio de la escritura de software, ha existido un conocimiento de la necesidad de
herramientas automatizadas para ayudar al diseador del software, ya que han venido a mejorar los
aspectos claves en el desarrollo de los sistemas de informacin.

A su vez vamos a considerar los antecedentes expuestos en el captulo 2 acerca de las ventajas de
128

apoyarse en la metodologa UML para la conceptualizacin y diseo de un sistema aplicando en
conjunto los beneficios y ventajas de las herramientas CASE.

Atendiendo a los objetivos propios de la empresa Grupo Senderos, y analizados los resultados que
se han obtenido en relacin a las diferentes soluciones de Sistemas de Control de Acceso
existentes en el mercado, se ha definido y propuesto una metodologa de modelado grafico
formulada en UML para sistemas desarrollados utilizando el paradigma de orientacin a objetos,
que facilita su diseo y anlisis, as como la evaluacin de su comportamiento mediante tcnicas de
modelado y diagramacin de las entidades.

6.3.1 MODELADO DE DATOS
Puesto que en nuestro trabajo de investigacin involucra el manejo almacenamiento y control de
datos, es necesario definir un modelo de datos que nos permita realizar estas funciones de la mejor
manera. Un modelo es un conjunto de herramientas conceptuales para describir datos, sus
relaciones, su significado y sus restricciones de consistencia. El modelado es la actividad ms
delicada e importante en la realizacin de una aplicacin con base de datos, al igual que en el
desarrollo de un sistema, toda modificacin al esquema de base de datos debe realizarse primero
en el modelo conceptual, no en el lgico ni en el fsico.

Cuando definimos el esquema de la Base de Datos debemos tener muy en cuenta lo anteriormente
mencionado, esto debido a que una buena separacin de los componentes permitir que nos
enfoquemos en cada rea de manera adecuada. Cuando tengamos que dar mantenimiento, iremos
al punto exacto de la aplicacin. Una buena estructura, generar mejores resultados y mayor
rendimiento. En cambio un mal proceso de optimizacin a la Base de Datos, generar que el
sistema sea inestable, poco fiable, con posibilidad de la informacin duplicada, lento para las
transacciones, etc. Ahora bien, en el Modelo de Desarrollo la razn por la cual es necesario
optimizar, es por que el modelo ve que cada aplicacin no est exenta a ser actualizada.
Nosotros esperamos que si utilizamos una herramienta que nos simplifique el proceso de
conceptualizacin y diseo optimizaremos en gran medida la construccin de bases de datos a nivel
fsico y lgico. Para ello nos apoyaremos en el sistema AppModeler de Sybase ya que es sensible y
adecuada al contexto.
Es importante que si utilizamos un sistema de desarrollo de este tipo, pensemos siempre en la
generalizacin de su uso. La lgica de programacin depende del modelado de Datos. Al centralizar
las operaciones de mantenimiento de la informacin en el SGBD, y separar las funciones especiales
que solo puede realizar el lenguaje, estamos independizando la Base de Datos del lenguaje de
Scripts.

129

6.3.2 SYBASE APPMODELER
Es una herramienta para crear bases de datos y aplicaciones cliente/servidor basadas o no en Web.
Permite a los diseadores de aplicaciones complejas de cliente/servidor tener una descripcin
general de los procesos particulares para comprender mejor a la organizacin, as mismo permite el
diseo y ajuste de los componentes de objetos y datos en aplicaciones de uso comn como
PowerBuilder, Power++, Visual Basic y Delphi ajustando el modelo de base de datos.

Junto con la aplicacin de servidor PowerDynamo (incluido) se pueden publicar las bases de datos
en Internet/Intranet directamente del modelo de base de datos, exportar informacin del modelo
fsico y extiende atributos al diccionario de 4GL.

Sybase AppModeler proporciona capacidades de modelado de datos tradicional, incluyendo diseo
de bases de datos, generacin, mantenimiento, ingeniera de reversa y documentacin para
arquitecturas de bases de datos.

Permite que los diseadores de bases de datos creen estructuras de datos flexibles, eficientes y
efectivas para usar una ingeniera de aplicacin de bases de datos. Tambin proporciona un diseo
conceptual de modelo de datos, generacin automtica de modelo de datos, diseo de
normalizacin fsica, sistema de manejo de bases de datos mltiples (DBMS) y soporte de
herramientas de desarrollo, y elementos de reportes con presentacin y calidad.

130

En primera instancia, la solucin presenta a todos los usuarios registrados que poseen una tarjeta
de proximidad agrupados en conjuntos, segn criterios de administracin, dichos grupos tendrn
asignados horarios para los cuales el acceso estar autorizado, los cuales aplican para la restriccin
de acceso a los lugares por perodos de tiempo. Adicionalmente, se cuenta con el conjunto de
lectores de los puntos de control o acceso que conforman la red de lectores y a los que se les
asocia la permisologa por grupos de usuarios.

Control de Acceso cuenta adicionalmente con esquema de seguridad con el cual, se puede acceder
a los diferentes Mdulos, dependiendo de la permisologa que se le haya asignada a cada uno de
los usuarios de la solucin.

La solucin est desarrollada de tal forma que permite su instalacin de manera rpida, originando
la menor cantidad de inconvenientes a las actividades cotidianas de las empresas. La instancia
contiene 9 elementos para la administracin de las tablas de la Base de Datos: Departamentos,
Grupos, Tarjetas, Operadores, Usuarios, Controladores, Puertas, Permisos y Calendarios.

Fig. VI.43 Entorno de trabajo de Sybase Appmodeler.

131

A fin de lograr un mejor balance en el uso de la solucin, el Control de Acceso ha sido diseado y
conformado por tres grandes mdulos:
Consultas y Reportes
Mantenimiento
Administracin

Es importante destacar que la aplicacin lleva un histrico automtico, ya que toda transaccin que
se genere (Entrada / Salida) queda automticamente registrada en la Base de Datos en la tabla de
Eventos (LOG_EVENT).

6.3.3 CASOS DE USO UML
Como ya vimos en el Capitulo II, la metodologa UML es actualmente la base de muchas
herramientas. Por lo tanto el comprender el lenguaje UML resulta de gran importancia para agilizar
los procesos de desarrollo de sistemas de software y a dems crear un soporte de calidad en
cuanto a la documentacin del mismo.

Nosotros nos apoyaremos en los diagramas de Casos de Uso UML para realizar el modelado y
representacin grafica de la interaccin de los usuarios (actores) con el sistema de Control de
Fig. VI.44 Modelo de datos para el control de acceso en Grupo Senderos

132

Acceso. Partiremos a partir de las polticas de seguridad y acceso en conjunto con el diagrama de
flujo del proceso para acceso a las instalaciones de Grupo Senderos.

El diagrama anterior es parte del modelado de los procesos de Grupo Senderos, es una
descripcin corta del proyecto, de tal manera que nos d una idea general del mismo. Es importante
hacer notar su claridad, y facilidad de interpretacin ya que establecen los eventos que pueden ser
generados por el actor y van a ser atendidos por cada Caso de Uso y su informacin es la misma
base de la poltica de seguridad y acceso. Partiremos a partir de las polticas de seguridad y acceso
en conjunto con el diagrama de flujo del proceso para acceso a las instalaciones de Grupo
Senderos.

INSPECCIONA LA
SEGURIDAD Y CONTROLA
EL ACCESO PERIMETRAL
VALIDA ESTADO FSICO
CREDENCIAL LABORAL
ACCESO A LAS
INSTALACIONES
PORTA CREDENCIAL O
GAFETE DE VISITANTE
REGISTRO DE INGRESO DEL
EMPLEADO O VISITANTE
REGISTRO DE SALIDA
Vigilancia
Empleado
Visitante
ACCESO A LAS INSTALACIONES
Fig. VI.45 Caso de uso para el acceso a las instalaciones de Grupo Senderos

133

Diagrama de Flujo para acceso a las instalaciones de Grupo Senderos.

Fig. VI.46 Diagrama de flujo para el acceso a las instalaciones de Grupo
Senderos
134

Diagrama de Flujo para acceso a las instalaciones de Grupo Senderos (Continuacin).

Este formato muestra una descripcin para ayudar a comprender de una manera grafica el proceso
de acceso a las instalaciones de Grupo Senderos, posteriormente este mismo proceso se
desglosara y simplificara diseando los Casos de Uso con los cuales tiene relacin.

Fig. VI.47 Diagrama de flujo continuacin

CAPTULO VII
ANLISIS COSTO BENEFICIO DE LA SOLUCIN

CAPTULO VII ANLISIS COSTO BENEFICIO DE LA SOLUCIN

En el presente captulo se desarrollar el anlisis de costos para la evaluacin del proyecto. Dicho
anlisis se obtuvo bajo el Modelo Constructivo de Costes. Con el uso de la herramienta Costar 7.0
Demo que aplica el modelo COCOMO obteniendo toda la informacin del Anlisis Costo-Beneficio
para este proyecto.

7.1 ESTUDIO DE VIABILIDAD
Cuando hablamos de Estudio de la viabilidad nos referimos a la posibilidad de llevar acabo algo,
estudiar la viabilidad del proyecto. Y cuyo objetivo es: el anlisis de un conjunto concreto de
necesidades para proponer una solucin a corto plazo, que tenga en cuenta restricciones
econmicas, tcnicas, legales y operativas.

Para ello, se identifican los requisitos que se desean satisfacer y se estudia la situacin actual en
la empresa entorno a sistemas y manejo de informacin.

