Está en la página 1de 10

X

Sobre el SGSI (Sistema


de Gestin de la Seguridad
de la Informacin ...... 1

La aplicacin de Normas
Internacionales en Gestin
de Calidad ................... 7
Mayo 2009

X Metodologas giles:
Cmo migrar a SOA? 4

Volumen 1

4
Perspectivas
Informticas
Nmero 4

El Ambiente
Informacional............. 5

LA DIMENSION INFORMATICA DE LAS EMPRESAS

El problema de la informacin es que sobreabunda; el problema del


conocimiento es que escasea; el problema de la experiencia es que no
siempre se transforma en sabidura

Sobre el SGSI (Sistema de


Gestin de la Seguridad de
http://riesgoseguridadinformacion.blogspot.com/
la Informacin)
En los Nmeros Anteriores:
Riesgo, Seguridad e Informacin Empresarial
Amenaza, Vulnerabilidad y Riesgo

concibi tres fases en un proceso de produccin:


1) Especificacin
2) Produccin
3) Inspeccin

El SGSI (ISMS, Information


Security Management System)
Se denomina con este nombre al conjunto de
Procesos y Procedimientos relacionados con
la Gestin de la Seguridad de la Informacin
en una Organizacin o Empresa.
Existen diversos marcos (frameworks) para
considerar posibles SGSI de los cuales los
ms conocidos y utilizados son los de
COBIT, ITIL, SOGP (Standard Of Good
Practice) del ISF (Information Security
Forum) y el PDCA adoptado por la ISO en la
Serie 27000, al cual nos referiremos. El Ciclo
Deming, PDCA (Plan, Do, Check, Act) o
PHVA en espaol (Planificar, Hacer,
Verificar, Actuar); es el utilizado en las
Normas de Calidad ISO, y al cual se ha
ajustado la Serie ISO 27000 en general y el
SGSI en particular.
https://www.securityforum.org/index.htm
www.isaca.org/cobit.htm
www.itil.org
http://es.wikipedia.org/wiki/PDCA

Finalmente el mtodo PDCA se difunde con los


trabajos de Edward Deming en Japn.
Originalmente Deming prefera denominar a la
Check como Study, ya que se ajustaba ms al
concepto propuesto por Shewhart.
Finalmente el modelo se populariz mundialmente
como el ciclo PDCA (Plan, Do, Check, Act) o su
variante en espaol PHV; o Ciclo Deming.

El Ciclo Deming
El concepto de PDCA se remonta al inicio del
mtodo cientfico occidental. El mtodo cientfico
se comienza a desarrollar a partir de Leonardo Da
Vinci; Galileo Galilei y otros; entre el ao 1450 y
1700. Fue Francis Bacon en 1620 (Novum
Organum), quien lo formaliz con las siguientes
fases:
1) Observacin.
2) Induccin
3) Hiptesis
4) Experimentacin
5) Demostracin.
6) Tesis o Teora Cientfica

El mtodo es altamente iterativo, lo cual permite


verificar y validar permanentemente los modelos,
variables y parmetros puestos en juego. Tanto
para eliminar algo que ha sido considerado
errneamente, como para incluir algo que
aparenta ser correcto o mejor.
El mtodo Six Sigma denomina a este ciclo con el
nombre de DMAIC (Define, Measure, Analyze,
Improve, Control). Sin embargo la cadena de
valor DMAIC representa una secuencia de
procesos para garantizar la homogeneidad
estadstica y no incluye implcitamente la iteracin,
la cual, obviamente, se expresa explcitamente.

Ya en el siglo XX Walter Shewhart aplicando el


mtodo cientfico al control estadstico industrial

http://es.wikipedia.org/wiki/Metodo_cientifico
http://es.wikipedia.org/wiki/Seis_Sigma

Estructura del SGSI


ISO/IEC 27031: Continuidad del Negocio
ISO/IEC 27032: Ciberseguridad, Redes Internet
ISO/IEC 27033: Seguridad en Redes
ISO/IEC 27034: Seguridad de la Informacin
ISO/IEC 27035: Gestin de Incidentes

El ciclo PDCA parte conceptualmente de una


espiral del conocimiento.
Brevemente; existen tres mecanismos
conceptuales de conocimiento.
1) Analizar todo, aprender todo y luego hacer, lo
cual normalmente se bloquea por el factor
anlisis parlisis. Factor que hace que
transcurra el tiempo de estudio sin que se pueda
iniciar la accin para la cual se est realizando
tal estudio.
2) Hacer y reparar, por la cual se hace con lo
que se sabe, y si sale mal se rehace. Este
concepto es el opuesto al anterior y es muy
peligroso, pues consiste en hacer sin planificar.
En ocasiones es de utilidad en otros casos, no.
Se puede considerar el ejemplo de construir un
edificio, si sale mal, resulta demasiado costoso
derrumbarlo y volver a construirlo
3) Conocimiento en espiral o enfoque orgnico.
En este caso se hace con el conocimiento que
se tiene, pero se considera hasta donde se
puede hacer. Tal vez el conocimiento alcance
para un bosquejo, tal vez para una maqueta, tal
vez para un prototipo que permita probar lo
bsico. Se evita la parlisis por anlisis y se
minimizan los costos de los errores, pues se
realizan acciones de prueba avanzando en
cada iteracin del ciclo y adquiriendo un mayor
conocimiento que permita hacer mejor o en
forma ms ptima cada vez.

