REFLEXIÓN

¿Que valor tiene la información para su corporación?

Es difícil ver a la información cómo algo valioso, ya que en los sistemas de cómputo es algo
intangible, algo que no podemos tocar cómo otros bienes. Asimismo, es difícil darle valor
monetario a un documento, a una base de datos de: clientes; nómina de personal; los estados
financieros; recursos materiales y; hasta los aspectos jurídicos corporativos.

Lo anterior, coadyuva a no vincular la información con valor, simplemente pensar de que se

trata de “papeles” o “archivos electrónicos”. Al no estar convencido del valor de la información,
es difícil emprender acciones para su protección “sí dichas acciones involucran un gasto”.

Nadie va a proteger un bien que no tiene valor o bien “su valor es insignificante”.

La Evaluación y Diagnóstico a las Áreas de Informática, permiten ahorrar tiempo y

dinero, interviene a que su empresa sea más inteligente, menos compleja y más segura,
fortaleciéndose en el ahora y preparándola para su crecimiento. Y no sólo nos ayuda a ahorrar
tiempo y dinero si no también a:

• Identificar áreas de oportunidad operativas. Utilizando la capacidad integral y sólida

de análisis de proceso de negocio, permite explorar y comunicar procesos de negocio
actuales e identificar las áreas de oportunidad operativas.
• Reducir costos y riesgos de TI. Documentando la infraestructura y mejorando los
procesos críticos de TI para dar un excelente cumplimiento de resultados.
• Mejorar la administración de proyectos. Deberán documentarse los planes de
proyectos para comprender mejor la información clave y ser comunicada de manera
más eficaz.
• Obtener valiosas perspectivas de negocio Vincular datos para visualizar y explorar
datos complejos y tomar mejores decisiones, siendo más eficientes.

Introducción

Las empresas hoy en día emprenden programas integrales de Tecnología de la Información,

cuyo objetivo es mejorar aspectos más relevantes de Seguridad y operación tales como la
arquitectura, esquema de operación, elementos de seguridad y los controles básicos de las
áreas de infraestructura, base de datos, redes y seguridad lógica.

Las tendencias de la informática de hoy y siempre buscan optimizar la operación de TI para

que contribuyan al otorgamiento de servicios eficientes y seguros, sobre una plataforma
tecnológica y organizacional estructurada mediante un proceso controlado y administrado sobre
lineamientos normativos y de calidad que integren grupos de trabajo capacitados y
comprometidos con la misión y visión de las Direcciones de Tecnología de Información de
impulsar la competitividad de negocio, resultan en alta complejidad y por tanto difíciles de
controlar, generando altos riesgos para la empresa.

Visión

Una manera de orientar el uso de la tecnología y lograr la eficiencia de las operaciones con
atributos inherentes de seguridad, diseñar los sistemas y servicios partiendo de una evaluación
de nuestras plataformas, sistemas, procesos y operaciones desde el enfoque de las
metodologías de control.
El valor de nuestra propuesta es que al evaluar los aspectos comentados, definir estrategias de
diseño de servicios y sistemas sustentados en un proceso que incorpore las metodologías de
control las cuales sustentan los atributos de: efectividad; confidencialidad; eficiencia;
disponibilidad; confiabilidad; cumplimiento e integridad.

Se realizan estas evaluaciones y diagnósticos mediante un esquema que consideran las

premisas descritas en los párrafos anteriores, y que para su mejor entendimiento se integran en
una tabla de análisis de vulnerabilidades, desagregada en 7 bloques, en este caso
considerados como activos de TI directamente relacionados con el modelo de objetivos de
control y con los requerimientos del sistema de administración de seguridad de la información
(ISO 27001:2007).

BLOQUES

• Equipo de cómputo
• Centro de cómputo
• Usuarios y Acceso a Datos
• Software de aplicaciones
• Software de Sistema Operativo
• Redes y telecomunicaciones
• PC´s y LAN´s
• Operaciones (producción)
• Internet (ecommerce)

Metodología

REQUERIMIENTO DE CALIDAD:
• Excelencia, Efectividad y Eficiencia de Operaciones, Confiabilidad de
la Información,
REQUERIMIENTOS DE SEGURIDAD:
• Confidencialidad, Integridad y Disponibilidad.
ENTREGABLES:

• Documento Maestro
• parte integral de los entregables que son la base para soportar el
diseño de la arquitectura del ambiente de servicios de los sistemas de
aplicación.
– Evaluación y diagnóstico
– Matriz de análisis de vulnerabilidades y riesgos de requerimientos de
seguridad y de calidad TI en general
– Estructurar proyectos prioritarios (mediante cédulas).
– Arquitectura de plataforma propuesta.
– Plan general de implementación de proyectos.