Para la elaboracion de este estudio, se deben de llevar una serie de pasos, los cuales a lo largo de
la realizacion de este proyecto se han ido completando. El primer paso es el Establecimiento del
alcance del Sistema (EVS1), este tema lo desarrollamos dentro del Capitulo 4, aplicando el
diagrama de las elipses. El siguiente paso es el Estudio de la Situacion Actual (EVS2), esta
actividad se realiz dentro del Capitulo 2 de este proyecto, donde se menciona cada uno de los
problemas a los que se esta enfrentando la empresa Grupo Senderos por no contar con un sistema
de Control de acceso. Estudio de las Altenativas de Solucin (EVS3) (EVS4) , es el sigueinte
paso que se debe desarrollar dentro del estudio de viabilidad, el cual se analiz en el capitulo
numero 5, al investigar las alternativas de control de acceso existentes en el mercado; Seleccin
de la solucin (EVS5) , este paso se realizo dentro del capitulo 6, donde se eligio la solucin
adecuado, respecto a las necesidades de la empresa Grupo Senderos. Para tener un
entendimiento mas claro del estudio, realiz un diagrama donde se exponen a detalle los pasos
realizados.

137

Una vez que se tienen los pasos a realizar en el estudio de viabilidad del sistema, presentamos en
la siguiente tabla a los participantes en las actividades del proceso del estudio.

ACTIVIDADES ESTUDIO DE
VIABILIDAD
DEL SISTEMA
EVS
1
EVS 2 EVS 3
EVS 4
EV5

Analistas

X

X

X

X

X
Comit de Direccin
X

X
Directores Usuarios X
Equipo de Soporte
Tcnico
X
Especialistas en
Comunicaciones
X
Jefe de Proyecto X X X X X
Responsable de
Mantenimiento
X
Responsables de
Seguridad
X
Tcnicos de sistemas X
Usuarios expertos X X

Fig VII.48 Estudio de Viabilidad de la solucin
Anlisis
mediante el
Diagrama
de las
elipses
No se cuenta
con sistema
de control de
acceso
Se
estudiaron 7
alternativas
Se valoro
cada una de
las
alternativas
Se selecciono
la solucin de
control de
acceso SIA
EVS1 EVS2 EVS3 EVS4
EVS5
Tabla VII.10 Participantes en el Estudio de Viabilidad de la solucin
138

7.2 ESTUDIO FACTIBILIDAD
A continuacin hablaremos del estudio de factibilidad, y este se refiere a la disponibilidad de los
recursos necesarios para llevar a cabo los objetivos que se plantearon en el Capitulo 1.

El xito de un proyecto est determinado por el grado que se presente en cada una de los tres
aspectos anteriores. Mencionaremos cada uno de los aspectos basicos:

Factibilidad tcnica. Se refiere a los recursos necesarios como herramientas, conocimientos,
habilidades, experiencia, etc., que son necesarios para efectuar las actividades o procesos que
requiere el proyecto.

Entre los aspectos tcnicos que es comn que aparezcan durante la etapa de factibilidad.
Analizaremos las siguientes preguntas, las cuales nos ayudaran a definir el estudio:

PREGUNTA SI NO
Puede realizarse con el equipo actual, la tecnologa
existente de software y el personal disponible?

X

El equipo propuesto tiene la capacidad tcnica para
soportar todos los datos requeridos para usar el nuevo
sistema?

X

El sistema propuesto ofrecer respuestas adecuadas a
las peticiones sin importar el nmero y ubicacin de los
usuarios?

X

Existen garantas de exactitud, confiabilidad, facilidad de
acceso y seguridad de los datos?
X
El sistema puede crecer con facilidad?. X

En las instalaciones de Grupo Senderos, es posible
instalar este sistema de control?

X

El recurso humano cuenta con la habilidad necesaria
para manejar el sistema?

X

Tabla VII.11 Estudio de Factibilidad Tcnica
139

Una vez analizando las respuestas a estas preguntas, se puede concluir que el sistema de control
de acceso para la empresa Grupo Senderos, es factible tecnicamente, ya que cuenta con los
recursos necesarios, asi como las herramientas para poder llevar a cabo la implementacion del
sistema.

Factibilidad Operacional. Cuando hablamos del termino de factibilidad operacional, nos referimos
a todos aquellos recursos donde interviene algn tipo de actividad, depende de los recursos
humanos que participen durante la operacin del proyecto. Cabe mencionar que durante esta
etapa se identifican todas aquellas actividades que son necesarias para lograr el objetivo y se
evala y determina todo lo necesario para llevarla a cabo. A continuacin nos formulamos varias
preguntas que son de gran ayuda para probar la factibilidad operacional de nuestro sistema de
control de acceso:

PREGUNTA SI NO OBSERVACION
Ser utilizado el sistema? X
Existir cierta resistencia al cambio por parte de los
usuarios que d como resultado una disminucin de
los posibles beneficios de la aplicacin?

X

Trabajar el sistema cuando est terminado e
instalado?
X
Existen barreras importantes para la implantacin? X
Existe apoyo suficiente para el proyecto por parte
de la administracin?
X
Por parte de los usuarios? X
Los mtodos que actualmente se emplean en la
empresa son aceptados por los usuarios?
X Pero no son efectivos
Los usuarios han participado en la planeacin y
desarrollo del proyecto?
X
El Sistema propuesto causar perjuicios? X
Producir resultados pobres en algn aspecto o
rea?
X
Se perder el control en alguna rea? X Existira un mejor
control
Se perder la facilidad de acceso a la informacin? X La informacion sera
oportuna
La productividad de los empleados ser menor
despus que antes de la implantacin?
X No existiran retardos
ni horas perdidas.
140

Los clientes se vern afectados en forma poco
favorable?
X
El sistema reducir la productividad de otras
reas?
X
El sistema sera facil de operar? X

Aspectos que al inicio parecen tener poca importancia pueden convertirse en grandes problemas
despus de la implantacin. Por tanto, siempre deben considerarse de manera cuidadosa todos los
aspectos operacionales. Analizando la tabla anterior, se concluye que el sistema de control de
acceso para la empresa Grupo Senderos, es factible dentro de la categoria operacional, debido a
que no existen ningun inconveniente para la operacin de dicho sistema. El sistema es factible,
debido a la facilidad de operacin y a la disposicion de todas las personas involucradas en la
implantacion del mismo y a que se cuenta con los recursos necesarios.

Factibilidad Econmica. Esta factibilidad se refiere a los recursos econmicos y financieros
necesarios para llevar a cabo la implantacion del sistema de control de acceso, para obtener los
recursos bsicos que deben considerarse son:
el costo del tiempo,
el costo de la realizacin y
el costo de adquirir nuevos recursos.

De igual manera, se realizara un analisis de la factabilidad economica, mediante una serie de
preguntas, que nos ayudara a determinar si el sistema de control de acceso para la empresa Grupo
Senderos , es factible.

Los beneficios que se obtienen sern
suficientes para aceptar los costos?
X
Los costos asociados con la decisin
de no crear el sistema son tan grandes
que se debe aceptar el proyecto?.

X

El monto de los costos se recuperara
en un lapso de tiempo corto?
X Para probar estar
afirmacion se
realiza el analisis
Tabla VII. 12 Estudio de Factibilidad Operacional
141

de costo con la
herramienta Costar

Los beneficios financieros deben igualar y no exceder los costos. Las cuestiones econmicas y
financieras formuladas por los analistas durante la investigacin preliminar, tienen el propsito de
estimar lo siguiente:
Tiempo del analista
Costo de estudio
Costo del tiempo del personal
Costo del tiempo
Costo del desarrollo/ adquisicin

Para ser considerada como factible, la propuesta de implantar un sistema de control de acceso
debe pasar por todas las pruebas. De lo contrario, el proyecto no es factible. Considerando la
factibilidad econmica, realizaremos un anlisis de costo beneficio, utilizando la herramienta Costar
7.0 Demo.

El COCOMO es un modelo de estimacin de costos ms utilizado y adaptado a las nuevas
prcticas de desarrollo de software cuyo objetivo es: proveer un marco analtico-cuantitativo y un
ciclo de herramientas y tcnicas que evaluaran el impacto de las mejoras tecnolgicas de software
sobre los costos y tiempos en las diferentes etapas del ciclo de vida.

Esta medida o estimacin servir para: valorar la necesidad y oportunidad de comenzar a utilizar el
sistema de control de acceso para la empresa Grupo Senderos y para estimar adecuadamente los
recursos econmicos necesarios en el plazo de la obtencin del proyecto.

A continuacin se describen las pantallas necesarias para generar el anlisis.

La pantalla Drivers & Size muestra los atributos que capturan el impacto del entorno del proyecto
en el coste de desarrollo. Estos se agrupan en cuatro categoras: atributos del producto, atributos
del ordenador, atributos del personal y atributos del proyecto.

1) Atributos del producto
RELY: Garanta de funcionamiento requerida al software
Tabla VII.13 Estudio de Factibilidad Econmica
142

DATA: Tamao de la base de datos
CPLX: Complejidad del producto

2) Atributos del ordenador
TIME: Restriccin de tiempo de ejecucin
STOR: Restriccin del almacenamiento principal
VIRT: Volatilidad de la mquina virtual
TURN: Tiempo de respuesta del ordenador

3) Atributos del personal
ACAP: Capacidad del analista
AEXP: Experiencia en la aplicacin
PCAP: Capacidad del programador
VEXP: Experiencia en mquina virtual
LEXP: Experiencia en lenguaje de programacin

4) Atributos del proyecto
MODP: prcticas de programacin modernas
TOOL: utilizacin de herramientas software
SCED: plan de desarrollo requerido.