Informacin los elementos a considerar son:

b) Los Procedimientos
a) Las Normas
El conjunto Normativo actual ms importante
est conformado por la serie ISO/IEC 27000,
compuesta por:
ISO 27000 Introduccin, Descripcin y Glosario
del ISMS (no publicada)
ISO 27001:2005 Certificacin del ISMS
ISO 27002:2005 Cdigo de Prctica (ex ISO
17999)
ISO 27003 Guas de Implementacin del ISMS
(no publicada)
ISO 27004 Mtricas de Seguridad (no publicada)
ISO 27005:2008 Guas de Implementacin
basadas en Gestin de Riesgos
ISO 27006:2007 Proceso de Certificacin y
Registracin
ISO 27007 Guas para la Auditoria del ISMS
(Centrada en el Sistema de Gestin)
ISO 27008 Guas para la Auditoria del ISMS
(Centrada en los Controles de Seguridad)
Guas de Implementacin por Sector
I
SO/IEC 27010: Gua para el SGSI en
comunicaciones e informacin
ISO/IEC 27011: Gua para el SGSI en
Telecomunicaciones.
ISO/IEC 27012: Gua para el SGSI para
Gobierno Electrnico.
ISO/IEC 27013 Gua para SGSI para los
Servicios Financieros
ISOIIEC 27014: Guia para el SGSI para la
Industrias Manufactureras
ISO/IEC 27015: Evaluacin y pruebas de la
eficacia del plan y procedimientos SGSI.

Estructura del SGSI

ISO/IEC 27016: Auditoras y revisiones.

Todo sistema de gestin debe articular una


cantidad de funciones y elementos. En el caso
del Sistema de Gestin de la Seguridad de la

Guas Tcnicas:

Los procedimientos son especficos para cada


uno de los sistemas SGSI que se desarrollen y
describen los procesos que se consideran
dentro de tal SGSI.

c) El cdigo de Prctica
El cdigo de prctica se describe en la norma
ISO 27002 y se basa en los tres pilares clsicos
de la Seguridad de la Informacin, conocidos
como tringulo CIA:
Confidencialidad:
Solo quien est autorizado para acceder a un
informacin determinada debe poder acceder a
ella. En casos especficos el personal deber
haber firmado un acuerdo de confidencialidad a
los efectos de no difundir la informacin sensible
a terceros.
Las contramedidas se centran en las tcnicas
que impidan y controlen el acceso a la
informacin.
Integridad.
La integridad hace referencia a la no
adulteracin de una pieza de informacin, lo cual
implica incorporar tcnicas especiales que
puedan determinar las alteraciones,
modificaciones, eliminaciones y agregados en
un documento. Todo documento sospechoso
de adulteracin pasa a ser no confiable.
Disponibilidad (Availability)
La informacin debe estar disponible en tiempo
y forma para todos aquellos usuarios que estn
autorizados a acceder a tal informacin. Si la
informacin es inaccesible, de poco sirve
poseerla.

d) El Proceso del SGSI


El proceso del SGSI incluye un conjunto de
fases, de las cuales solo los Controles estn
incluidos en la Norma ISO 27001
Alcance: Especifica los objetivos actuales del
SGSI
Evaluacin y Valoracin de Bienes
Identificacin de Bienes: Determina
cuales son los bienes que quedaran cubiertos
por el SGSI.
Determinacin de Valores: Asigna

Procesos del SGSI


para la confeccin de una Auditoria se procede
a realizar la misma con el objetivo de alcanzar
la Certificacin de la Norma respectiva.
Logro de los Objetivos y Redefinicin del
Alcance:
Establecido el SGSI queda por comprobar que
se alcancen los Objetivos para el cual se lo
creo. Aun alcanzndolos siempre existirn
modificaciones, redefiniciones, actualizaciones
y cambio de alcance que dispararn una nueva
iteracin del Ciclo Deming.

un valor econmico a los bienes que quedan


en proteccin.
Definicin de Polticas, Normas y
Procedimientos
Las polticas son los elementos de base que
luego permitirn determinar cules sern los
controles necesarios y como se desarrollaran
los procesos para evidenciar tales controles y
que se puedan establecer mecanismos para
mantener al sistema dentro de las polticas
especificadas.
Anlisis y Gestin de Riesgos
Determinacin de Riesgos:
Determina cuales son los riesgos que
quedarn cubiertos por el SGSI.
Nivel de Aseguramiento deseado:
Determina cuales sern las acciones de
salvaguardias o paliativos sobre los riesgos
considerados, y/o acciones a desarrollar en
caso de un riesgo conocido pero no cubierto o
un riesgo no conocido.
Identificacin de Objetivos de Control y

Controles (ISO 27001)


La Norma ISO 27001 especifica los controles que
se deben incluir en un sistema SGSI. La ISO
27001 posee 11 Dominios de Control con 39
Objetivos de Control y 133 Controles individuales
No todos los controles que especifica la Norma
deben estar incluidos, pero si considerados.
Algunos controles pueden no ser aplicables o ser
innecesarios en un SGSI especfico.
Implementacin de Polticas, Normas y
Procedimientos.
Esta es la fase de implementacin del SGSI,
cuando se transforma en algo real.
Actualizacin de la Documentacin.
Estando el SGSI operativo se debe completar el
proceso de Auditoria y Certificacin del mismo (si
es que se quiere cumplimentar con las Normas de
Seguridad de la Informacin). Para tal fin se debe
generar y recopilar la informacin y
documentacin necesaria que permita luego
encarar el proceso de Auditoria en forma positiva.
Auditar y Revisar
Cumplimentados todos los elementos solicitados

Dominios de Control
11 Dominios en la 27001

Polticas de Seguridad
Organizacin de

11 A.15
Cumplimiento

2 A.6 la Seguridad

de la Informacin

Informacin

A.14 Gestin de la
10
Continuidad del Negocio

3
Confidencialidad

Gestin de los Incidentes 9

de la Seguridad
A.13de
la Informacin

A.7

Gestin de los
Bienes

Integridad

Desarrollo, Adquisicin 8
Y Mantenimiento de
Sistemas de Informacin A.12

A.11

Los productos del SGCI incluyen el conjunto de


Polticas, Procesos, Procedimientos,
Equipamiento y Documentacin que permita
realizar la concrecin del SGSI.

f) El Aseguramiento
El aseguramiento es aquella faceta que permite
que el proceso realmente se realice y que la
seguridad se logre realmente. De nada servira
un SGSI formal si en la prctica existen
mecanismos que permiten evitar las polticas
definidas, o bien las comprobaciones no se
realizan o se han deslizado errores en la
implementacin tecnolgica del SGSI que
permiten encontrar caminos que evitan el
cumplimiento de la poltica de seguridad.

g) Los Aspectos Culturales


Los aspectos culturales son de suma
importancia, ya que las polticas y los
mecanismos para hacerlas cumplir deben estar
alineados con la cultura del lugar y con la
imagen de la empresa. Se deben evitar
polticas laxas o rgidas, en culturas que no
estn preparadas para recibirlas
apropiadamente.

h) La Auditoria y Certificacin del SGSI

A.5

Control de
Acceso

e) Los Productos del SGSI.

