Unidad 7 - Inteligencia de Negocios y Seguridad Informática

TECNICATURA UNIVERSITARIA
EN ADMINISTRACIÓN
UNIDAD 7
INTELIGENCIA DE NEGOCIOS Y
SEGURIDAD INFORMÁTICA
p. 1
Centro de e-Learning SCEU UTN - BA.
Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
UNIDAD 7
PRESENTACIÓN
En esta Unidad retomaremos algunos conceptos vistos anteriormente con el fin de profundizar
sobre ellos y darle contexto a una actividad que se encuentra en pleno crecimiento en el mundo
de los servicios de tecnología en las grandes organizaciones: la Inteligencia de negocios y la
minería de datos.
Así mismo, prestaremos algunos aspectos a veces no suficientemente difundidos como lo son la
seguridad informática y aspectos éticos y morales relacionados al uso responsable de las
tecnologías.
OBJETIVOS
QUE LOS PARTICIPANTES LOGREN:
• Incorporar los aspectos centrales de la Inteligencia de negocios
• Incorporar los aspectos centrales de la minería de datos
• Comprendan las principales amenazas de seguridad de la información con las cuales lidiar a
diario
TEMARIO
• 1. Inteligencia de negocios (Business Intelligence)
o 1.1 Data Warehouse
o 1.2 Objetivos y características de un data warehouse
o 1.3 Data mart
o 1.4 Estructura de un data warehouse
p. 2
o 1.5 Métodos de análisis para la toma de decisiones
o 1.6 Datamining (minería de datos)
o 1.7 Herramientas de visualización
o 1.8 Herramientas de extracción y carga de datos
o 1.9 Motivaciones y beneficios de los DWH
o 1.10 Sistemas transaccionales (OLTP) vs. Sistemas analíticos (OLAP)
o 1.11 Implementación de un sistema BI
• 2. Aspectos centrales de la seguridad informática
o 2.1 Software malicioso: virus, gusanos, caballos de Troya y spyware
o 2.1 Hackers y cibervandalismo
o 2.2 Amenazas internas: empleados
o 2.3 Establecimiento de una estructura para la seguridad y el control
• 3. Comprensión de los aspectos éticos y sociales relacionados con los sistemas
o 3.1 La ética en una sociedad de información
BIBLIOGRAFÍA RECOMENDADA
COMPLEMENTARIA
Saroka, Raúl Horacio. "Sistemas de información en la era digital". Fundación OSDE, Argentina
(2002)
p. 3
1. Inteligencia de negocios (Business Intelligence)
En esta Unidad retomaremos algunos conceptos vistos anteriormente, con la intensión de
ampliarlos y enfocarlos desde el punto de vista de la inteligencia de negocios, ya sea conceptos de
base de datos, almacenes de datos (data marts), data warehouse, ESS, sistema de soporte a
decisiones ejecutivas, entre otros. Pero antes de iniciar, repasar y ampliar de conceptos, es
importante definir el término de Inteligencia de negocios, siendo la traducción de Business
Intelligence (BI): entendemos por BI como un proceso centrado en el usuario que permite explorar
datos, relaciones entre datos y tendencias, permitiendo mejorar la toma de decisiones. Esto
incluye un proceso interactivo de acceso a los datos y el análisis de los mismos para obtener
conclusiones.
Muchos de los conceptos utilizados en BI no son nuevos, pero han evolucionado y han sido
refinados en base a las experiencias a lo largo del tiempo. Hoy en día, es vital que las empresas
provean un acceso rápido y efectivo a la información de negocios a muchos usuarios para
sobrevivir. Para ello, la solución es un sistema BI, que ofrece un conjunto de tecnologías y
productos para hacer llegar a los usuarios la información que necesitan para tomar decisiones de
negocios, tácticas y estratégicas.
1.1 Data Warehouse

Como se mencionó anteriormente, un data warehouse es un repositorio de información extraída
de otros sistemas de la compañía (ya sean los sistemas transaccionales, las bases de datos
departamentales, la Intranet, o bases de datos externas, tales como datos macroeconómicos,
indicadores del mercado, etc.) y que es accesible a los usuarios de negocios.
Los datos que conforman un data warehouse tienen algunas características particulares: están
orientados al tema, son integrados, no volátiles e historiados, y están organizados para el apoyo
de un proceso de ayuda a la decisión.
Antes de cargarse en el data warehouse, los datos deben extraerse, depurarse y prepararse. Estas
fases de alimentación son generalmente muy complejas. Una vez integrada, la información debe
presentarse de manera comprensible para el usuario.
p. 4
El objetivo principal de un data warehouse es lograr recomponer los datos disponibles para
obtener una visión integrada y transversal las distintas funciones de la empresa, una visión de
negocio a través de distintos ejes de análisis y una visión agregada o detallada, adaptada a las
necesidades. Una vez construido, el data warehouse debe evolucionar en función de las peticiones
de los usuarios o de los nuevos objetivos de la empresa.
El data warehouse es por lo general, pero no necesariamente, una plataforma separada de las
demás computadoras. Un data warehouse se construye duplicando los datos que existen en algún
otro lugar. Esto tiene algunas ventajas, entre ellas, no se utilizan los recursos de los sistemas
transaccionales para realizar las consultas, y como consecuencia no se recargan dichos sistemas.
Por otro lado, se obtiene mayor seguridad debido a que los datos de los sistemas de la compañía
no pueden ser alterados con consultas realizadas por los usuarios.
1.2 Objetivos y características de un data warehouse

Los objetivos más importantes de un data warehouse (DWH) son:
• Proveer una única visión de la información a través de toda la compañía.