Y cada atributo se cuantifica para un entorno de proyecto.

143

En la siguiente pantalla se realiza la evaluacin de requerimientos y volatilidad para el sistema
(REVL), que describe el porcentaje de cdigo que es desechado porque se dieron cambios en los
requerimientos del sistema, en este caso, se dio un diez por ciento de desecho; este porcentaje se
muestra en la siguiente figura:

Fig VII.49 Pantalla COCOMO
144

La siguiente pantalla de Reuse permite valuar todos los cambios que puedan ocurrir durante el
desarrollo del proyecto, tomando en cuanto al Diseo, Cdigo, Integracin y Planeacin del mismo.
Para cada aspecto se determina el porcentaje de ocurrencia.

Fig VII.50 Pantalla REVL
145

La pantalla Function Points est basada en la premisa de que el tamao del proyecto de software
puede ser estimado antes, durante los requerimientos de anlisis, basndose en el nmero y tipos
de entradas y salidas del sistema.

Fig VII.51 Pantalla REUSE
146

La pantalla Costs describe los costos por cada trabajador dentro de las actividades de
Requerimientos, Diseo del Producto, Detalle del Diseo, Cdigo y Unidades de testeo, integracin
y Pruebas y Mantenimiento.

Fig VII.52 Pantalla FUNTION POINTS
147

Finalmente podemos decir que la herramienta Costar se utilizo con el fin de obtener estimaciones
de la duracin de los trabajos, el tamao y la organizacin del equipo, los esfuerzos y costes.

En la pantalla que se presenta a continuacin es un informe de actividad, y dicho informe presenta
el esfuerzo de las personas considerando sus actividades y las fases del ciclo de vida del sistema.

Fig VII.53 Pantalla COSTS
148

Ahora en la pantalla siguiente se presenta un informe a detalle donde se presenta una lista de
esfuerzo as como el coste y la duracin de la implementacin del sistema.

Fig VII.54 Pantalla Reporte de Actividades
Fig VII.55 Pantalla Detalle de Reporte
149

Ahora en la siguiente pantalla se muestran todos los archivos de los datos relativos a una
estimacin y cada uno de sus componentes. Al igual que se describe la estimacin de las
ecuaciones utilizadas para la estimacin actual. Las ecuaciones dependen de la configuracin de la
escala de factores.
EAF Factor de Ajuste del esfuerzo.
Nominal PM Nominal Persona-Mes.
Actual PM Estimado Persona-Mes (EAF * Nominal PM).
Cost (K$) Gasto desarrollo.
Lines/PM Productividad.
$/Line Costo por lnea de cdigo.

Fig VII.56 Pantalla Reporte
150

Con estos valores el resultado del coeficiente de ajuste para el esfuerzo nominal (EAF) es de
EAF = 0.5997

Por lo que el esfuerzo por Persona-Mes ajustado es de: PMajustado = PM nominal x EAF

PMajustado = 3.0 x 0.5997 = 1.7 meses/hombre.

El producto Costar utiliza el valor de 152hs por mes/hombre por lo que el total de horas hombre
seria: Total Horas/hombre = 42.

Los valores asignados a cada variable del modelo COCOMO II, representado por COSTAR,
realizaron los clculos necesarios para observar el comportamiento del esfuerzo, tiempo y costo
del anlisis y diseo del proyecto. Con esta informacin presentada anteriormente y los valores de
las ltimas imgenes (costo de cada componente y el sueldo del personal participante), se llega a
la conclusin que el costo por la implementacin y mantenimiento, ya que el tiempo para dicha
implementacin hace que los costos del esfuerzo para los participantes sean bajos; esto se
muestra en la siguiente tabla:
PARTICIPANTE COSTO LABOR
1 $14,000.00 Lder del proyecto
2 $13,800.00 Supervisor
3 $12,000.00 Analista
4 $10,000.00 Programador
5 $9,000.00 Pruebas
ESTIMACIN
AL MES
$58,800.00

Finalmente, podemos interpretar que, el costo en conjunto de la Solucin con la implantacin y el
mantenimiento resulta una cantidad considerable baja, con respecto a los gastos que se han
generado debido a los problemas que ocasionaba no contar con un control de acceso, y se
recuperara la inversin en un lapso de 3 meses.

Tabla VI. 14 Estimacin de cada participante frente al proyecto
151

CONCLUSIONES
Actualmente el control de accesos a nivel empresarial tiene muchos desafos, evaluar y controlar
permanentemente la seguridad fsica del edificio es la base para comenzar a integrar la seguridad
como una funcin primordial dentro de cualquier organismo.
Es por eso que este proyecto va encaminado a promover la importancia de contar con una
herramienta para optimizar el control de acceso de la empresa Grupo Senderos. Teniendo en
mente los factores para cubrir dichas caractersticas, este trabajo se ha enfocado a analizar
distintas alternativas de control de acceso en el mercado; y as tomar decisiones sobre la base de
la informacin brindada por los medios de control adecuados.
Como se puede ver existen varios y diversos mtodos para implementar un sistema de control de
acceso seguro, pero ninguno por s slo puede brindarnos la suficiente seguridad, sino que es la
combinacin de todos estos elementos junto con una acertada planeacin de polticas de
seguridad, unos requerimientos especficos y las caractersticas propias de la empresa, son los que
podran ayudarnos a definir una eficiente estrategia de seguridad sin que todo esto interrumpa o
entorpezca las actividades del personal que son para los que finalmente esta alternativa de
solucin va dirigida.
Una vez que se implemente esta solucin propuesta para la empresa Grupo Senderos, se habr
comprobado la hiptesis mencionada en el capitulo nmero uno, donde se expone que la empresa
mejorara el control de los tiempos, accesos y seguridad de la organizacin, as como la
identificacin del personal tanto interno como externo dentro de las instalaciones a travs de un
sistema de gestin, automatizacin y control de acceso. Se puede afirmar todo esto, debido a que
la solucin cuenta con estos beneficios, adems que el personal podr trabajar mejor manteniendo
la sensacin de seguridad, se mantendr la un ambiente seguro en el aspecto fsico y lgico.
Con base en el anlisis realizado de costo- beneficio se ha determinado una alta viabilidad y
factibilidad para la implementacin de la propuesta de control de acceso: el sistema integral de
accesos SIA con base en la norma ISO 27001. Tambin cabe mencionar que al observar los
gastos generados comparados con los grandes beneficios que esta solucin tiene, la factibilidad se
vuelve real al contemplar la recuperacin de los recursos invertidos por las ventajas evidentes
una vez que el sistema haya sido puesto en marcha.
Finalmente el equipo de trabajo, concluye que gracias a la elaboracin de este proyecto se
obtuvieron importantes conocimientos y experiencias para el desarrollo profesional, y una grande
satisfaccin, al observar que gracias a nuestra propuesta de control de acceso y a la serie de
documentos que se elaboraron, la empresa Grupo Senderos ser beneficiada en aspectos antes
mencionados.
152

BIBLIOGRAFA

Libros:
Pressman S Roger, Ingeniera de Software un enfoque practico, 5ta Edicin, Editorial MC
GRAW-HILL, Madrid, 2002.
MC Clure Carma, CASE la automatizacin del software, 1era Edicin, Editorial Addison
Wesley Ibero Americana, EUA, 2001.
Sommerville Ian, Ingeniera del software, 5ta Edicin, Editorial MC GRAW-HILL, Madrid,
2005
Boch, Grady; Rumbaugh, James; Jacobson, Ivar, El lenguaje unificado de modelado,
Segunda Edicin, Editorial Person Education, Madrid, 2006.
William S. Davis, Herramientas CASE: metodologa estructurada para el desarrollo de los
sistemas.

Referencias de Internet:

Villaln Huerta Antonio, El Sistema de Gestin de la Seguridad de la Informacin: Calidad
de la seguridad
http://www.criptored.upm.es/guiateoria/gt_m209e.htm

Seguridad de la Informacin
http://www.nexusasesores.com/docs/ISO%2027001-panorama-seguridad-informacion.pdf

ISO 27001 Los Controles
http://www.trucoswindows.net/conteni7id-42-ISO-27001-Los-Controles.html

Garca Joaqun, Diagramas UML
http://www.ingenierosoftware.com/analisisydiseno/uml.php

Lenguaje Unificado de Modelado
http://es.wikipedia.org/wiki/Lenguaje_Unificado_de_Modelado

Normatividad
http://www.iso27000.es/doc_sgsi_all.htm

Seguridad
http://www.fundaciondedalo.org/archivos/SemanaSeguridad2007/gestiondelaseguridad.pdf

153

GLOSARIO

A

ARP: Term ino referiso al control de ataques

ASCII: Estndar para el Intercambio de Informacin, es un cdigo de caracteres basado en el
alfabeto latino tal como se usa en ingls moderno y en otras lenguas occidentales. Fue creado en
1963 por el Comit Estadounidense de Estndares como una refundicin o evolucin de los
conjuntos de cdigos utilizados entonces en telegrafa. Ms tarde, en 1967, se incluyeron las
minsculas, y se redefinieron algunos cdigos de control para formar el cdigo conocido como US-
ASCII.