Autor: Osvaldo A Prez

4 A.8 Seguridad de los

Recursos Humanos

Disponibilidad

Gestin de las
6 A.10Comunicaciones

Ya hemos tratado este tema al describir el


Proceso del SGSI. Aqu solo agregaremos que
la fase de Auditoria y Certificacin es esencial.
En la empresa moderna de nada sirve la
autoevaluacin, que si bien puede hacerse,
requiere la confrontacin por una entidad
externa que le garantice a los clientes de la
empresa que sus Sistemas son correctos; de
all la necesidad de obtener la Certificacin
probatoria de tal situacin..

Seguridad Fsica y
A.9 ambiental

y las Operaciones

En los prximos nmeros:


En los Prximos Nmeros:
El riesgo y sus normas.
Normas para Seguridad de la Informacin
Desarrollo de mecanismos de proteccin.

Metodologas giles
CmomigraraSOA?
Introduccin
Es cada vez ms comn disear soluciones
orientadas a servicios, las cuales, entre
otras virtudes, permiten una rpida
adaptacin a los cambios, algo cada vez
ms necesario.
Hace algunos aos se hablaba del modelo
de tres capas como la tpica arquitectura de
los portales web que tenan algo ms que
html, es decir contaban con un repositorio
de datos al cual consultaban de manera
dinmica.
Sin embargo, el mercado del desarrollo de
software ha ido cambiando en los ltimos
aos, los tiempos de desarrollo se han ido
acortando y tambin suelen aparecer
requerimientos cambiantes, por estas - y
otras razones - la arquitectura de software
ha ido evolucionando para permitir cumplir
con las necesidades del mercado.
SOA como arquitectura de software nos
permite, entre otras cosas, llevar adelante
un desarrollo de manera incremental, si
pensamos entre otros motivos - que los
requerimientos pueden cambiar, que
necesitamos integrar diferentes sistemas
en una misma solucin y que el cliente
desea ir viendo la solucin a medida que el
desarrollo avanza, se presenta como una
de las mejores alternativas a la hora de
decidir que arquitectura utilizar.
En este artculo analizaremos cual es la
mejor estrategia para pasar de aplicaciones
web de tres capas hacia una arquitectura
basada en servicios, como lo es SOA. El
objetivo es ver que tienen en comn estas
arquitecturas y de qu manera se puede
aprovechar lo que fue desarrollado en la
arquitectura de tres capas dentro de la
arquitectura SOA.

Principios de la Orientacin a
Servicios
Un problema con el que nos podemos
encontrar a la hora de construir una
aplicacin SOA es si la aplicacin
construida realmente es una aplicacin
"SOA Compliant". Para comprobar si una
aplicacin lo es, la mejor forma de hacerlo
es chequeando que la aplicacin cumpla
con los Principios de la Orientacin a
Servicios.

No existe una definicin estndar de cules


son los Principios de la Orientacin a
Servicios, por lo tanto, lo nico que se puede
proporcionar es un conjunto de Principios que
estn muy asociados con la Orientacin a
Servicios. Estos principios segn Thomas Erl
son:

tienen que ser independientes los unos de los


otros. Para lograr ese bajo acoplamiento, lo que
se har es que cada vez que se vaya a ejecutar
un servicio, se acceder a l a travs del
contrato, logrando as la independencia entre el
servicio que se va a ejecutar y el que lo llama.
Si conseguimos este bajo acoplamiento,
entonces los servicios podrn ser totalmente
reutilizables.

a) Los Servicios deben ser reusables: Todo


servicio debe ser diseado y construido
pensando en su reutilizacin dentro de la
misma aplicacin, dentro del dominio de
aplicaciones de la empresa o incluso dentro
del dominio pblico para su uso masivo.
b) Los Servicios deben proporcionar un
contrato formal: Todo servicio desarrollado,
debe proporcionar un contrato en el cual
figuren: el nombre del servicio, su forma de
acceso, las funcionales que ofrece, los datos
de entrada de cada una de las
funcionalidades y los datos de salida. De esta
manera, todo consumidor del servicio,
acceder a este mediante el contrato,
logrando as la independencia entre el
consumidor y la implementacin del propio
servicio. En el caso de los Servicios Web, esto
se lograr mediante la definicin de interfaces
con WSDL.
c) Los Servicios deben tener bajo
acoplamiento: Es decir, que los servicios

d) Los Servicios deben permitir la composicin:


Todo servicio debe ser construido de tal manera
que pueda ser utilizado para construir servicios
genricos de ms alto nivel, el cual estar
compuesto de servicios de ms bajo nivel. En el
caso de los Servicios Web, esto se lograr
mediante el uso de los protocolos para
orquestacin (WS-BPEL) y coreografa (WSCDL).
e) Los Servicios deben de ser autnomos: Todo
Servicio debe tener su propio entorno de
ejecucin. De esta manera el servicio es
totalmente independiente y nos podemos
asegurar que as podr ser reutilizable desde el
punto de vista de la plataforma de ejecucin.
f) Los Servicios no deben tener estado: Un
servicio no debe guardar ningn tipo de
informacin. Esto es as porque una aplicacin
est formada por un conjunto de servicios, lo
que implica que si un servicio almacena algn
tipo de informacin, se pueden producir
problemas de inconsistencia de datos. La
solucin, es que un servicio slo contenga

lgica, y que toda informacin est


almacenada en algn sistema de informacin
sea del tipo que sea.
g) Los Servicios deben poder ser descubiertos:
Todo servicio debe poder ser descubierto de
alguna forma para que pueda ser utilizado,
consiguiendo as evitar la creacin accidental
de servicios que proporcionen las mismas
funcionalidades. En el caso de los Servicios
Web, el descubrimiento se lograr publicando
los interfaces de los servicios en registros
UDDI.