Definición del Proyecto

Marco conceptual de la evaluación. En el entorno actual de globalización, alta competencia

en los mercados, crecimiento y cambios acelerados de tecnología, diferentes y novedosos
esquemas de interconectividad, entre otros factores, hacen que los antiguos conceptos de
servicios, calidad y seguridad se vean ampliamente rebasados, e inclusive, aparecen nuevos
riesgos derivados del uso de la tecnología de la información con mayor rapidez que antes.

En algunos de los casos se aplican aspectos del ESTANDAR ISO 27001:2007 que nos
permiten visualizar los servicios, integrando la seguridad y la calidad como un atributo de todos
los elementos de TI que componen dichos servicios, sin ser exhaustivos, nos dan una visión
mas amplia y clara de los componentes mas críticos y como se pueden abordar los proyectos
de integración de servicios seguros.
Se definen los objetivos y alcances. El objetivo general es la implementación de tecnología,
entrega y soporte de servicios, y el monitoreo y control del ó los sistemas, considerando los
atributos de calidad y seguridad de los servicios.

Para propósitos del proyecto de Evaluación y Diagnóstico, entenderemos como calidad y

seguridad informática lo descrito a continuación:

• Seguridad informática, es la protección de los sistemas de información (datos,

aplicaciones, activos), así como lo relacionado con su captación, almacenamiento,
proceso, distribución y uso.

• Calidad de los servicios, es la entrega en tiempo y forma los servicios

requeridos por las áreas de negocio, mediante sistemas de información.

Recolección
de datos
Empresa Propuesta

Afinación

Recolección de Datos

Entrevistas

I. Se realizan entrevistas dirigidas de acuerdo a las funciones y responsabilidades de los

ejecutivos de área relacionados con el ambiente de sistemas informáticos.

Entrevistas Dirección

Modelo de Procesamiento
Gestión

Gestión de Esquema
Servicios Operativo

II. Se realizan entrevistas dirigidas a nivel de Dirección de Tecnología de Información para

determinar el alineamiento con los responsables de las operaciones y el enfoque
principal de Sistemas en la Organización.
 III. Se realizan entrevistas dirigidas a proveedores de redes y sistemas de la Dirección de
Tecnología de Información.

IV. Observación y documentación. Se observa y documenta la operación que realizan las

diferentes áreas de la Dirección de Tecnología de Información para apoyar las
entrevistas y conocer el flujo operativo.

La última de las tareas es especialmente importante en la evaluación ya que un alto porcentaje

de los riesgos de seguridad, 80 – 90% de acuerdo a los estudios, son inherentes al propio
personal en el desempeño de sus funciones, aun cuando el personal no perciba sus acciones y
las de los proveedores como un riesgo.

Procesamiento
Se observa el entorno operativo y el desempeño de las personas involucradas en las tareas
informáticas cotidianas: personal interno, externo y proveedores, para detectar posibles
riesgos.

La información obtenida con las entrevistas dirigidas, así como las observaciones del personal
participante se analiza de acuerdo a los bloques relacionados en la tabla de análisis de
vulnerabilidades.

El análisis de la información genera los siguientes resultados de la evaluación justificando

ejecución de proyectos prioritarios y generación de procesos que procuren la seguridad y
calidad de los servicios.

• Proyectos. Basados en los resultados de la evaluación se generan

cédulas de proyectos específicos tendientes a proponer aspectos de
mejora y corrección del proceso procurando incluir atributos de calidad y
seguridad de la información:

• Breve análisis de la Organización. Como complemento a las

observaciones y como resultado del análisis se tiene un panorama general
de los procesos y funciones que pueden ser reforzados o implementados, y
que pueden ser utilizados como elementos de apoyo para los planes
normativos y administrativos a corto y mediano plazo, e incluso pueden
formar parte de un plan estratégico de la Dirección de Tecnología de
Información.

Análisis

Validación

Codificación

Modelaje y
descubrimientos
Evaluación y
Diagnóstico
Modelaje y descubrimientos
En la documentación del proyecto, también se consideran las tendencias de como los
responsables e integrantes de la Dirección de Tecnología de Información observan sus propias
áreas respecto a la organización y a sus áreas de oportunidad o mejora.

El análisis y diagnóstico se divide en secciones y disciplinas. Por cada sección se presenta un

resumen ejecutivo del cual se derivan los proyectos, fichas operativas, análisis detallados de
plataforma, aspectos de documentación, normatividad, así como el resumen organizacional.
• Organización y administración del flujo operativo
• Metodología de Desarrollo de Sistemas
• Modelo de Gestión
• Normalización de Servicios
• Seguridad de la Plataforma y Sistemas

Interpretación Modelaje

Documento
Maestro

Empresa