B

BACKUPS: Las copias de seguridad son un proceso que se utiliza para salvar toda la informacin,
es decir, un usuario, quiere guardar toda la informacin, o parte de la informacin, de la que
dispone en el PC hasta este momento, realizar una copia de seguridad de tal manera, que lo
almacenar en una cinta, DVD, BluRay, en Internet o simplemente en otro Disco Duro, para
posteriormente si pierde la informacin, poder restaurar el sistema.

C

CCTV: Circuito cerrado de televisin, viene del ingls: Closed Circuit Television, es una tecnologa
de vdeo vigilancia visual diseada para supervisar una diversidad de ambientes y actividades.

COCOMO: El Modelo Constructivo de Costes (o COCOMO, por su acrnimo del ingls
Constructive Cost Model) es un modelo de estimacin de costos de software que incluye tres
submodelos, donde cada uno ofrece un nivel de detalle y aproximacin cada vez mayor, a medida
que avanza el proceso de desarrollo del software: bsico, intermedio y detallado.

154

CRIPTOGRAFA: La criptografa es el arte o ciencia de cifrar y descifrar informacin utilizando
tcnicas que hagan posible el intercambio de mensajes de manera segura que slo puedan ser
ledos por las personas a quienes van dirigidos.

E

ETHERNET: Es un estndar de redes de computadoras de rea local con acceso al medio por
contienda CSMA/CD. Define las caractersticas de cableado y sealizacin de nivel fsico y los
formatos de tramas de datos del nivel de enlace de datos del modelo OSI.

F

FIREWALL : Es un elemento de hardware o software utilizado en una red de computadoras para
controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya
definido la organizacin responsable de la red.

FRANQUICIA: Es un tipo de contrato utilizado en comercio por el que una parte llamada
franquiciante cede a otra llamada franquiciado la licencia de una marca as como mtodos de hacer
negocios a cambio de una tarifa peridica.

G

GATEWAY: Puerta de enlace. Es un dispositivo que permite interconectar redes con protocolos y
arquitecturas diferentes a todos los niveles de comunicacin. Su propsito es traducir la
informacin del protocolo utilizado en una red al protocolo usado en la red de destino.

GPRS: General Packet Radio Service o servicio general de paquetes va radio. Es una extensin
del Sistema Global para Comunicaciones Mviles para la transmisin de datos no conmutada o por
paquetes.

155

H

HARDWARE: Corresponde a todas las partes fsicas y tangibles de un computador, sus
componentes elctricos, electrnicos, electromecnicos y mecnicos; contrariamente al soporte
lgico intangible que es llamado software.

HERRAMIENTAS CASE: Ingeniera de Software Asistida por Ordenador son diversas
aplicaciones informticas destinadas a aumentar la productividad en el desarrollo de software
reduciendo el coste de las mismas en trminos de tiempo y de dinero.

HTML: Lenguaje de Marcas de Hipertexto. Es el lenguaje de marcado predominante para la
construccin de pginas web. Es usado para describir la estructura y el contenido en forma de
texto, as como para complementar el texto con objetos tales como imgenes. HTML se escribe en
forma de "etiquetas", rodeadas por corchetes angulares (<,>).

I

ICMP: El Protocolo de Mensajes de Control de Internet .Es el subprotocolo de control y notificacin
de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando
por ejemplo que un servicio determinado no est disponible o que un router o host no puede ser
localizado.

IDS: Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection
System) es un programa usado para detectar accesos desautorizados a un computador o a una
red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan
herramientas automticas.

IP: Una direccin IP es un nmero que identifica de manera lgica y jerrquica a una interfaz de un
dispositivo dentro de una red que utilice el protocolo IP que corresponde al nivel de red o nivel 3
del modelo de referencia OSI. Dicho nmero no se ha de confundir con la direccin MAC que es un
nmero hexadecimal fijo que es asignado a la tarjeta o dispositivo de red por el fabricante, mientras
que la direccin IP se puede cambiar.

IPS: Un Sistema de Prevencin de Intrusos (IPS) es un dispositivo que ejerce el control de acceso
en una red informtica para proteger a los sistemas computacionales de ataques y abusos. La
156

tecnologa de Prevencin de Intrusos es considerada por algunos como una extensin de los
Sistemas de Deteccin de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms
cercano a las tecnologas cortafuegos.

ISO: La Organizacin Internacional para la Estandarizacin. Es el organismo encargado de
promover el desarrollo de normas internacionales de fabricacin, comercio y comunicacin para
todas las ramas industriales a excepcin de la elctrica y la electrnica. Su funcin principal es la
de buscar la estandarizacin de normas de productos y seguridad para las empresas u
organizaciones a nivel internacional.

K

KNOW-HOW: Es una forma de transferencia de tecnologa. Aunque se traduce literalmente por
"saber-cmo", mejor dicho sera "Saber hacer". El trmino est relacionado a los conocimientos
prcticos, tcnicas o criterios que han sido utilizados en la elaboracin o diseo de un proyecto y
que se pueden reutilizar al momento de realizar otros proyectos similares o de afinidad al mismo.

L

LOGS: Es un registro oficial de eventos durante un periodo de tiempo en particular. Es usado para
registrar datos o informacin sobre quin, qu, cundo, dnde y por un evento ocurre para un
dispositivo en particular o aplicacin.

M

MAC: Direccin de control de acceso al medio. Es un identificador de 48 bits (6 bytes) que
corresponde de forma nica a una tarjeta o interfaz de red. Es individual, cada dispositivo tiene su
propia direccin MAC determinada y configurada por el IEEE (los ltimos 24 bits) y el fabricante
(los primeros 24 bits) utilizando el OUI.

MECATRNICA: Surge de la combinacin sinrgica de distintas ramas de la ingeniera, entre las
que destacan: la mecnica de precisin, la electrnica, la informtica y los sistemas de control. Su
157

principal propsito es el anlisis y diseo de productos y de procesos de manufactura
automatizados.

MODEM: Es un dispositivo que sirve para modular y desmodular (en amplitud, frecuencia, fase u
otro sistema) una seal llamada portadora mediante otra seal de entrada llamada moduladora.

MONOUSUARIO: Es un sistema operativo que slo puede ser ocupado por un nico usuario en un
determinado tiempo. Ejemplo de sistemas monousuario son las versiones domsticas de Windows.
Administra recursos de memoria procesos y dispositivos de las PC'S

O

ORIENTACIN A OBJETOS: Es un paradigma de programacin que usa objetos y sus
interacciones para disear aplicaciones y programas de computadora. Est basado en varias
tcnicas, incluyendo herencia, modularidad, polimorfismo y encapsulamiento. Actualmente son
muchos los lenguajes de programacin que soportan la orientacin a objetos.

P

PDCA: El ciclo PDCA, tambin conocido como "Crculo de Deming". Es una estrategia de mejora
continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart.
Tambin se denomina espiral de mejora continua. Es muy utilizado por los SGSI.

PDF: Formato Porttil de Documento. Es un formato de almacenamiento de documentos,
desarrollado por la empresa Adobe. Este formato es de tipo compuesto (imagen vectorial, mapa de
bits y texto). Est especialmente ideado para documentos susceptibles de ser impresos, ya que
especifica toda la informacin necesaria para la presentacin final del documento, determinando
todos los detalles de cmo va a quedar. Cada vez se utiliza ms tambin como especificacin de
visualizacin.

PUERTO COM: Un puerto de serie es una interfaz de comunicaciones de datos digitales,
frecuentemente utilizado por computadoras y perifricos, en donde la informacin es transmitida bit
a bit enviando un solo bit a la vez, en contraste con el puerto paralelo que enva varios bits
simultneamente. La comparacin entre la transmisin en serie y en paralelo se puede explicar con
158

analoga con la carreteras. Una carretera tradicional de un slo carril por sentido sera como la
transmisin en serie y una autova con varios carriles por sentido sera la transmisin en paralelo,
siendo los coches los bits.

R

RELE: Es un dispositivo electromecnico, que funciona como un interruptor controlado por un
circuito elctrico en el que, por medio de un electroimn, se acciona un juego de uno o varios
contactos que permiten abrir o cerrar otros circuitos elctricos independientes. Es capaz de
controlar un circuito de salida de mayor potencia que el de entrada, puede considerarse, en un
amplio sentido, una forma de amplificador elctrico.

S

SENSOR: Es un dispositivo capaz de transformar magnitudes fsicas o qumicas, llamadas
variables de instrumentacin, en magnitudes elctricas. Una magnitud elctrica obtenida puede
ser una resistencia elctrica (como en una RTD), una capacidad elctrica (como en un sensor de
humedad), una tensin elctrica, una corriente elctrica , etc.

SOFTWARE: Se refiere al equipamiento lgico o soporte lgico de un computador digital,
comprende el conjunto de los componentes lgicos necesarios para hacer posible la realizacin de
una tarea especfica, en contraposicin a los componentes fsicos del sistema (hardware).

SUBARRENDAMIENTO: Es una figura jurdica por la que un arrendatario (inquilino) alquila la
vivienda que l tiene arrendada, o parte de esa vivienda, a un tercero. El arrendatario se convierte
as en subarrendador o arrendador del nuevo inquilino.

T

TCP: Protocolo de Control de Transmisin .Es uno de los protocolos fundamentales en Internet.
Fue creado entre los aos 1973 - 1974 por Vint Cerf y Robert Kahn.

U
159

UDP: Es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el
envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya
que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.