• Proveer la mayor cantidad de información a la mayor cantidad de personas dentro de la
organización.
• Mejorar el tiempo de emisión de algunos informes.
• Mejorar la capacidad de respuesta a las cuestiones del negocio.
• Mejorar la productividad.
Los datos de un data warehouse tienen algunas características particulares, tal como hemos
mencionado anteriormente: están orientados al tema y son integrados, historiados y no volátiles.
Veamos estos aspectos en detalle.
Orientación al tema
El data warehouse se organiza alrededor de los temas principales de la empresa. Así, los datos se
estructuran por temas, contrariamente a los datos de los sistemas transaccionales, organizados
generalmente por proceso funcional. El interés de esta estructuración particular de los datos es
disponer de todas las informaciones útiles sobre un tema normalmente transversal a las
p. 5
estructuras funcionales y organizativas de la empresa. En la práctica, puede crearse la estructura
suplementaria llamada data mart (almacén de datos) para apoyar la orientación al tema, como
vimos en Unidades anteriores.
Datos integrados
Para llegar a obtener un punto de vista único y transversal, los datos deben estar integrados. La
consolidación de todas las informaciones respecto de un cliente dado es necesaria para dar una
visión homogénea de dicho cliente, por dar un ejemplo. Antes de estar integrados en el data
warehouse, los datos deben formatearse y unificarse para llegar a un estado coherente. Un dato
debe tener una descripción y una codificación únicas.
En la realidad de los proyectos, la etapa de integración es muy compleja, larga y pesada, y

presenta a menudo diversos problemas con respecto a los datos a integrar. En la práctica,
representa un alto porcentaje de la carga total de un proyecto.
Datos historiados
Los sistemas transaccionales raramente conservan el historial de los valores de los datos. El DWH
almacena el historial, es decir, el conjunto de valores que los datos habrán tenido en su historia.
Datos no volátiles
La no volatilidad es en cierto modo una consecuencia de la historialización. Una misma consulta

efectuada en un DWH con tres meses de intervalo, precisando naturalmente la fecha de referencia
de la información buscada, dará el mismo resultado. En un sistema transaccional, la información
es volátil, el dato se actualiza regularmente. Las consultas afectan los datos actuales y es difícil
recuperar un resultado antiguo.
1.3 Data mart

El concepto de data mart (DM) ha sufrido cambios a lo largo del tiempo. En sus comienzos, se
denominaba así a una parte de un DWH. Hoy en día, un DM se refiere a un repositorio de datos
menos ambicioso que un DWH. Los términos DWH y DM se utilizan muchas veces indistintamente,
aunque en general se considera que un DWH abarca a toda la compañía, mientras que un data DM
solo una parte de ella, es decir, está referido a un área o tema de la organización. Su construcción
p. 6
requiere mucho menos tiempo y costo que la construcción de un DWH, debido a que su
complejidad es baja o mediana.
La estructura de un DM puede variar según su utilidad. Y puede ser dependiente (nutrirse) o

independiente del DWN.
Un DM dependiente se conecta al DWH y realiza una determinada función utilizando un

subconjunto de los datos del DWH de la empresa. En este caso, el DWH es la fuente de datos del
DM. El DM independiente es un sistema que puede tomar datos de los sistemas transaccionales,
como los DWH, pero también puede ser cargado manualmente.
En este texto, nos referiremos al DM como un concepto equivalente al de DWH
1.4 Estructura de un data warehouse

Un DWH se estructura en cuatro clases de datos, organizadas según un eje histórico y un eje
sintético.
Datos detallados
Las inserciones regulares de datos surgidos de los sistemas de producción habitualmente se

realizarán en este nivel. Aunque no hay que generalizar, los datos detallados pueden ser muy
voluminosos y necesitar máquinas sofisticadas para gestionarlos y tratarlos. El nivel de detalle
almacenado en el DWH no es forzosamente idéntico al nivel de detalle gestionado en los sistemas
transaccionales. El dato insertado en el DWH puede ser una agregación o una simplificación de
informaciones sacadas del sistema transaccional.
Datos comprimidos
Los datos comprimidos se utilizan a menudo y constituyen un resultado de análisis y una síntesis
de la información contenida en el sistema de decisión. Por eso deben ser fácilmente accesibles y
comprensibles. La facilidad de acceso viene dada por estructuras multidimensionales que
permiten a los usuarios navegar por los datos según la lógica más intuitiva. El rendimiento
vinculado al acceso de estos niveles debe ser también óptimo.
Datos históricos
p. 7
Uno de los objetivos del DWH es conservar en línea los datos históricos. El soporte de
almacenamiento de los datos historiados depende del volumen de éstos, de la frecuencia de
acceso, del tipo de acceso y del costo de los soportes.
Metadatos
Los metadatos proveen definiciones acerca de los datos almacenados en un DWH como, por
ejemplo, la fuente de los datos, la forma en que éstos han sido transformados desde los sistemas
de origen, las reglas utilizadas en la sumarización y agregación, el significado de la interpretación
apropiada, si el significado del dato ha cambiado en el tiempo, o los caminos para navegar a través
de los datos en el data warehouse.
Los metadatos permiten tener definiciones de los datos y facilitan a los usuarios saber si lo que
buscan realmente existe y en qué lugar pueden encontrarlo, informando qué base de datos y qué
tabla deben consultar.
Existen diferentes tipos de metadatos:
• Metadatos del negocio: conocidos como metadatos para el usuario final. Describen datos
específicos del negocio y pueden también incluir sinónimos, restricciones de acceso a
datos, reglas de negocios, etc.
• Metadatos de la base de datos: definen los términos utilizados en la base de datos, en
particular los nombres de los objetos (bases de datos, tablas, columnas, etc.).
• Metadatos de aplicaciones: explican términos y funciones en una aplicación, por ejemplo,
nombres de informes.
Los metadatos también muestran la manera en que un data warehouse evoluciona como soporte
de los procesos de negocios.
1.5 Métodos de análisis para la toma de decisiones