Cuando se desarrollan aplicaciones SOA es


muy til y necesario tener en cuenta siempre
estos principios, ya que nos van a dar las
pautas necesarias para tomar ciertas
decisiones de diseo complejas.
Como se habr podido observar, una
caracterstica muy importante de los Principios
de la Orientacin a Servicios, es que todos
ellos se inter-relacionan. El siguiente grfico

muestra la inter-relacin de los diferentes


principios:

En los prximos nmeros:


Componentes de una Arquitectura SOA
Diseo y Desarrollo SOA

Como se puede observar en el grfico, el


objetivo de la Orientacin a Servicios es
obtener software totalmente reutilizable a
travs de un conjunto de tcnicas y principios
como los descritos anteriormente.

Autor: Pablo De Natale

El Ambiente Informacional
http://ecologadelainformacin.blogspot.com
La Ecologa de la Informacin postula la
existencia de tres ambientes:
1) El Ambiente Organizacional
2) El Ambiente Informacional
3) El Ambiente Externo
En este artculo nos centraremos en el Ambiente
Informacional, el cual es el ms interno u
operativo de la empresa.

Conceptos Previos.
Antes de ingresar al desarrollo revisaremos
algunos conceptos previos que determinaran los
criterios para la formacin del modelo.

opone, con lo cual se puede malograr la accin,


minimizarla o ingresar en una lucha de poder
con o sin lmite. d) El tercero se aleja, con lo
cual la accin tambin puede malograrse y aun
peor, la relacin puede malograrse o
desaparecer.
La descripcin anterior indica que dada la accin
humana y considerando una cantidad de tres o
ms personas involucradas en su realizacin
una relacin de poder deber establecerse.
Ahora bien, el poder ser; centralizado por
control o ser distribuido por coordinacin.
La historia nos muestra que el caso genrico es
el poder por control y hegemnico, lo cual se
remonta a Egipto, Sumeria y China, solo
sociedades muy avanzadas como Grecia o la
India han establecido coordinaciones; la
democracia en el primer caso, y el estado
filosfico-natural, en el segundo.
Tratar de ignorar la estructura de poder es
desconocer la naturaleza humana, tratar de
desconocer la necesidad de una estructura de
control es desconocer la pragmtica del accionar
humano.

Quin manda aqu?


El problema de la accin humana es complejo,
cuando la cantidad de personas que deben
interactuar es mayor que dos. El dicho dice, dos
es compaa, tres es multitud; y con tres es
donde comienzan los problemas. Si dos
concuerdan y el tercero se generan cuatro
posibles alternativas: a) El tercero cede, con lo
cual alguien se hace con el poder. b) Al tercero
le es indistinto, con lo cual accede en forma de
cooperacin o coordinacin. c) El tercero se

Lo anterior se traduce en una empresa como

Orden (Jerrquico); Estructura (Piramidal);


Comportamiento Humano (como oposicin a
la Conducta Humana). Tal conjunto asegura
acciones rpidas y concretas. Quien manda
es el capitn del barco, quien sabe a dnde
ir y posee experiencia para sortear todas las
vicisitudes de la travesa.

El ambiente cambia vertiginosamente


Tal estructura funciona bien para las
situaciones conocidas, con un nmero
pequeo de personas, (los tripulantes de un
barco), y un ambiente conocido en cuanto a
las
posibles
variables
que
pueden
presentarse. Cuando tales condiciones no se
producen el modelo anterior entra en crisis.
Las amenazas al modelo ocurren por la
cantidad de personas, cientos, miles o cientos
de miles en una misma empresa, con la
imposibilidad de conocerse entre s y de
alinearse en cuanto a las acciones a
desarrollar. La complejidad de la accin a
desarrollar, en donde no se conoce a donde
se va, o se desconoce el camino de cmo
llegar a tal lugar. El cambio de contexto por

conducente. Todos conocemos casos de esta


incapacidad, la de un empleado de hotel, de
hospital o de comercio, que nos ofrece
respuestas verbales correctas desde su propio
reglamento, pero totalmente ridculas o nocivas
para el problema real que afrontamos en ese
momento.
Nuevamente
la
diferencia
entre
un
comportamiento y el desarrollo de una conducta
se centra en la informacin, el conocimiento y el
desarrollo de procesos de aprendizaje que
desarrollen el potencial para la toma de
decisiones de cada persona.
Organizar una empresa es muy diferente que
ordenarla; para organizarla se debe partir de una
estrategia definida en funcin de objetivos
concretos que se quieren alcanzar dentro de una
visin o razn de ser de tal empresa o
emprendimiento humano.

los cambios de tecnologa, de la oferta del


mercado y de las necesidades y/o gustos de
los posibles clientes; es decir se parti hacia
el destino A por el camino 23 pero durante la
travesa el camino quedo obsoleto o bien el
destino A ya no es alcanzable o ya no es
deseable.
Los tres problemas anteriores limitan en gran
medida la aplicabilidad del modelo de control
jerrquico tradicional. El capitn del barco ya
no es til, o sus rdenes llegan tarde y
distorsionadas a quienes deben realizar las
acciones.
As comentado, la lgica parece simple y
diramos, cambiemos de modelo. Ahora se
presentan algunos problemas. 1) Por cul
modelo cambiamos? 2) Cmo deberan
cambiar las relaciones de poder. 3) Se est
dispuesto a cambiar las relaciones de poder?
4) Se han percatado los responsables que
el modelo vigente ha dejado de ser efectivo?
Sin embargo un buen comienzo aparece de la
mano de la informacin y el conocimiento y se
conforma dentro del Ambiente Informacional
de la empresa.