UML: Lenguaje Unificado de Modelado. Es el lenguaje de modelado de sistemas de software ms
conocido y utilizado en la actualidad; est respaldado por el OMG (Object Management Group). Es
un lenguaje grfico para visualizar, especificar, construir y documentar un sistema de software.
UML ofrece un estndar para describir un "plano" del sistema (modelo), incluyendo aspectos
conceptuales tales como procesos de negocio y funciones del sistema, y aspectos concretos como
expresiones de lenguajes de programacin, esquemas de bases de datos y componentes de
software reutilizables.

UMTS: Sistema Universal de Telecomunicaciones mviles. Euna de las tecnologas usadas por los
mviles de tercera generacin (3G, tambin llamado W-CDMA), sucesora de GSM.

USB: Bus universal en serie o Conductor Universal en Serie, es un puerto que sirve para conectar
perifricos a una computadora.

UTP: Par trenzado no apantallado. Es un tipo de cableado utilizado principalmente para
comunicaciones. Se encuentra normalizado de acuerdo a la norma Americana TIA/EIA-568-B y a la
internacional ISO-11801.

W

WAN: Una Red de rea Amplia. Es un tipo de red de computadoras capaz de cubrir distancias
desde unos 100 hasta unos 1000 km, dando el servicio a un pas o un continente.

WiFi: Es un sistema de envo de datos sobre redes computacionales que utiliza ondas de radio en
lugar de cables.

ANEXOS

160

GS-PCv01

Plan de Contingencia de
Eventos Naturales Grupo
Senderos S.A. de C.V.

No est permitida la reproduccin total o parcial, ni su tratamiento o transmisin por cualquier
mtodo o medio electrnico sin autorizacin escrita de Grupo Senderos S.A. de C.V.

161

NOMBRE DEL
DOCUMENTO:
Plan de Contingencia de Eventos Naturales Grupo Senderos
S.A. de C.V
OBJETIVO DEL
DOCUMENTO:
Establecer un plan de contingencia con el fin de proteger personal,
equipo y propiedad en caso de incendios, terremotos y alarmas de
explosivos

CLAVE: GSPR01-CA VERSIN: 1.0 FECHA:
05-11-08
RESPONSABLE DE
ELABORAR:
Juan Carlos Matadamas Vzquez

COMIT DE APROBACIONES
Direccin General
Claretta Martnez
Ayala
Gerente de Mtodos y
Procedimientos
Juan Carlos Matadamas
Vzquez
Gerente de Planeacin
Estratgica
Alejandro Jara
Guerrero
<Incluir firma
electrnica>
<Incluir firma electrnica>
<Incluir firma
electrnica>

162

CONTENIDO

Propsito............................................................................................................ 163
Lineamientos Generales ................................................................................... 163
Call Tree............................................................................................................. 164
Responsabilidad de la Persona Encargada de Dirigir las Operaciones de
Desalojo ............................................................................................................. 164
Plan para desalojar el Edificio.......................................................................... 165
Obligaciones del personal Responsable del Plan de Contingencia en el
edificio................................................................................................................ 166
Responsabilidad del Jefe de Piso o rea........................................................ 167
Brigada de Emergencia .................................................................................... 167
Responsabilidades y Obligaciones del Coordinador de Proteccin Civil.... 168
Referencias. ....................................................................................................... 169
Control de Cambios .......................................................................................... 169

163

Propsito
Para establecer un plan con el fin de proteger personal, equipo y propiedad en caso de incendios,
terremotos y alarmas de explosivos
Preparar un plan de desalojo, de manera que todo el personal sepa con anticipacin el lugar de
seguridad al cual se mover en caso de ocurrir un desastre en los casos de arriba indicados.

Lineamientos Generales

a. Las puertas con libre acceso a las escaleras se rotularn con la frase EXIT o
SALIDA.
b. En los pasillos se colocarn flechas indicativas de la direccin que debe seguirse.
c. Los pasillos y vestbulos estarn libres de obstrucciones en todo momento y no se
utilizarn.
d. Las puertas de salida EXIT o SALIDA se mantendrn libres de obstculos y
accesibles mientras haya personal trabajando en las oficinas.
e. Se colocarn rtulos con la frase PROHIBIDO FUMAR en reas susceptibles a
incendios, tales como almacn.
f. Los extintores de fuego se mantendrn en buenas condiciones de uso y
localizados en sitios visibles y accesibles.
g. De surgir un fuego se avisar inmediatamente al Servicio de Bomberos y se
desalojar el edificio de acuerdo con los planes establecidos.
h. Se instalara en el edificio un sistema de alarma que alertar al personal del
edificio en los casos de emergencias. Al presente se comunicar personal y
telefnicamente a cada rea de trabajo sobre cada emergencia que ocurra en el
edificio.

164

Call Tree

Responsabilidad de la Persona Encargada de Dirigir las Operaciones de
Desalojo

A. El comit de Proteccin Civil ser el encargado de dirigir las operaciones de desalojo en caso
de emergencia. Sus funciones son las siguientes:

1. Realizar inspecciones peridicas (fsica) para determinar posibles
riesgos de incendios y tomar las medidas necesarias para eliminarlas.
2. Ejecutar las recomendaciones de la Divisin de Prevencin de Incendios
del Servicio de Bomberos o Cualquier otra Agencia de Gobierno en
relacin con esta clase de emergencia.
3. Asegurar que el plan de desalojo est al da y que es efectivo en estos
casos de emergencia.
4. Asegurar que el Servicio de Bomberos y la Polica son notificados
inmediatamente en caso de emergencia
5. Dirigir las operaciones de desalojo de los empleados.
6. Designar brigadas compuestas por personal de cada uno de los pisos,
quienes trabajarn en las operaciones iniciales en casos de incendio,
terremotos o alarma de explosivos.

165

7. Velar por que todas las medidas de prevencin de incendios sean
seguidas por el personal.
8. Velar por que se cuente con el equipo necesario a utilizarse en caso de
incendio, tales como: extintores, linternas de mano, hachas, etc., y que
el mismo siempre se encuentre en buenas condiciones de uso.

B. Unidades de Extincin de Incendios

1. A los fines de tomar una accin inmediata de un fuego que se origine,
se crea una Unidad de Extincin de Incendios, la cual se compondr de
miembros de piso, quienes sern designados por el Director o
Coordinador del rea.
2. Estas personas estarn compenetradas con el manejo de extintores de
incendios y del sistema de mangueras.

C. Unidades de Desalojo por piso

1. En cada uno de los pisos se designar empleados, mas sustitutos,para
realizar la labor de desalojo de los empleados por las puertas de escape
(EXIT) del edificio
2. Este personal deber recibir el adiestramiento adecuado para poder
realizar dicha labor en la forma ms satisfactoria posible.

Plan para desalojar el Edificio

A. Propsito
1. Familiarizar al personal con los medios de salida del edificio y como usarlos de la
manera ms eficiente y segura posible. La rapidez en caso del desalojo del edificio,
aun cuando se hace muy deseable, debe considerarse como factor de segunda
importancia: ORDEN Y CONTROL son los factores a observarse debidamente, a los
fines no solamente de evitar accidentes, sino evitar caer en un estado de pnico y
como y como consecuencia perdida de vidas.
B. Procedimiento

166

1. Al notificar de un fuego al personal de las oficinas permanecern en las mismas hasta
tanto reciba orden de sus supervisores de abandonar el edificio.
2. El personal designado en cada piso, para ayudar en la labor de desalojo, deber situarse
en las puertas de escape (EXIT) del piso para dirigir la salida de los empleados, en caso
de que se d la orden de desalojar el edificio. Estas estarn debidamente identificados.
3. El personal bajo la direccin de los Coordinadores y con la ayuda de sus respectivos
supervisores iniciaran el desalojo de sus oficinas y departamentos en forma ordenada y
haciendo uso de las puertas de escape (EXIT) ms prximas a sus oficinas. Los
empleados debern obedecer y cumplir con las instrucciones que recibirn del personal
a cargo del desalojo, apostados en las puertas de escape (EXIT).
4. Bajo ninguna circunstancia se har uso de los ascensores.
5. Al bajar las escaleras, debern hacerlo en forma ordenada y cuidadosa y harn uso de
los pasamanos para evitar cadas. No se permitir el movimiento de personas en
direccin contraria.
6. Una vez fuera del edificio el personal se situar en la parte del estacionamiento, a una
distancia mayor de 35 m alejados del edificio y se esperar instrucciones de la Gerencia.

Obligaciones del personal Responsable del Plan de Contingencia en el
edificio

A. Sern responsables de mantener rotuladas y libres de obstculos todas las entradas y
salidas del edificio.
B. Coordinarn y conducirn ejercicios o prcticas de desalojo por lo menos 2 veces al ao.
C. As mismo, velarn por que los extintores de incendio instalados en sus respectivos locales
sean inspeccionados y se mantengan en condiciones de uso, y se gestionarn la peticin de
compra de extintores por las reas que requieran la instalacin de stos y /o cambios de los
mismos.
D. Prepararn los planes de seguridad de sus respectivos edificios y los sometern al
Coordinador, segn sea el caso, incluir en el mismo los nombres de los participantes en el
Plan y sus funciones.

167

Responsabilidad del Jefe de Piso o rea

A. Entrar en funciones inmediatamente que se le notifique la existencia de un fuego o un
posible estado de emergencia que necesite su intervencin.
B. Antes de ordenar el desalojo del edificio, realizar una bsqueda y har una evaluacin de
las condiciones existentes que motivaron su activacin, segn se sugiere a continuacin.