Como mencionamos anteriormente, el objetivo principal de un DWH es proveer información para
la toma de decisiones.
Existen varias categorías de análisis de soporte a la decisión.
p. 8
Estas categorías sugieren un enfoque evolutivo para construir y utilizar un DWH:
• Consultas estándar
• Análisis multidimensional
• Modelización y segmentación
• Descubrimiento del conocimiento
La siguiente pirámide representa una evolución hacia el análisis para la toma de decisiones. A
medida que los métodos de análisis crecen y evolucionan, también lo hacen el hardware, software
y datos del DWH. Una compañía adquiere más valor del DWH a medida que evoluciona en
tecnología y en la capacidad de sus usuarios a lo largo del tiempo.
Descubrimiento del conocimiento No hay hipótesis
Modelización y segmentación Hipótesis leve
Hipótesis moderada
Análisis multidimensional
Fuerte hipótesis
Consultas estándar
Complejidad
Consultas estándar
Estas consultas son más utilizadas que los otros tres métodos de análisis por las personas de
negocios. Las consultas, en general, están predefinidas: mientras que los datos pueden ir variando
día a día, las consultas estándar no pueden ser redefinidas cada vez que se utilizan.
Análisis multidimensional
El análisis multidimensional provee diferentes perspectivas de los datos a través de las diferentes
dimensiones. Ejemplos de dimensiones pueden ser: tiempo, ubicación, producto.
p. 9
En general, los usuarios observan la información por alguna de las dimensiones, por ejemplo “ver
todos los clientes nuevos por región”. Esta dimensión es geográfica, y el usuario puede solicitar
detalles adicionales una vez realizada la consulta. Por ejemplo, “ver todos los clientes nuevos por
distrito”.
Las herramientas utilizadas para el análisis multidimensional son muchas veces las mismas que se
utilizan para las consultas estándar. La diferencia es que mientras las consultas estándar
recuperan grandes cantidades de datos cruzados, el análisis multidimensional permite ver los
mismos datos en forma diferente.
Modelización y segmentación
Utilizando datos existentes en el DWH, en especial los datos históricos, se pueden realizar
diferentes análisis para predecir eventos futuros. El trabajo predictivo puede realizarse utilizando
determinadas herramientas de análisis que extraen datos del DWH, llamadas modelos. Un modelo
es simplemente una colección de patrones para una característica dada, y puede ser representado
gráficamente o mediante un conjunto de reglas y notaciones.
Por otra parte, los clientes u otros datos son divididos en segmentos, en los cuales las
características en común pueden definir comportamientos que permiten definir estrategias de
marketing.
El método de modelización y segmentación es una de las técnicas utilizadas en lo que se conoce

como data mining (minería de datos), que se veremos más adelante.
Descubrimiento del conocimiento
El descubrimiento del conocimiento está representado por un número de algoritmos que buscan
patrones en una base de datos.
Estos patrones, a diferencia de la modelización, no son especificados de antemano, y reflejan el

comportamiento de clientes, ventas de productos, cancelaciones, compras futuras, y otros
eventos. Estos patrones son muy específicos y arbitrarios para ser definidos por el analista, según
las necesidades del negocio. Las herramientas de software encuentran los patrones e informan a
los analistas cuáles son esos patrones y dónde están.
Uno de los métodos de descubrimiento del conocimiento es el análisis de afinidad, que busca en el
DWH afinidad entre diferentes comportamientos. Una compañía puede encontrar relaciones entre
la compra de diferentes productos; por ejemplo, si se determina que, de los clientes que compran
papas fritas, el 80% compra también gaseosas, la compañía puede tomar decisiones para
p. 10
aprovechar este comportamiento, como hacer descuentos u ofrecer promociones con ambos
productos.
El método de descubrimiento del conocimiento es otra de las técnicas utilizadas en data mining,
concepto que se explica a continuación.
1.6 Data mining (minería de datos)

Data mining no es un tipo de análisis, sino una variedad de tipos de análisis, y abarca los tipos de
modelización/segmentación y descubrimiento del conocimiento, mencionados anteriormente.
El objetivo del data mining es descubrir relaciones entre los datos que no hubieran sido hallados
sin la aplicación de procedimientos especializados.
El data mining integra las herramientas de visualización de datos, y las correspondientes a

estadísticas y clasificación. Es un conjunto de tecnologías avanzadas, susceptibles de analizar la
información de un DWH para obtener tendencias, para segmentar la información o para encontrar
correlaciones en los datos.
Desde un punto de vista orientado al proceso, existen tres tipos de data mining:
• Descubrimiento: es el proceso en el cual se buscan patrones ocultos en una base de datos

sin una idea predeterminada, o hipótesis acerca de cuáles pueden ser esos patrones.
En otras palabras, el programa busca cuáles son los patrones interesantes, sin requerir que
el usuario realice las preguntas. En grandes bases de datos, la cantidad de patrones es tan
extensa que los usuarios no pueden descubrirlos todos.
• Modelado predictivo: los patrones descubiertos en la base de datos son utilizados para
predecir el futuro. El modelado predictivo permite a los usuarios realizar preguntas, y el
sistema responderá sobre la base de patrones encontrados anteriormente para esos
valores desconocidos.
Mientras que el descubrimiento descripto anteriormente se encarga de encontrar patrones
en los datos, el modelado predictivo aplica los patrones para determinar valores probables.
p. 11
• Análisis forense: es el proceso mediante el cual se aplican patrones extraídos para
encontrar datos inusuales o anomalías.
Para ellos, primero se debe descubrir cuál es la norma, y luego detectar aquellos datos que
se desvían de la misma.
Los métodos usados en data mining incluyen:
• Estadística.
• Árboles de decisión: son estructuras en forma de árbol que representan un conjunto de
decisiones. Estas decisiones generan reglas para la clasificación de un conjunto de datos.
• Algoritmos genéticos: son técnicas de optimización que utilizan procesos tales como
combinaciones genéticas, mutación y selección natural de un diseño basado en evolución.
• Redes neuronales: son modelos de predicción no lineales que aprenden a través del
entrenamiento y semejan la estructura de una red neuronal biológica.
• Lógica difusa: es un subconjunto de la lógica convencional, que ha sido extendida para
manejar el concepto de la verdad parcial.
1.7 Herramientas de visualización