La Estructura del Orden y la


Estrategia de la Organizacin.
Una empresa tradicional se ordena a partir
de una estructura operacional determinada y
bajo el comportamiento esperado de las
personas; bsicamente se le dice a cada
empleado que es lo que debe hacer. Bajo
este esquema se obtienen cadenas
productivas
homogneas
altamente
predecibles como pueden ser las de
ensamblaje de automviles o la coccin de
hamburguesas. Tpicamente el orden se
realiza por medio de estructuras de control
jerrquicas con una mayor o menor
concentracin de poder en funcin de la

envergadura y volumen de la empresa y


flexibilidad con la cual se desea llegar al
mercado.
En cambio una empresa que debe afrontar un
futuro y un presente cambiantes con altos
grados de variabilidad debe optar por
organizarse desde un enfoque estratgico y
confiar en la conducta de las personas ms que
en su comportamiento.
La
discusin
terminolgica
entre
comportamiento y conducta est minada de
inconvenientes ya que diferentes escuelas
psicolgicas han optado por uno u otro de tales
trminos en forma indistinta, y a veces, para
significar conceptos contrapuestos. Aqu en
cambio nos centraremos en el enfoque
pedaggico, partiendo de un criterio simple.
Comportamiento est relacionado con lo innato
en el humano, es decir con el conjunto de
respuestas que una persona ofrecer en forma
natural a determinados estmulos y alineadas
con el entorno cultural y social en el cual se
desenvuelve tal persona. Conducta, en cambio,
es el conjunto de respuestas elaboradas por
una persona en funcin de sus intereses y
capacidad de propio crecimiento. La diferencia
entre ambas se centra en que la conducta
puede cambiar y suele estar alineada tanto con
la historia personal del individuo como con los
objetivos futuros que desea alcanzar. De esta
forma se comprende que el proceso de
aprendizaje busca generar conductas en la
persona
y
no
comportamientos.
El
comportamiento es algo repetitivo, algo
adiestrado que inhibe la variabilidad humana.
La conducta es algo interno al humano que
busca desarrollarse para que cada persona
pueda aplicar sus propios criterios para obtener
respuestas
similares
ante
problemas
semejantes,
pero
siempre
con
una
diferenciacin personal fruto de la propia
personalidad y de la capacidad de decisin de
cada persona.
La capacidad de decisin de cada persona en
base a su propio criterio es lo que hace la
diferencia cuando el entorno cambia y el grado
de variabilidad es alto. Un grupo humano que
solo se rige por comportamientos, seguir
ejecutando aquello para lo cual fue entrenado,
aun cuando los resultados de su accionar sean
totalmente contraproducentes pues el entorno
ha cambiado y el resultado ha dejado de ser

Una organizacin debe interactuar y convivir con


diversas estructuras de control; algunas
jerrquicas,
otras
redundantes
y
otras
cooperantes. De lo contrario no podr seguir la
dinmica del mercado, no ajustarse a los
cambios de demanda, no podr evolucionar
dinmicamente y carecer del potencial para
innovar. Una organizacin centrada solo en el
poder y la jerarqua solo podr ser seguidora de
otros, pero nunca lder en un mercado.
La problemtica anterior a quedado demostrada
por muchas empresas que ya no estn, y otras,
como es el caso de IBM, que debieron
reestructurarse muy fuertemente para desarrollar
el dinamismo que el mercado demanda en la
actualidad. En este artculo no nos centraremos
en la problemtica de la organizacin de las
empresas sino en el rol que la informacin y el
conocimiento le aportan a tal problemtica.
Ya hemos desarrollado en un artculo previo la
problemtica de los Recursos la Arquitectura y la
Infraestructura: Arquitectura, Modelo y Servicio;
Perspectivas Informticas Nmero 1, Noviembre
2008.

El Ambiente Informacional.
El
concepto
de ambiente informacional
representa aspectos diferentes en disciplinas
diferentes, pero en todos los casos relaciona la
informacin con el uso o necesidad social que de
tal informacin se realiza dentro de una
determinada comunidad. La informacin se
considera desde el punto de vista de utilidad para
tal comunidad y no desde el punto de vista de su
estructura de datos, lo cual suele ser el caso en
las disciplinas tecnolgicas. En este sentido el
ambiente informacional se relaciona ms con
las tcnicas documentales y bibliotecolgicas
que con las tcnicas de bases de datos y
estructuras de informacin.

El Ambiente Informacional segn la


Ecologa
de
la
Informacin
de
Davenport.
T Davenport interpreta al ambiente informacional
como aquel que incluye: a) La Estrategia de la
Informacin; b) La Poltica de la Informacin; c)
La Cultura y el Comportamiento de la
Informacin; d) El Personal involucrado con la
Informacin; e) Los Procesos de la Informacin;
f) La Arquitectura de la Informacin.
a) La Estrategia de la Informacin:
Determinar el objetivo que tendr la informacin
es esencial. Se debe determinar para que se
busca la informacin y como se la debe clasificar
en funcin de qu tipo de decisiones se deben
tomar con tal informacin. Un elemento central
es disponer de la informacin adecuada en el
lugar y tiempos adecuados para poder tomar la
mejor decisin informada. En caso contrario no
se posee informacin, solo un cmulo de datos
de dudoso valor.
b) Poltica de la Informacin:
Vincula el Poder y a las Responsabilidades
asociadas con los diversos tipos de informacin
que se poseen, y quienes se harn cargo de ella.
Este no es un tema menor, pues el poder es
central en las Organizaciones humanas y la
Estructura de Poder puede ayudar o bloquear un
desarrollo a partir de un conjunto informacional.
Las estructuras de Poder de informacin tpicas
son; Monarqua, Feudalismo y Federalismo.
c) La Cultura y el Comportamiento de la
Informacin:
Se relaciona con el desarrollo de hbitos y
costumbres positivas y negativas con respecto a
la informacin y el desarrollo de un sistema de
premios y castigos que potencie lo positivo y
disminuya lo negativo; dentro del ambiente
cultural y relacionado con el desarrollo y
potenciacin del ambiente de la informacin.