1. Evaluar la situacin conjuntamente con el Director con el Coordinador de
Proteccin Civil o personal incumbente y/o jefe de bomberos.
2. Notificar su decisin a sus superiores.
3. Conducir a sus empleados a un rea segura del edificio, bien sea por las escaleras
o por rutas de escape previamente establecidas y evitar que utilicen los elevadores
por sus seguridad y la de su personal.
4. Una vez terminado el estado de emergencia, preparar y enviar un informe
completo, con copia al Director General.

Brigada de Emergencia

A. Inspectores
1. Sus deberes y responsabilidades sern los siguientes:

a) Cuando se anuncie el desalojo, realizarn un registro o bsqueda
de empleados en oficinas, servicios sanitarios y reas aisladas
para informarles sobre el mismo.
b) Prestarn primeros auxilios al personal que se accidente o sufra
alguna crisis nerviosa.
c) Luego de asegurarse de que todos los empleados y ocupantes
han abandonado el rea, lo informarn al Jefe de rea.

B. Personal de Seguridad

1. Sus deberes y responsabilidades sern las siguientes:

168

a) Mantener las puertas abiertas durante la operacin de desalojo
para facilitar el libre movimiento del personal en los pasillos hacia
las escaleras.
b) Mantener el orden y la disciplina del personal durante la operacin
de desalojo.
c) Orientar al personal sobre la ruta a seguir en caso de desalojo del
edificio.
d) Evite, hasta donde sea posible, que el personal utilice los
elevadores.

C. Brigadas Contra Incendios

a) Se encargarn del manejo de las mangueras de agua para tratar
de extinguir el inicio de fuego no elctrico, mientras los bomberos
activan su equipo.
b) Velarn por la prevencin de incendios
c) Manejarn los extintores de incendio durante una emergencia.
d) Rendirn un informe de la accin tomada bajo la emergencia al
Jefe de rea copia de este le ser remitida al Coordinador de
Proteccin Civil.

Responsabilidades y Obligaciones del Coordinador de Proteccin Civil

A. Deber tener conocimiento completo de todas las partes del edificio y del
equipo instalado en el mismo.
B. Sus obligaciones sern:

1. Conservara en buen estado el equipo de mangueras de agua
contra incendios.
2. Dar mantenimiento a las luces de emergencia de las
escaleras.
3. Mantendr libres de obstculos los pasillos y las escaleras.
4. Tomar control del sistema elctrico y plomera bajo cualquier
emergencia y activar su personal para tomar la accin
pertinente.
5. Activar el sistema de alarma, segn se defina la emergencia.

169

6. Controlar la entrada y salida de vehculos en el
estacionamiento.
7. Habilitar espacio en el estacionamiento para los vehculos de
emergencia.
8. Controlar la entrada y salida de personas y/o visitantes.
9. Atender con prontitud cualquier llamada de emergencia que
reciba.
10. Velar y asegurar que estn en funcin las siguientes
facilidades:
a. Sistema de refrigeracin del edificio
b. Elevadores
c. Planta de emergencia
d. Alarma de Incendio
e. Bombeo de agua potable
f. Acceso a las puertas principales

Referencias.

Referencia Descripcin
[ ISO 27001 ]
Cdigo internacional que describe buenas prcticas
para la administracin de un Sistema de Gestin de
Seguridad Informtica.

Control de Cambios

Fecha Autor Versin Resumen del Cambio
05 Nov 2008 1.0 Creacin del documento

170

GSPR01- CA

Procedimiento
de Control de Acceso Fsico


171

NOMBRE DEL
DOCUMENTO:
Procedimiento de Control de Acceso Fsico
OBJETIVO DEL
DOCUMENTO:
Administrar y controlar el acceso de visitantes o funcionarios
a las instalaciones de la empresa as como a alas reas de
cmputo restringidas de Grupo Senderos S.A. de C.V.

CLAVE: GSPR01-CA VERSIN: 1.0 FECHA: 05-11-08
RESPONSABLE DE
ELABORAR:
Juan Carlos Matadamas Vzquez

Direccin General
Claretta Martnez
Ayala
Gerente de Mtodos y
Procedimientos
Vzquez
Estratgica
Alejandro Jara Guerrero
<Incluir firma
electrnica>
<Incluir firma electrnica> <Incluir firma electrnica>

172

CONTENIDO

Objetivo.............................................................................................................. 173
Alcance .............................................................................................................. 173
Usuarios ............................................................................................................. 173
Definiciones ....................................................................................................... 174
Descripcin de Roles y Responsabilidades ................................................... 174
Procedimiento: .................................................................................................. 175
Diagrama de Flujo ............................................................................................. 178
Control de Cambios179

173
Objetivo

Administrar y controlar el acceso de visitantes o Personal de la empresa a las instalaciones de
cmputo restringidas de la empresa Grupo Senderos S.A. de C.V.

Alcance

Las acciones a describir se ejecutan en los siguientes ambientes:
Instalaciones de la empresa
Centros de cmputo de la Entidad
Sitios donde se encuentren servidores crticos.

Y el procedimiento aplica para todos los visitantes o funcionarios no autorizados que requieran
ingresar a las instalaciones o reas de cmputo restringidas.

Usuarios
Los usuarios a los que va dirigido este procedimiento es propiedad de Grupo Senderos y deber
ser difundido, a todo personal que labore en la empresa.

As mismo los usuarios responsables de las actividades del procedimiento son:

rea Cargo

Mtodos y Procedimientos Coordinador de rea

La actualizacin del procedimiento es responsabilidad del comit de aprobaciones. El
almacenamiento del formato, una vez que ha sido completado esta a cargo del rea de Mtodos y
Procedimientos.

174

Definiciones

Instalaciones de la empresa: Instalaciones donde estn ubicados fsicamente la empresa Grupo
Senderos S.A. de C.V., el personal y sus activos.

Instalaciones de cmputo restringidas: Instalaciones donde estn ubicados fsicamente los
servidores y dems elementos crticos en el almacenamiento y procesamiento de informacin de la
empresa Grupo Senderos S.A. de C.V.

Visitante: Contratista o empleado de la de la empresa Grupo Senderos S.A. de C.V. que requiere
autorizacin para ingresar a las instalaciones de cmputo restringidas.

Descripcin de Roles y Responsabilidades

Usuario visitante / Personal Grupo Senderos/Proveedor

Solicitar autorizacin para ingresar a las instalaciones de la empresa e identificarse en la
recepcin.
Solicitar autorizacin para ingresar a las instalaciones de cmputo restringidas
Proporcionar los medios necesarios para el llenado de cualquiera de los formatos de
Control de Ingresos de acuerdo al tipo de persona que acceda al edificio ya sea visitante,
personal o proveedor.
Realizar las actividades en presencia del Personal autorizado.

Personal de Seguridad

Proporcionar la asesora para el llenado de cualquiera los formatos de Control de Ingreso
de acuerdo al tipo de persona que acceda al edificio ya sea visitante, personal o proveedor.
Almacenar los formatos cuando hayan sido llenados.

175
Responsable del Centro de Cmputo

Proporcionar la asesora para el llenado del formato de Control acceso a reas de cmputo
restringidas de acuerdo al tipo de persona que accese al edificio ya sea visitante, personal
o proveedor en los campos de :

Autorizado por y Motivo de la Visita.
Supervisar las actividades del Personal /Usuario visitante/Proveedor
Almacenar los formatos cuando hayan sido llenados.

Grupo de Mtodos y Procedimientos
Verifica el adecuado funcionamiento del procedimiento.
Auditoria Informtica

Verifica peridicamente el adecuado funcionamiento de los mecanismos de control

Procedimiento:

No.
DESCRIPCIN
ACTIVIDAD
PROCEDIMIENTO - DESCRIPCIN DE
ACTIVIDADES
RESPONSABLE
1
Informar en la
recepcin el nombre
del empleado de
Grupo Senderos que lo
atender durante la
visita
La persona visitante solicita en la
recepcin acceso a las instalaciones de
Grupo Senderos, indicando que persona
de la Entidad lo atender durante su visita.
Usuario Visitante/
Personal Grupo
Senderos/
Proveedor
2
Presentar documento
de identificacin con
foto
Para ingresar a las instalaciones, la
persona visitante entrega un documento
de identificacin con foto reciente
(diferente a la cdula), con el fin de
identificarse en la recepcin.

Personal de
Seguridad
3
Solicitar autorizacin
de ingreso del visitante
al empleado indicado
El personal de seguridad de la recepcin,
solicita autorizacin de acceso de la
persona visitante al personal de grupo
senderos.

Personal de
Seguridad
3.1
Fue autorizado el
ingreso?

Despus de haber consultado con la
persona de la empresa, se autoriza o no el
ingreso a la persona visitante. En caso
que sea autorizado el acceso.

Personal de
Seguridad

176
No.
DESCRIPCIN
ACTIVIDAD
ACTIVIDADES
RESPONSABLE
Continuar en la actividad 4
En caso contrario continuar con la
actividad 11

4
Entregar Gafete de
ingreso y registrar
equipos que ingresa el
visitante a las
instalaciones.

Cuando ya ha sido autorizado el ingreso
del usuario visitante, se le entrega un
gafete para ser portado durante la visita a
las instalaciones, si el usuario trae consigo
algn elemento tecnolgico, tal como
computador porttil, cmaras digitales,
partes de computador, etc. deben ser
registrados especificando el nmero de
serie del elemento.