Los DWH proveen herramientas para la visualización y presentación de los datos, basadas en una
interfaz gráfica y con posibilidad de construir informes ajustados a las necesidades del nivel
superior. Además, proveen mecanismos que permiten navegar a través de la información,
cambiando el nivel de detalle o el punto de vista del observador para detectar diferentes
relaciones entre los datos. Estos mecanismos se describen a continuación:
• Drill down/drill up: son mecanismos que permiten desplazarse por una estructura
multidimensional, yendo de lo global hacia el detalle (drilldown) o viceversa (drill up).
A menudo los usuarios utilizan esta lógica de acceso a los datos, comenzando por los
niveles más agregados y luego por profundizaciones sucesivas (drilldown). Por ejemplo, si
se visualizan las diferentes marcas de productos para determinar si alguna de ellas
p. 12
presenta una disminución en las ventas, y una de ellas presenta una disminución
importante, el usuario puede observar con mayor detalle los productos que conforman esa
marca o a las ventas de esa marca por región. Este mecanismo por el cual se accede a
mayor nivel de detalle se denomina drill-down. Si desde ese nivel de detalle se desea
volver a la información por marca, subiendo hacia los niveles agregados, estamos ante el
drill-up.
Esta lógica de zoom corresponde a las necesidades del usuario de obtener datos cada vez
más precisos. Se accede también directamente a los datos detallados e historiados, lo que
lleva generalmente a agregados de datos muy pesados que necesitan, según los
volúmenes, la potencia de máquinas muy avanzadas.
• Drill across: es un mecanismo que permite desplazarse por una estructura
multidimensional a través de diferentes datos. Suponiendo que el sistema brinda
información acerca de los 10 productos más vendidos en el último mes (por ejemplo), el
mecanismo drill across permitirá al usuario acceder, por ejemplo, a los locales que han
contribuido a la venta de esos 10 productos.
• Slice and dice: es un mecanismo que permite cambiar el punto de vista del usuario para
analizar la información.
Mediante la rotación de un conjunto de datos, se cambia la visualización de los mismos.
Por ejemplo, el siguiente cubo es un modelo de datos multidimensional que contiene
información sobre la venta de productos en diferentes sucursales, actual y proyectada.
Los datos siempre son los mismos, pero la forma de observarlos cambia, lo cual permite al
observador encontrar diferentes relaciones entre ellos, como por ejemplo: ¿qué producto es el
que se vende en mayor cantidad?, ¿qué local vende más unidades de un determinado producto?,
etc.
1.8 Herramientas de extracción y carga de datos
p. 13
La extracción y carga de datos en el DWH es una tarea muy complicada. Pero en realidad, el
trabajo más complejo es el que debe realizarse para transformar los datos en información que
pueda ser consultada por los usuarios de negocios. Las herramientas ETL (Extraction,
Transformation, Loading), que significa extracción, transformación y carga, permiten recolectar
datos de un lugar y colocarlos en otro, y además permiten realizar las siguientes operaciones:
• Recolectar datos de diferentes sistemas transaccionales.

• Convertir los datos desde un formato a otro.
• Modificar los datos para que sean más completos o significativos.
• Cargar los datos modificados en el DWH.
Las tecnologías ETL han evolucionado a lo largo de los años y se han vuelto fáciles de utilizar. La
mayoría de ellas están basadas en interfaces de usuario amigables, y pueden también generar
metadatos creando definiciones de los datos de origen y de los que se deberán introducir en el
data warehouse.
Extracción
Se extraen los datos de su fuente original para determinar los temas (conceptos lógicos) que se
deben crear y cargar en el data warehouse.
Transformación
En el proceso de transformación se convierten los datos de las transacciones en un formato

consistente y orientado a los negocios.
También se genera la información que no proviene de los sistemas transaccionales, pero que
podría ser útil en la toma de decisiones.
La transformación incluye tareas de sumarización, agregación, ordenamiento y agrupamiento de