d)
El
Personal
involucrado
con
la
Informacin:
La interpretacin, catalogacin y categorizacin
de la informacin es una tarea humana. Los
medios
mecnicos
y electrnicos,
aun,
desconocen los contextos de significacin y de
validez de la informacin. Solo las personas y
muchas veces personas altamente entrenadas y
con amplio conocimiento pueden discernir el
valor de una informacin o el clasificarla y
categorizarla adecuadamente. Toda aquella
informacin que haya sido mal clasificada
quedar inaccesible para el potencial usuario que
deba tomar decisiones y por ello ser una pieza

faltante y habr significado tiempo de


procesamiento intil, pues no ser considerada
en el momento que realmente aportara valor.

moderna, tanto militar como empresarial, ya que


el dominio informacional o infsfera es donde
residen los elementos de informacin.

e) Los Procesos de la Informacin:


En este particular se pueden considerar dos
aspectos diferentes.
1) Los relacionados especficamente con los
Procesos que se aplican a la Informacin, como
la Bsqueda, la Adquisicin; la Clasificacin; la
Categorizacin; el Almacenamiento; el Acceso; la
Disponibilidad y el Transporte de la Informacin.
2) La componente de Informacin de cualquier
proceso organizacional. En esta faceta, todo
proceso puede ser mejorado o reestructurado
desde los aspectos de la energa que procesa,
los materiales que procesa o la informacin que
se consume, genera y modifica en tal proceso.

Entre los problemas de los elementos de


informacin
encontramos
que
pueden
corresponder o no, con los elementos de la
realidad. Pueden ser distinguibles o no, por una
determinada comunidad de prctica. As se
producen dos problemas tpicos. Con cul
rapidez un concepto podr ser discernido por una
comunidad de prctica. Con cual rapidez un
engao podr ser discernido para aplicar alguna
contramedida adecuada.
En el primer caso, quien primero encuentre un
concepto podr ganar la guerra o desarrollar
una innovacin que le abra un nuevo mercado.
En el segundo caso, mas vinculado con la
propaganda (desde lo poltico doctrinal), la
rapidez permitir contra atacar antes o bien
desarrollar campaas de marketing que permitan
prevalecer sobre el competidor.

f) La Arquitectura de la Informacin:
La arquitectura de la informacin hace referencia
a los aspectos relacionados con el soporte
tecnolgico de la informacin y de cmo esta
puede encontrarse y accederse. Sin embargo la
arquitectura tambin se relaciona con el diseo
de la informacin para cambiar hbitos y
conductas con respecto a la informacin.
Tpicamente tal faceta se produce ms por
omisin y como un engao para burlar la rigidez
de un sistema poco inteligente (mal diseado o
diseado burocrticamente), pero tambin puede
disearse especficamente para incentivar ciertos
comportamientos y obstaculizar otros, de forma
tal de generar o establecer conductas
conducentes en pro de determinados objetivos
operacionales. Algo que se est popularizando
en las empresas es la problemtica de los
mecanismos de seguridad de la informacin, de
forma tal de incentivar el uso de claves, de
acceso a la informacin y de privacidad de la
informacin
por
medio
de
mecanismos
automticos que incentiven el establecimiento de
hbitos positivos en tales aspectos.

El Ambiente Informacional segn las


Operaciones de Informacin en el
ambiente C4/ISR.
En este ambiente se distinguen tres Niveles o
Dominios. a) El Dominio Fsico; b) El Dominio
Informacional; c) El Dominio Cognitivo.
En este ambiente se considera a la informacin
tanto desde sus aspectos relacionados con los
mensajes como los relacionados como medio.
Conforma un elemento central de la guerra

En ambos casos veremos el impacto en cada


uno de los tres dominios postulados.
a) El Dominio Fsico:
Hace referencia a la locacin fsica en donde la
informacin se produce, representa o se
requiere. Una caracterstica de la informacin es
su deslocalizacin. La informacin vive en un
universo paralelo que no ocupa lugar, no
demanda tiempo y es accedido desde terminales
de computadoras. Pero la informacin suele
representar elementos de la realidad y elementos
que estn asociados con locaciones fsicas
concretas, lo cual requerir una logstica
adecuada para accionar en tiempo y lugar. El
Dominio Fsico est relacionado con tal logstica.

b) El Dominio Informacional:
Hace referencia a la Recoleccin, Procesamiento
y Diseminacin de la Informacin. Establece un
vnculo entre el Dominio Fsico y el Dominio
Cognitivo realizando un mapeo entre las
realidades del Dominio Fsico y el entorno de
conciencia de la comunidad de aplicacin. Se
habla de entorno de conciencia pues este
depende de la cultura y del momento particular
en el tiempo. Una comunidad de prctica puede
ser capaz de encuadrar un problema en un
determinado momento, pero luego un cambio de
enfoque, p la experiencia previa puede permitir
discernir problemas que antes pasaban
desapercibidos. Tal problemtica fue tratada por
Thomas Kuhn en lo relativo a la ciencia y los
investigadores y se conoce como cambio de
paradigma.
http://es.wikipedia.org/wiki/Thomas_Kuhn
http://en.wikipedia.org/wiki/Thomas_Samuel_Ku
hn
http://es.wikipedia.org/wiki/La_estructura_de_la
s_revoluciones_cient%C3%ADficas

http://en.wikipedia.org/wiki/The_Structure_of_Sc
ientific_Revolutions

uso de la informacin en funcin de una persona


o un grupo de prctica. Es imposible determinar
una significacin universal, pues eso depende de
la cultura, la experiencia previa y grado o nivel de
conciencia del destinatario. Se pueden recabar
muchos datos que pasan inadvertidos, hasta
que en algn momento alguien del grupo de
prctica comienza a percibir algo y a partir de all
esos datos pasar a encontrar un marco
referencial
apropiado
para
poder
ser
interpretados como informacin.
Justamente en este dominio encontramos
funciones tales como; la Percepcin; el Alerta; el
Entendimiento; las Creencias; los Valores; la
Actitud y la Capacidad de Decisin.