Personal de
Seguridad
5
Proporcionar la
asesora para el
llenado del formato de
control de acceso de
acuerdo al tipo de
persona ya sea
Usuario visitante/
personal de Grupo
Senderos /Proveedor
en los campos de
fecha, hora, nombre,
empresa y cargo

Para ingresar a las instalaciones de Grupo
Senderos, el usuario visitante/ personal de
la entidad/ proveedor, debe proporcionar
los medios necesarios para el llenado del
formato de control de acceso de acuerdo
al tipo de persona ya sea Usuario
visitante/ personal de Grupo Senderos
/Proveedor.

Personal de
Seguridad
5.1
Necesita ingresar al
centro de cmputo?

Si el Usuario visitante/ Personal de Grupo
Senderos/Proveedor requiere ingresar al
centro de cmputo, continua en la
actividad 5, en caso contrario termina el
proceso.
De lo contrario continuar en la
actividad 11

Usuario Visitante/
Personal Grupo
Senderos/
Proveedor
6
Solicitar autorizacin al
Responsable del
centro de cmputo o
personal autorizado

Si el usuario visitante/personal de grupo
senderos/Proveedor requiere ingresar al
centro de cmputo, solicita la autorizacin
al responsable del centro de cmputo o al
personal autorizado.

Responsable del
Centro de
Cmputo
6.1
Fue autorizado el
ingreso?

Despus de haber consultado con la
persona de la empresa, se autoriza o no el
ingreso a la persona visitante. En caso
que sea autorizado el acceso.

En caso contrario continuar con la
Responsable del
Centro de
Cmputo

177
No.
DESCRIPCIN
ACTIVIDAD
ACTIVIDADES
RESPONSABLE
actividad 11

7
Proporcionar los
medios necesarios
para el llenado del
formato el formato
control de ingreso de
personal a reas de
computo restringidas

Para ingresar al centro de cmputo, el
usuario visitante o personal de la entidad,
debe proporcionar los medios necesarios
para el llenado del formato control de
ingreso de personal a reas de cmputo
restringidas, en los campos de:

fecha (dd-mm-aa)
hora entrada
nombre del empleado/
visitante/proveedor
empresa
cargo
motivo de la visita
autorizado por:

Usuario Visitante/
Personal Grupo
Senderos/
Proveedor
8
Supervisar las
actividades del
visitante o funcionario

El responsable del centro de cmputo o la
persona que autoriz el ingreso, debe
supervisar todas las actividades que el
usuario visitante realice en el centro de
cmputo y los servidores, durante la
estada en el mismo.
Responsable del
Centro de
Cmputo
8.1
El visitante,
empleado o proveedor
finaliz las
actividades?

Si el usuario visitante, empleado, o
proveedor finaliz las actividades.

Usuario Visitante/
Personal Grupo
Senderos/
Proveedor
9
Proporcionar la
asesora para el
llenado del formato
control de ingreso de
personal a reas de
computo restringidas
en el campo de hora
salida y firmar.
Como el usuario visitante o personal,
termin las actividades en el centro de
cmputo, el responsable del centro de
cmputo o funcionario autorizado, tramita
el llenado del formato control de ingreso
de personal a reas de cmputo
restringidas en los campos de:

hora de salida
firma

Responsable del
Centro de
Cmputo
10
Salida de las
instalaciones de la
empresa Grupo
Senderos
El visitante o proveedor, al abandonar las
instalaciones de la empresa grupo
senderos, devuelve la ficha entregada en
el momento del ingreso y reclama
Personal de
Seguridad

178
NO
SI
NO
SI
NO
No.
DESCRIPCIN
ACTIVIDAD
ACTIVIDADES
RESPONSABLE
documento de identidad.

11
FIN DEL
PROCEDIMIENTO

Diagrama de Flujo

Procedimiento de Control de Accesos
Usuario visitante/Personal
Grupo Senderos/Proveedor
Personal de Seguridad
Responsable del Centro de
Cmputo

SI
Inicio
1. Informar en
la recepcin el
nombre del que
lo atender
2. Presentar
documento de
identificacin
3. Solicitar
autorizacin de
ingreso del
visitante al
3.1 Fue
Autorizado
el ingreso
4. Entregar Gafete
de ingreso y
registrar equipos
que ingresa el
5. Proporcionar la
asesora para el
llenado del
5.1 Necesita
ingresar al
centro de
t
6. Solicitar
autorizacin de
ingreso del visitante
al Responsable del
6.1 Fue
Autorizado
el ingreso
Fin
7. Proporcionar
la asesora
para el llenado
del formato
8. Supervisar
las actividades
del visitante,
empleado o
proveedor
8.1 Finaliz
las
actividades?
9. Proporcionar
la asesora
para el llenado
del formato en
el campo de
hora salida y
10. Salida de las
instalaciones de la
empresa Grupo
Senderos.

179
Control de Cambios

28 Mar 2008 Juan Carlos
Matadamas
Vzquez
1.0 Creacin del documento

180

GS-PSv01

Poltica de Seguridad para el
personal de Grupo Senderos
S.A. de C.V.

181


NOMBRE DEL
DOCUMENTO:
Poltica de Seguridad para personal de Grupo
OBJETIVO DEL
DOCUMENTO:
Establecer los lineamientos para mitigar los riesgos
asociados al control de acceso de personal y la
proteccin de los activos de la empresa Grupo

CLAVE: GSPR01-CA VERSIN: 1.0 FECHA: 05-11-08
RESPONSABLE DE
ELABORAR:
Nombre del dueo del documento

Direccin General
Claretta Martnez
Ayala
Gerente de Mtodos y
Procedimientos
Vzquez
Estratgica
Alejandro Jara
Guerrero
<Incluir firma
electrnica>
<Incluir firma electrnica>
<Incluir firma
electrnica>

182

Contenido

Introduccin....................................................................................................... 183
Alcance .............................................................................................................. 183
Polticas ............................................................................................................. 183
Seguimiento y Control ...................................................................................... 189
Actualizacin de las Polticas de Seguridad................................................... 189
Acrnimos y Abreviaturas................................................................................ 190
Referencias. ....................................................................................................... 190
Control de Cambios .......................................................................................... 190

183
Introduccin

En toda organizacin existe informacin confidencial y activos en mayor o menor grado, cuya
prdida o uso indebido puede daar afectar la operacin y daar la reputacin de la empresa.
Asimismo, la falta de controles y medidas de seguridad puede interrumpir el normal desarrollo de la
operacin, produciendo efectos negativos en la calidad del servicio y los beneficios de la compaa.

El principal objetivo de esta poltica es mitigar los riesgos asociados al control de acceso fsico as
como a la proteccin de los activos de la empresa describiendo lo que se espera de todo el personal
que trabaja para Grupo Senderos S.A. de C.V. y que en el desarrollo de sus funciones pueda tener
acceso a la informacin o recursos en general, con el fin de proteger la confidencialidad, integridad y
disponibilidad de la informacin as como de los activos de la empresa.

Para ello, el personal responsable de difundir estas polticas de seguridad se responsabiliza de
informar al personal de Grupo Senderos S.A. de C.V., as como de obtener su compromiso por
escrito de que se comprometen a respetar dichas Polticas.

Con dicho propsito, esta poltica contempla lo establecido en la Norma ISO 27001.

Alcance

Esta Poltica debe ser implementada para todo el personal de Grupo Senderos S.A. de C.V., y por
aquellas personas a quien se autorice el acceso y utilizacin de los activos que utiliza la empresa
para el cumplimiento de sus objetivos.

Polticas

Poltica General de Seguridad de la Informacin

La direccin de GRUPO SENDEROS S.A. DE C.V., como poltica general de la empresa, garantiza
la adecuada gestin de la seguridad de la informacin procesada y/o albergada por los sistemas y
servicios contemplados en el alcance.

184

Para desarrollar esta poltica, la direccin de Grupo Senderos S.A. de C.V. se compromete a:

Llevar a cabo un anlisis de riesgos peridico que permita mantener una adecuada
identificacin de los riesgos de seguridad de la informacin a los que estn expuestos los
activos y desarrollar las medidas necesarias para limitar y reducir dichos riesgos, definiendo
las medidas de seguridad a establecer.

Desarrollar una completa normativa de seguridad que regule las condiciones en las que la
empresa dentro del alcance establecido, debe desarrollar su actividad para respetar los
requerimientos de seguridad establecidos.

Destinar los recursos y medios necesarios para desarrollar todas las medidas de seguridad
que se determinen, manteniendo un adecuado balance entre coste y beneficio.

Establecer un plan de formacin y concientizacin en materia de seguridad de la
informacin que ayude a todo el personal implicado a conocer y cumplir las medidas de
seguridad establecidas y a participar de forma proactiva en la gestin de la seguridad de la
informacin.

Desarrollar todas las medidas necesarias para garantizar la adecuada gestin de los
incidentes de seguridad que puedan producirse, y que permitan la resolucin tanto de las
incidencias menores como de las situaciones que puedan poner en riesgo la continuidad de
las actividades contempladas.

Propiciar y facilitar la participacin as como la definicin de roles y responsabilidades de los
empleados y colaboradores en la preparacin, implantacin, mantenimiento y ejecucin de
la Poltica de Seguridad.

Establecer peridicamente un conjunto de controles e indicadores en materia de seguridad
de la informacin que permitan el adecuado seguimiento de la evolucin de la seguridad
dentro de la empresa.