los datos por dimensiones y palabras clave.
Carga
La carga consiste en integrar las herramientas necesarias para cargar la información en el DWH. A
diferencia de los sistemas transaccionales, un data warehouse no cambia su estado de un
momento a otro, sino que se carga periódicamente con una frecuencia programada.
p. 14
1.9 Motivaciones y beneficios de los DWH
Los DWH proveen una serie de beneficios a las empresas. Algunos de ellos son:
• Los datos de toda la compañía no solo son difíciles de encontrar en algunos casos, sino
también imposibles de entender, y en muchos otros son erróneos. El DWH provee una
única plataforma para cargar estos datos heterogéneos. Además proporciona un pretexto
para la limpieza de esos datos, es decir, para chequear la calidad y la precisión de los
mismos, antes de ser cargados en el DWH.
• Para proteger los sistemas operacionales críticos, la mayoría de las compañías limitan el
acceso a los datos solo a los expertos. Cuando se solicita información de estos sistemas, los
expertos brindan la información a quienes la solicitan en lugar de a toda la compañía. Los
DWH ofrecen un entorno más accesible para aquellos que requieren de información
frecuentemente.
• Los ejecutivos necesitan cada vez más acceder a la información sobre los negocios rápida y
eficientemente.
• Permiten realizar una mejor atención al cliente, creando una mayor lealtad del mismo
hacia la empresa.
• Facilitan el manejo de datos verdaderos, evitando los números conflictivos o múltiples
respuestas a la misma pregunta. Esto es posible mediante la consolidación de datos
heterogéneos.
Los DWH comenzaron como una solución a problemas de tecnología. Luego se transformaron en
una ventaja competitiva. Para la gente de negocios, esto significa que tienen mucha más
información que antes en mucho menos tiempo, y la posibilidad de la toma de decisiones es solo
la punta del iceberg. Los DWH resultan útiles en el mejoramiento de los procesos, aportando más
rapidez en el mercado, más lealtad de los clientes, e incluso la posibilidad de predecir tendencias
futuras y patrones.
p. 15
1.10 Sistemas transaccionales (OLTP) vs. Sistemas
analíticos (OLAP)
Los sistemas de información transaccionales (OLTP: On Line Transaction Processing) o,
simplemente, Sistemas Transaccionales, realizan operaciones repetitivas y relativamente sencillas,
y contribuyen a automatizar las tareas más rutinarias y tediosas. Estos sistemas acumulan gran
cantidad de información que no es explotada en su totalidad, debido a que existen escasas
posibilidades de realizar consultas (queries), y tienen una limitada información histórica. La
información proveniente de los sistemas transaccionales debe ser procesada, y para ello se utilizan
los sistemas analíticos (OLAP: On Line Analytical Processing), como se mencionó en Unidades
anteriores.
Las diferencias más importantes entre los sistemas OLTP y OLAP son:
• A diferencia de los sistemas transaccionales (OLTP) que están orientados a los procesos, los
sistemas analíticos (OLAP) están orientados al tema y tienen un alcance corporativo.
• Los sistemas analíticos no solo trabajan con datos actuales, sino también históricos.
• Los sistemas analíticos no se actualizan con cada transacción en el nivel operativo, sino que
lo hacen periódicamente, y son utilizados por analistas y en el nivel gerencial.
• Los sistemas transaccionales tienen una estructura bidimensional, mientras que los
analíticos tienen una estructura multidimensional.
• El tiempo de respuesta en un sistema transaccional es crítico, mientras que en un sistema
analítico, cuya función es la de proveer información para análisis, no lo es.
1.11 Implementación de un sistema BI

Implementar un sistema BI no significa solamente comprar un producto e instalarlo. Requiere que
se lleve a cabo un proyecto de desarrollo que involucre tareas de consultoría para establecer los
mecanismos de conversión de datos e implementación. La tecnología por sí sola no resuelve el
problema, es solo una herramienta que debe ser aprovechada correctamente para lograr óptimos
resultados.
p. 16
La instalación de un DWH no asegura que se proveerá a los usuarios de las herramientas
adecuadas y la información que necesitan. Eso es solo el comienzo. A menos que la información en
el DWH sea cuidadosamente documentada y fácil de acceder, la complejidad hará que solo las
personas capacitadas en sistemas puedan acceder a la misma. Los sistemas BI deben proveer
información tanto a las personas de sistemas como a los usuarios de negocios. Para ello, cuentan
con interfaces avanzadas, sistemas OLAP basados en formatos web, herramientas de minería de
datos y aplicaciones que permitan aprovechar estas herramientas. Un sistema BI debe proveer
escalabilidad y debe soportar e integrar productos de varios proveedores.
Los expertos coinciden en que el éxito de un data warehouse depende de que se comience con
una identificación de los requerimientos del negocio. Estos requerimientos son los que
determinarán el diseño del data warehouse y los datos que serán necesarios.
p. 17
2. Aspectos centrales de la seguridad informática
2.1 Software malicioso: virus, gusanos, caballos de Troya y