El Dominio Informacional viabiliza la relacin


entre la Toma de Decisiones y la Accin. La
Toma de Decisiones es algo de gran complejidad
que se realiza en el Dominio Cognitivo, tomando
como base lo disponible en el Dominio
Informacional. Pero una vez tomada la Decisin
esta no sirve para nada sin la existencia de
mecanismos que permitan llevarla a la Accin.
Nuevamente es el Dominio Informacional el que
opera como vnculo para activar la logstica
necesaria para que la decisin se transforme en
las Acciones Operativas en el Dominio Fsico de
la Decisin tomada en el Dominio Cognitivo.
El Dominio Informacional presenta como factores
a la Calidad de la Informacin; el Alcance de la
Informacin y la Interaccin entre informacin y
usuario.
La calidad de la informacin lo es en cuanto a su
veracidad, relevancia y precisin. El alcance en
cuanto al contexto y significacin de la
informacin- La interaccin con el usuario se
centra en la relevancia de un tipo de informacin
en cuanto al entorno cultural, relevancia y
significacin de la informacin para con el grupo
de prctica respectivo.
c) El Dominio Cognitivo:
Hace referencia a la significacin interpretacin y

Conclusin.
El Ambiente Informacional es cada vez ms

La Aplicacin de Normas
Internacionales en Gestin de Calidad
Qu es ISO 9001?
La norma reconocida internacionalmente en el
mbito de la Gestin de la Calidad es la ISO
9001, siendo su versin vigente la del ao 2008,
publicada en fecha 14/11/2008 por ISO, la cual
establece requisitos para la implementacin, el
mantenimiento y la mejora continua de un
sistema de gestin de la calidad.
Las exigencias de esta norma son genricas y se
aplican a todo tipo de organizaciones que
proveen
productos
y/o
servicios,
independientemente de su tamao y estructura
organizativa, de la orientacin de su negocio, de
los procesos que aplique y de sus objetivos
particulares.

sistema de gestin de la calidad pueda


implementarse
internamente
en
las
organizaciones, a fin de demostrar la capacidad
de tales organizaciones para cumplir con los
requisitos del cliente, los legales y reglamentarios
aplicables tanto al producto como a la
organizaciny proporcionar regularmente
productos y/o servicios acordes con dichos
requisitos, de forma tal, que acreciente la
satisfaccin de sus clientes
mediante
la
aplicacin eficaz de los procesos definidos, el
aseguramiento de la conformidad con los
requisitos establecidos y la mejora continua de
la eficacia del sistema adoptado.

Este referencial internacional puede ser utilizado


con propsitos de certificacin, en el caso de
organizaciones que requieran el reconocimiento
de su sistema de gestin de la calidad por
terceras partes, es decir, por entidades
independientes y externas, que brindan registro o
certificacin de conformidad de sus procesos de
acuerdo con los requisitos de la norma
implementada. Asimismo, esta norma puede ser
empleada
con
fines
contractuales
y/o
regulatorios.

La familia de normas ISO 9000 est compuesta


por las siguientes normativas vigentes:
ISO 9000:2005 - Sistemas de gestin de la
calidad Fundamentos y vocabulario.
ISO 9001:2008 - Sistemas de gestin de la
calidad Requisitos.
ISO 9004:2000- Sistemas de gestin de la
calidad Directrices para la mejora del
desempeo.
Todas estas normas fueron desarrolladas y son
revisadas sistemticamente por el Comit
Tcnico ISO/TC 176.
La norma ISO 9000 describe los fundamentos y
define la terminologa aplicada en estos sistemas
de gestin.
Las normas ISO 9001 e
ISO 9004 son
referenciales que se han sido diseados para

Esta norma especfica los requisitos para que un

complementarse entre s, pero que tambin,


pueden utilizarse de manera independiente.
La Norma ISO 9004 brinda orientacin que va
ms all de los requisitos definidos en ISO 9001,
contempla la mejora continua del desempeo
global, potenciando la eficacia y la eficiencia de
los procesos organizacionales, no es usada para
fines de certificacin, ni tampoco para propsitos
contractuales y/o regulatorios.
Esta familia constituye un conjunto coherente de
normas que facilitan la mutua comprensin en el
comercio nacional e internacional.

importante resaltar los resultados a las siguientes


preguntas, que ilustran la opinin de los
encuestados sobre ISO 9001:
1.
En qu medida el estndar ISO 9001:2000
satisface -en general- sus necesidades?

16 42

137

de registro, las cuales, pueden estar acreditadas


como competentes ante un cuerpo de
acreditacin nacional reconocido por el
International Acreeditation Forum (IAF), ambas
instituciones acordaron las siguientes medidas
para la migracin uniforme hacia la certificacin
acreditada de ISO 9001:2008:

Excelente
Bien

167

Sin comentarios/
No aplica
Requiere mejoras

14

No adecuado
No contesta

565

Fuente: ISO/TC 176/SC 2/N 705 15/02/2005

2.
Cules fueron los ms importantes
beneficios de aplicar ISO 9001:2000 en su
organizacin?
(En este aspecto, los usuarios identificaron una
amplia variedad de beneficios)

Evolucin de la familia ISO 9000

216
158

La familia de normas ISO 9000 fueron emitidas


segn la siguiente cronologa:
1987 Primera versin: incorpor el
concepto calidad definido por el destinatario del
bien y/o servicio, al cual se deseaba satisfacer
plenamente.