Establecer una metodologa de revisin y mejora continua del sistema, siguiendo un ciclo
PDCA que garantice el mantenimiento continuo de los niveles de seguridad deseados.

Grupo Senderos S.A. de C.V. establece los procedimientos y controles necesarios para
garantizar el correcto desarrollo de esta poltica, que se plasmaran en un sistema de

185
seguridad, documentado y conocido por todo el personal de Grupo Senderos S.A. de C.V. y
que cumplir los requisitos establecidos en la norma ISO 27001

Principios Generales

Tal y como se ha establecido en el alcance, todo el personal que desarrolle labores para Grupo
Senderos S.A. de C.V. deber cumplir con las polticas de seguridad recogidas en el presente
documento. En caso de incumplimiento de cualquiera de estas obligaciones, Grupo Senderos S.A.
de C.V. se reserva el derecho de veto sobre el personal que haya cometido la infraccin, as como
la adopcin de las medidas sancionadoras que se consideren pertinentes y que pueden llegar a la
resolucin de los contratos que tenga vigentes con la empresa.

Todo el personal que acceda a la informacin y los activos de Grupo Senderos S.A. de C.V. deber
seguir las siguientes normas de actuacin:

Proteger la informacin confidencial perteneciente o cedida por terceros a Grupo Senderos
de toda revelacin no autorizada, modificacin, destruccin o uso incorrecto, ya sea
accidental o no.

Proteger todos los sistemas de informacin y redes de telecomunicaciones contra accesos o
usos no autorizados, interrupciones de operaciones, destruccin, mal uso o robo.

Para obtener el acceso a los sistemas de informacin propios o bajo supervisin de Grupo
Senderos S.A. de C.V. ser necesario disponer de un acceso autorizado.

De forma adicional, todo el personal con responsabilidades especficas dentro del mbito de
actuacin indicado deber asegurarse de que se cumplen las siguientes medidas:

Todo diseo, desarrollo, implementacin y operacin deber incorporar mecanismos de
identificacin autenticacin, control de acceso, auditora e integridad.

Se debern incorporar identificaciones seguras y nicas para la autenticacin de usuarios

Para un correcto funcionamiento en materia de seguridad debern compartirse las labores
de seguridad entre usuarios, administradores y los encargados directos de la propia
seguridad.

186

Debern tomarse todas las precauciones posibles para proteger fsicamente los sistemas de
robo, destruccin o interrupcin.

Deber existir un plan de recuperacin del sistema para el caso en que se d robo,
destruccin o interrupcin del servicio.

El rea de seguridad Informtica centralizar los esfuerzos globales de proteccin de los
activos de Grupo Senderos S.A. de C.V., a fin asegurar el correcto funcionamiento de las
tecnologas de la informacin que soportan los procesos de la organizacin.

De forma genrica, los activos incluyen todo tipo de informacin, adems de las personas y la
tecnologa que soportan los procesos de informacin.

Confidencialidad de la Informacin

El personal externo que tenga acceso a informacin de Grupo Senderos S.A. de C.V. deber
considerar que dicha informacin, por defecto, tiene el carcter de confidencial. Slo se podr
considerar como informacin no confidencial aquella informacin de Grupo Senderos S.A. a la que
se haya tenido acceso a travs de los medios de difusin pblica de informacin dispuestos por
Grupo Senderos.

Se protegern, por parte de los usuarios, en la medida de sus posibilidades, la informacin
confidencial a la que tienen acceso, contra revelaciones no autorizadas o accidentales, modificacin,
destruccin o mal uso, cualquiera que sea el soporte en que se encuentre contenida esa
informacin.

En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado de
la empresa entre en posesin de informacin confidencial contenida en cualquier tipo de soporte,
deber entenderse que dicha posesin es estrictamente temporal, con obligacin de secreto y sin
que ello le confiera derecho alguno de posesin, titularidad o copia sobre dicha informacin.

Todas estas obligaciones continuarn vigentes tras la finalizacin de las actividades que el personal
desarrolle para Grupo Senderos S.A. de C.V.

El incumplimiento de estas obligaciones puede constituir un delito de revelacin de secretos, que
puede dar derecho a exigir compensaciones.

187
Para garantizar la seguridad de los Datos de Carcter Personal albergados en ficheros
automatizados, el personal de la empresa deber observar las siguientes normas:

Se llevar control del acceso de equipo externo que no pertenezca a la empresa Grupo Senderos
mediante un registro de control de acceso a proveedores que permita identificar el motivo de su
visita, y el registro del equipo propio de su empresa.

No se albergarn datos de carcter personal en las unidades locales de disco de las PC de los
usuarios.

El propietario de la informacin se encargar de verificar la definicin y correcta aplicacin de los
procedimientos de realizacin de copias de respaldo y de recuperacin de los datos.

Los soportes informticos que contengan datos de carcter personal debern permitir identificar el
tipo de informacin que contienen, ser inventariados y almacenarse en un lugar de acceso
restringido al personal autorizado.

Control de Acceso Fsico

El personal externo no podr permanecer ni ejecutar trabajos en las reas especialmente protegidas
sin supervisin.

Se limitar el acceso al personal externo a las reas especialmente protegidas. Este acceso como el
de cualquier otra persona ajena que requiera acceder a reas protegidas, se asignar nicamente
cuando sea necesario y se encuentre autorizado, y siempre bajo la vigilancia de personal
autorizado. Se mantendr un registro de todos los accesos de personas ajenas.

Se acompaar a los visitantes en reas protegidas y se registrar la fecha y hora de su entrada y
salida.

Dichas personas debern ir provistas de la debida identificacin o permiso correspondiente y pasar
por alguno de los sistemas de control de acceso fsico. Slo se permitir el acceso previa
identificacin de la persona de contacto en Grupo Senderos. Se mantendr un registro protegido
para permitir auditar todos los accesos.

188
Uso apropiado de los recursos

Los recursos que Grupo Senderos pone a disposicin del personal, independientemente del tipo que
sean (informticos, datos, software, redes, sistemas de comunicacin, etc.), estn disponibles
exclusivamente para cumplir las obligaciones y propsito de la operacin para la que fueron
diseados e implantados. Todo el personal usuario de dichos recursos debe saber que no tiene el
derecho de confidencialidad en su uso.

Queda terminantemente prohibido:

El uso de estos recursos para actividades no relacionadas con el propsito del negocio, o
bien con la extralimitacin en su uso.

Los equipos y/o aplicaciones que no estn especificados como parte del Software o de los
Estndares de los Recursos Informticos propios de Grupo Senderos o bajo supervisin de
Grupo Senderos .

Introducir en los Sistemas de Informacin o la Red Corporativa contenidos obscenos,
amenazadores, inmorales u ofensivos.

Introducir voluntariamente cualquier tipo de malware (programas, macros, applets, controles
ActiveX, etc.), greyware, dispositivo lgico, dispositivo fsico o cualquier otro tipo de
secuencia de rdenes que causen o sean susceptibles de causar cualquier tipo de
alteracin o dao en los recursos informticos. El personal contratado por Grupo Senderos
tendr la obligacin de utilizar los programas antivirus y sus actualizaciones para prevenir la
entrada en los Sistemas de cualquier elemento destinado a destruir o corromper los datos
informticos.

Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido
asignados.

189

Seguimiento y Control

Con el fin de velar por el correcto uso de los mencionados recursos, a travs de los mecanismos
formales y tcnicos que se considere oportunos, Grupo Senderos comprobar, ya sea de forma
peridica o cuando por razones especficas de seguridad o del servicio resulte conveniente, la
correcta utilizacin de dichos recursos por todos los usuarios.

En caso de apreciar que alguien utiliza incorrectamente los activos o datos, principalmente, as
como cualquier otro recurso informtico, se le comunicar tal circunstancia y se le facilitar, en su
caso, la formacin necesaria para el correcto uso de los recursos.

En caso de apreciarse mala fe en la incorrecta utilizacin de los activos o datos, principalmente, as
como cualquier otro recurso informtico, Grupo Senderos ejercer las acciones que legalmente le
amparen para la proteccin de sus derechos.

Actualizacin de las Polticas de Seguridad

Debido a la propia evolucin de la tecnologa, las amenazas de seguridad y a las nuevas
aportaciones legales en la materia, Grupo Senderos se reserva el derecho a modificar estas
polticas cuando sea necesario. Los cambios realizados en estas polticas sern divulgados a todo el
personal de la empresa utilizando los medios que se consideren pertinentes. Es responsabilidad de
la Direccin garantizar la lectura y conocimiento de las polticas de seguridad ms recientes de
Grupo Senderos a todo el personal.

190
Acrnimos y Abreviaturas.

Acrnimo/Abreviatura Descripcin
GS-PSv1.0 Grupo Senderos Poltica de Seguridad versin 1.0
PDCA El ciclo PDCA, tambin conocido como "Crculo de
Deming" (de Edwards Deming)
[
PLAN (Planificar)
DO (Hacer)
CHECK (Verificar)
ACT (Actuar)

Referencias.

Referencia Descripcin
[ ISO 27001 ]
Cdigo internacional que describe buenas
prcticas para la administracin de un Sistema de
Gestin de Seguridad Informtica.

Control de Cambios

05 Nov
2008
1.0 Creacin del documento

191

192

Instituto Politécnico Nacional

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Instituto Politécnico Nacional

Cargado por

Copyright:

Formatos disponibles

INSTITUTO POLITCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE

1. Investigar las diferentes soluciones de control de acceso que existen en el mercado.

También podría gustarte