spyware
Los programas de software malicioso se conocen como malware e incluyen una diversidad de
amenazas, como virus de computadora gusanos y caballos de Troya. Un virus de computadora es
un programa de software malintencionado al que se adjunta a sí mismo a otros programas de
software o archivos de datos con el propósito de ejecutarse, por lo general, sin conocimiento o
permiso del usuario. La mayoría de los virus de computadora transmiten una "carga útil". Ésta
podría ser relativamente benigna, como las instrucciones para desplegar un mensajero o una
imagen, o podría ser sumamente destructiva, como destruir programas o datos, congestionar la
memoria de la computadora, reformatear el disco duro de una computadora u ocasionar que los
programas funcionen de manera errática. Por lo general, los virus se esparcen de computadora a
computadora cuando los usuarios realizan una acción, como enviar un archivo adjunto en un
correo electrónico o copiar un archivo infectado.
La mayor parte de los ataques recientes han provenido de gusanos, que son programas de
computadora independientes que se copian a sí mismos de una computadora a otras en una red.
A diferencia de los virus, los gusanos funcionan por sí mismos sin adjuntarse a otros archivos de
programas de computadora y dependen menos de los actos humanos para esparcirse de una
computadora a otra. Esto explica por qué los gusanos de computadora se esparcen con mucha
mayor rapidez que los virus de computadora. Los gusanos destruyen datos y programas, así como
alteran o incluso detienen el funcionamiento de las redes de computadoras.
Con frecuencia, los gusanos y los virus se esparcen a través de Internet desde archivos de software
descargado, desde archivos adjuntos a transmisiones de correo electrónico o desde mensajes
comprometidos de correo electrónico o mensajería instantánea. Los virus también han invadido
sistemas de información computarizados a partir de discos "infectados" o computadoras
infectadas. Actualmente, los gusanos de correo electrónico son los que dan más problemas.
Ahora, los virus y los gusanos se están esparciendo a los dispositivos de computación inalámbricos,
como los teléfonos inteligentes. Por ejemplo, hubo un caso emblemático (por ser uno de los
primeros en masificarse): el gusano Cabir, que apareció a principios de 2005, se dirigía a
p. 18
dispositivos móviles que ejecutan el popular sistema operativo móvil (en ese momento) Symbian y
se esparcía a través de redes inalámbricas Bluetooth. Cabir buscaba continuamente otros
dispositivos Bluetooth y con el tiempo descarga la batería de un dispositivo.
Los virus de dispositivos móviles plantean serías amenazas a la computación empresarial porque
en la actualidad hay muchos dispositivos inalámbricos enlazados a sistemas de información
corporativos.
Durante la década pasada, los gusanos y los virus han ocasionado miles de millones de dólares de
daños a redes corporativas, sistemas de correo electrónico y datos.
Un caballo de Troya es un programa de software que aparenta ser benigno pero que hace algo
distinto a lo esperado. El caballo de Troya no es en sí mismo un virus porque no se replica pero con
frecuencia constituye una manera para que los virus y otro código malicioso sean introducidos en
un sistema de cómputo. El término caballo de Troya se deriva del enorme caballo de madera que
utilizaron los griegos para engañar a los troyanos con el fin de que abrieran las puertas de su
ciudad fortificada durante la guerra de Troya. Una vez que estuvieron dentro de las murallas de la
ciudad los soldados griegos ocultos en el caballo salieron de éste y capturaron la ciudad.
Un ejemplo de un moderno caballo de Troya es DSNX-05. Fue liberado por un mensaje de correo
electrónico falso que aparentaba provenir de Microsoft y dirigía a los receptores a visitar un sitio
Web diseñado con la apariencia de la página de Microsoft Windows Update. El sitio Web
descargaba e instalaba código malicioso en la computadora controlada por el hacker. Una vez que
este caballo de Troya estaba instalado, los hackers podían acceder a la computadora remotamente
sin ser detectados y utilizarla para sus propios propósitos.
Algunos tipos de spyware también actúan como software malicioso. Estos pequeños programas se
instalan ocultamente a sí mismos en las computadoras para vigilar las actividades de navegación
del usuario en la Web y presentar publicidad.
Se han documentado miles de formas de spyware. Harris Interactive encontró que 92 por ciento
de las empresas encuestadas en su estudio Web@Work informaron haber detectado spyware en
sus redes.
El spyware no sólo es molesto. Ofrece a los extraños la posibilidad de invadir su privacidad y robar
su identidad personal, incluyendo códigos PIN, inicios de sesión e información de su cuenta. Los
registradores de claves registran cada tecleo ingresado en una computadora para robar números
seriales de software, para lanzar ataques por Internet, obtener acceso a cuentas de correo,
obtener contraseñas a sistemas de cómputo protegidos o para recopilar información personal
p. 19
como números de tarjetas de crédito. Otros programas de spyware cambian las páginas de inicio
del navegador Web, redirigen solicitudes de búsqueda o disminuyen el desempeño de la
computadora al apoderarse de mucha memoria.
Nombre Tipo Descripción
Sasser.ftp Gusano Apareció en mayo de 2004. Se esparce a través de Internet atacando

direcciones IP al azar. Ocasiona que las computadoras se colapsen y se
reinicien continuamente, y que las computadoras infectadas busquen
más víctimas. Afectó a millones de computadoras en todo el mundo,
alterando los registros de vuelos de British Airways, las operaciones de
las estaciones de guardacostas británicas, hospitales de Hong Kong,
sucursales de oficinas postales de Taiwan y el Westpac Bank de
Australia. Sasser y sus variantes ocasionaron daños por alrededor de
14.800 a 18.600 millones de dólares en todo el mundo.
MyDoom.A Gusano Apareció el 26 de enero de 2004. Se esparce como archivo adjunto al

correo electrónico. Envía correo electrónico a direcciones recolectadas
de computadoras infectadas, falsificando la dirección del emisor. En su
punto máximo este gusano redujo 10 por ciento el desempeño global
de Internet y los tiempos de carga de las páginas Web casi en 50 por
ciento. Fue programado para detener su diseminación después del 12
de febrero de 2004.
Bagle Gusano Apareció el 18 de enero de 2004. Infectaba PCs a través de un archivo

adjunto al correo electrónico, luego utilizaba las direcciones de correo
electrónico de la PC para replicarse a sí mismo. Las PCs infectadas y sus
datos podían ser accedidos por usuarios y aplicaciones remotos. Bagle.B
dejó de esparcirse después del 28 de enero de 2004, pero otras
variantes aún están activas. Ha causado decenas de millones de dólares
en daños.
Sobig.F Gusano Detectado por primera vez el 19 de agosto de 2003. Se esparce a través
de archivos adjuntos al correo electrónico y envía enormes cantidades
de correo con información falsa del emisor. Se desactivó a si mismo el
10 de septiembre de 2003, después de infectar a más de un millón de
PCs y causar de 5.000 a 10.000 millones de dólares en daños.
lLoveYou Virus Detectado el3 de mayo de 2000. Virus de script escrito en Visual Basic
p. 20
Script y transmitido como archivo adjunto a un correo electrónico con
el tema ILOVEYOU. Sobrescribe música, imágenes y otros archivos con
una copia de sí mismo y ocasionó de 10.000 a 15.000 millones de
dólares en daños.
Melissa Virus de Apareció en marzo de 1999. Script de macros de Word que enviaba por
macro/gusano correo un archivo de Word infectado a las primeras 50 entradas de la
libreta de direcciones de Microsoft Outlook de un usuario. Infectó de 15
a 29 por ciento de todas las PCs de empresas, ocasionando entre 300 y
600 millones de dólares en daños.
CIH (Chernobyl) Virus Apareció en junio de 1998. Infectaba archivos ejecutables de Windows y
sobrescribía los datos del disco duro de una Pe. Destruyó grandes
cantidades de datos de PCs, provocando de 20 a 80 millones de dólares
en daños en todo el mundo.
2.1 Hackers y cibervandalismo