2008 Cuarta versin: abarc la enmienda a


la norma ISO 9001 para introducir cambios que
provean claridad, facilidad de uso, consistencia
dentro de la familia ISO 9000 y compatibilidad
con la norma ISO 14001:2004 Sistemas de
Gestin Ambiental - Requisitos con orientacin
para su uso y una revisin total de la norma ISO
9004 para conducir a un cambio de enfoque,
estructura y contenido del estndar, para
transformarlo en un referencial que brindar
orientacin para acompaar a las organizaciones
en la gestin del
xito sostenido; cuya
publicacin est prevista para Agosto/2009.
La cuarta revisin surge como resultado de una
encuesta dirigida a todos los usuarios globales,
que fue realizada por el Comit Tcnico ISO/TC
176/SC2 durante el ao 2004, para determinar el
grado de aceptacin de las normas ISO
9001:2000 e ISO 9004:2000. Dicha encuesta fue
respondida por 63 pases y la cantidad total de
respuestas
obtenidas
fueron
941,
representativas de una amplia variedad de
sectores; de la cual se obtiene que,
aproximadamente:
el 80% de los usuarios encuestados estaban
satisfechos con la norma ISO 9001:2000, y que,
el 50% de los usuarios encuestados estaban
satisfechos con la norma ISO 9004:2000.
Entre

diversos

aspectos

evaluados,

es

Mejor la comunicacin
con el cliente
Increment el compromiso
de la Direccin

150

352
446

Ms efectivas revisiones
por la Direccin
Uso efectivo de la
Informacin en negocios

434

509

1994 Segunda versin: esta revisin se


caracteriz por introducir cambios menores.
2000 Tercera
versin: tuvo cambios
estructurales para reflejar los modelos modernos
sistemas de gestin y requisitos para mejorar
continuamente el desempeo organizacional.

Mejor la satisfaccin del


cliente

481

Mejor el rendimiento de
proveedores
Mejor la comunicacin
con los proveedores
Otros

Fuente: ISO/TC 176/SC 2/N 705 15/02/2005

Impacto de la ISO 9001:2008


La nueva norma ISO 9001:2008 incluye
clarificaciones a los requisitos de la versin
anterior, no introduce requerimientos adicionales,
ni tampoco cambia el espritu del estndar, por lo
que se considera que tendr un impacto limitado
sobre los usuarios ante su implementacin.

La certificacin de conformidad con ISO


9001:2008 o con el estndar nacional
equivalente -publicado por organismo nacional
de normalizacin del pas de aplicacin-, podr
emitirse despus de la publicacin oficial de la
nueva versin por ISO -realizada en fecha
14/11/2008y durante las auditoras de
seguimiento o recertificacin para que las
empresas certificadas migren a la nueva versin.
Un ao despus de la publicacin de ISO
9001:2008, a partir del 14/11/2009, todas las
certificaciones
acreditadas
-nuevas
o
recertificaciones- debern ser realizadas segn
ISO 9001:2008.
24 meses despus de la publicacin de ISO
9001:2008 por ISO,
cualquier certificacin
emitida bajo versin 2000, no tendr validez, las
mismas caducarn el 13/11/2010.
De esto se deduce que, las certificaciones de
conformidad con ISO 9001:2000, se permitirn
hasta el 13/11/2009; luego a partir del
14/11/2009, slo se podr certificar o renovar
mediante la nueva versin.
Fuente: http://www.iso.org

Los usuarios de la versin anterior tendrn que


evaluar si las clarificaciones tienen impacto en
las interpretaciones realizada bajo la versin
2000 y ajustar el sistema de gestin de la
calidad, si es necesario.
Las empresas certificadas bajo la versin 2000
tendrn el mismo reconocimiento que las que
certifiquen la versin 2008.

Consideraciones para las empresas


certificadas
No obstante que, la certificacin no es un
requisito
del
estndar,
existen

aproximadamente- un milln de organizaciones


en el mundo -distribuidas en 170 pases- cuyos
sistemas de gestin de la calidad han sido
auditados y certificados por
entidades
independientes (terceras partes) bajo la norma
ISO 9001:2000.
Dado que ISO desarrolla y publica el estndar
ISO 9001, pero no realiza actividad de auditora
ni de certificacin, y que estos servicios son
prestados por organizaciones independientes de
ISO, es decir, por las entidades de certificacin o

Adriana Elena De Rose


Lic. en Sistemas Esp. en Ing. en Calidad
Consultora, Capacitadora y Auditora en Q-TI
http://www.linkedin.com

Con la Colabocin de;

http://www.officenet2.com

http://www.itsb.com.ar
Escuche el contenido de nuestro Newsletter
en Radio Blogs en Radio Nexo
www.radionexo.com.ar
Los mircoles a las 10:00 Hs; a las 14:00 Hs y
a las 20:00 Hs y los jueves a las 17:00 Hs

Editorial
Mayo 2009
El trabajo de Sistemas es una actividad
tcnica.
El trabajo de Sistemas es una actividad
humana.
Ante tales aseveraciones nos deberamos
preguntar que diferencia a una actividad
tcnica de una actividad humana.

Perspectivas
Informticas
perspectivasinformaticas@gmail.com

+54-11-4754-8884
Novedades del Sector de
Tecnologa de la Informacin

Al servicio de:

Una actividad tcnica se la puede definir


como de lgica precisa. El hombre desarrolla
tcnicas de naturaleza matemtica de forma
tal de garantizar la repetitividad de sus
creaciones.
Una actividad humana es aquella que debe
integrar y equilibrar las diferentes
necesidades, apetencias, valores y
preferencias humanas. Es un universo del tal
vez donde se debe afinar la capacidad de
negociacin en pos de logar un desarrollo
equilibrado para todos los involucrados.
http://www.radionexo.com.ar/

Participe de Nuestros Blogs en


www.perspectivasinformaticas.blogspot.co
m/

Solo la tcnica, no puede resolver los


problemas; y los problemas humanos, no
siempre tienen solucin, pues muchas veces,
los humanos no concuerdan una solucin.
Ante un desarrollo de sistema habr que
considerar que es lo que ha primado, si la
tcnica o la resolucin de problemas. Y si se
ha aplicado la resolucin de problemas habr
que preguntarse si se lo ha hecho con cordura,
de forma de beneficiar en lugar de perjudicar.

http://www.ccat.com.ar/

Nootech

Colaboradores de esta Edicin:


Pablo De Natale
Adriana Elena De Rose
Osvaldo A Prez

10