Un hacker es un individuo que intenta obtener acceso no autorizado a un sistema de cómputo.
Dentro de la comunidad de la piratería informática, el término cracker se utiliza comúnmente para
denotar a un hacker con intenciones criminales, aunque en la prensa pública los términos hacker y
cracker se emplean de manera indistinta. Los hackers y los crackers obtienen acceso no autorizado
encontrando debilidades en las protecciones de seguridad de los sitios Web y los sistemas de
cómputo, con frecuencia aprovechando las diversas características de Internet que lo hacen un
sistema abierto fácil de utilizar.
Las actividades de un hacker se han ampliado más allá de una mera intrusión a los sistemas para
incluir el robo de bienes e información, así como al daño de los sistemas y al cibervandalismo, la
alteración intencional, destrozo o incluso la destrucción de un sitio Web o un sistema de
información corporativo. Por ejemplo, el 20 de agosto de 2006, hackers paquistaníes irrumpieron
en la computadora que alojaba el sitio Web de Kevin Mitnich, un ex hacker convertido en asesor
de seguridad, y reemplazaron la página de inicio con otra que desplegaba un mensaje vulgar.
Spoofing y sniffing
Los hackers que intentan ocultar sus verdaderas identidades con frecuencia se falso o
distorsionan, a sí mismos mediante direcciones de correo falsas o haciéndose pasar por alguien
más. El spoofing también podía involucrar la redirección de un enlace Web a una dirección
p. 21
diferente de la que se pretende, con el sitio camuflado como la dirección pretendida. Por ejemplo,
si los hackers redirigen a los clientes a un sitio Web falso que tiene una apariencia casi
exactamente igual a la del sitio verdadero, pueden recopilar y procesar pedidos, robando
información empresarial así como información delicada de los clientes del sitio verdadero. En la
explicación del delito informático proporcionaremos más detalles sobre otras formas de spoofing.
Un sniffer es un tipo de programa de espionaje que vigila la información que viaja a través de una
red. Cuando se utilizan de manera legal, los sniffers ayudan a identificar puntos potencialmente
problemáticos en la red o actividades delictivas en las redes, pero cuando se emplean con
propósitos criminales, pueden ser perjudiciales y muy difíciles de detectar. Los sniffers permiten a
los hackers robar información exclusiva de cualquier parte de una red, incluyendo mensajes de
correoelectrónico, archivos de la empresa e informes confidenciales.
Ataques de negación del servicio
En un ataque de negación del servicio (DoS, denial-of-service), los hackers inundan un servidor de
red o un servidor Web con miles o millones de comunicaciones o solicitudes de servicios falsas
para que la red colapse y deje de funcionar. La red recibe tantas consultas que no puede
atenderlas todas y en consecuencia queda fuera de servicio para atender las solicitudes legítimas.
Un ataque distribuido de negación del servicio (DDoS, distributed denial-of-service) utiliza cientos
o incluso miles de computadoras para inundar y agobiar la red desde numerosos puntos de
lanzamiento.
Aunque los ataques DoS no destruyen información ni acceden a áreas restringidas de los sistemas
de información de una empresa, con frecuencia ocasionan que un sitio Web se sobresature,
imposibilitando a los usuarios legítimos el acceso al sitio.
Estos ataques son costosos para los sitios Web de comercio electrónico con mucho tráfico,
mientras el sitio permanece fuera de línea, los clientes no pueden realizar compras, no se
visualizan las publicidades, etc. Las empresas pequeñas y medianas cuyas redes tienden a estar
menos protegidas que las de las grandes corporaciones, son especialmente vulnerables.
Con frecuencia, los autores de ataques DoS utilizan PCs "zombies" infectadas con software
malicioso sin el conocimiento de sus propietarios y organizadas en una botnet (red de robots). Los
hackers crean estas botnets infectando las computadoras de otras personas con software robot
malicioso que abre un acceso a través del cual un atacante puede dictar instrucciones. La
computadora infectada se convierte entonces en una esclava, o zombie, que obedece a una
computadora de alguien más. Una vez que un hacker infecta suficientes computadoras, puede
p. 22
utilizarlos recursos acumulados de la botnet para iniciar ataques distribuidos de negación del
servicio, campañas de phishing o correo electrónico no solicitado.
Delito informático y ciberterrorismo
La mayor parte de las actividades de un hacker son delitos penales, y las vulnerabilidades de los
sistemas que acabamos de describir también los convierten en objetivo de otros tipos de delitos
informáticos. El Departamento de Justicia de Estados Unidos define el delito informático como
"cualquier violación al código penal que involucre un conocimiento de tecnología de cómputo para
su perpetración, investigación o prosecución". A continuación vemos algunos ejemplos de delitos
con la computadora como objetivo del delito y como instrumento para el mismo.
Computadoras como objetivos del delito Computadoras como instrumentos para el delito
Violar la confidencialidad de los datos protegidos de Robo de secretos comerciales y copia sin
las computadoras autorización de software o de propiedad intelectual
Acceder a sistemas de cómputo sin autoridad protegida por derechos de autor, como artículos,
Acceder deliberadamente a computadoras libros, música y video.
protegidas para cometer fraude Artimañas para defraudar.
Acceder intencionalmente a computadoras Uso de correo electrónico para amenazar o acosar.
protegidas y causar daño, por negligencia o de Tratar de manera intencional de interceptar
manera deliberada comunicaciones electrónicas.
Transmitir deliberadamente un programa, código Acceder ilegalmente a comunicaciones electrónicas
de programa o comandos que causen daños de almacenadas, incluyendo correo electrónico y
manera intencional a una computadora protegida correo de voz.
Amenazar con causar daño a una computadora Transmitir o poseer pornografía infantil por medio
protegida de una computadora.
Nadie conoce la magnitud del problema de los delitos informáticos, cuántos sistemas son
invadidos, cuánta gente los practica o los daños económicos totales. De acuerdo con un estudio
del Centro de Investigación de Delitos Informáticos, las empresas de Estados Unidos pierden
aproximadamente 14.000 millones de dólares cada año por ciberdelitos. Muchas empresas están
reticentes a denunciar los delitos informáticos porque éstos podrían involucrar a empleados o la
empresa podría temer que al hacer pública su vulnerabilidad se dañe su reputación. Los tipos de
delitos informáticos más perjudiciales desde el punto de vista económico son los ataques DoS, la
introducción de virus, el robo de servicios y la alteración de los sistemas de cómputo.
Robo de identidad
p. 23
Con el crecimiento de Internet y del comercio electrónico, el robo de identidad se ha vuelto
especialmente problemático. El robo de identidad es un delito en el cual un impostor obtiene
fracciones de información personal clave, como números de DNI, números de licencia de conducir
o números de tarjetas de crédito, con el propósito de hacerse pasar por alguien más. La
información se podría utilizar para conseguir un crédito, mercancías o servicios en nombre de la
víctima o para proporcionar documentos de identidad falsos al ladrón.
El robo de identidad ha florecido en Internet. Los archivos de tarjeta de crédito son una de los
principales objetivos de los hackers de sitios Web. Más aún, los sitios de comercio electrónico son
fuentes estupendas de información personal de los clientes, como nombres, direcciones y
números telefónicos. Provistos de esta información, los delincuentes pueden asumir nuevas
identidades y obtener nuevos créditos para sus propios fines.
Una táctica cada vez más popular de este tipo de ataque es una forma de spoofing conocida como
phishing, que describimos antes. El phishing implica el establecimiento de sitios Web falsos o el
envío de mensajes de correo electrónico semejantes a los de las empresas auténticas para solicitar
a los usuarios datos personales confidenciales. El mensaje de correo electrónico da instrucciones a
los receptores para que actualicen o confirmen registros suministrando números de seguro social,
información de tarjetas de crédito y de cuentas bancarias, así como otros datos comerciales, ya
sea respondiendo al mensaje de correo electrónico, ingresando la información en un sitio Web
falso o llamando a un número telefónico.
Las nuevas técnicas de phishing denominadas eviltwins y pharming son más difíciles de detectar.
Los eviltwins son redes inalámbricas que fingen ofrecer conexiones Wi-Fi confiables a Internet,
como las que hay en las salas de espera de los aeropuertos, hoteles o cafés. La red falsa tiene la
misma apariencia que una red pública auténtica. Los defraudadores intentan capturar contraseñas
o números de tarjetas de crédito de los usuarios involuntarios que entran a la red.
El pharming redirige a los usuarios a una página Web falsa, aun cuando éstos ingresen la dirección
correcta de la página Web en su navegador. Esto es posible si los autores del pharming obtienen
acceso a la información de las direcciones de Internet almacenadas por los proveedores de
servicios de Internet con el fin de acelerar la navegación en Web y si los ISP cuentan con software
deficiente en sus servidores que permite a los defraudadores realizar actividades de piratería y
cambiar las direcciones.
Fraude del clic
Cuando hacemos click sobre un anuncio desplegado por un motor de búsqueda, por lo general, el
anunciante paga una comisión por cada click, que se supone que llevará a los compradores
p. 24
potenciales a sus productos. El fraude del click ocurre cuando un individuo o un programa de
computadora hace click de manera fraudulenta en un anuncio en línea sin la intención de conocer
más sobre el anunciante o de realizar una compra. El fraude del click se ha convertido en un
problema grave en Google y otros sitios Web que ofrecen la publicidad en línea mediante el pago
por click.
Algunas empresas contratan a terceros (comúnmente de países con salarios bajos) para hacer click
de manera fraudulenta en los anuncios de un competidor con el propósito de debilitarlo al
provocar que se incrementen sus costos de marketing. El fraude del click también se puede
realizar con programas de software que hacen el click, y con frecuencia se utilizan las redes de
robots con este propósito. Los motores de búsqueda como Google intentan vigilar el fraude del
click pero se han resistido a publicar sus métodos para manejar este problema.
¿Qué tan grande es el problema del fraude del click? Algunos, incluyendo a los ejecutivos de
Google, consideran que es la amenaza individual más grande para el marketing de los motores de
búsqueda. Las estimaciones del porcentaje de click que son fraudulentos varían de menos de 5 por
ciento a más de 20 por ciento, con algunas palabras clave que sobrepasan 25 por ciento en
ocasiones.
Ciberterrorismo y ciberarmamento
Cada vez es más creciente la preocupación de que las vulnerabilidades de Internet y de otras redes
puedan ser aprovechadas por terroristas, servicios de inteligencia externos u otros grupos para
crear disturbios y daños generalizados. Estos ciberataques podrían dirigirse al software que opera
redes de transporte de energía eléctrica, sistemas de control de tráfico aéreo o redes de los
principales bancos e instituciones financieras. Se cree que al menos veinte países están
desarrollando capacidades de ciberarmamento ofensivo y defensivo. Las redes militares y los
organismos gubernamentales de Estados Unidos sufren cientos de ataques de hackers cada año.
Para enfrentar esta amenaza, el Departamento de Seguridad Nacional de Estados Unidos tiene
una junta directiva para análisis de información y protección de la información para coordinar la
ciberseguridad. La División de Ciberseguridad Nacional de la mesa directiva es responsable de
proteger la infraestructura crítica. Se encarga de realizar análisis del ciberespacio, promover la
compartición de información, emitir alertas y colabora en los esfuerzos de recuperación
nacionales. El Departamento de la Defensa de Estados Unidos ha unido fuerzas de tarea para
defender las redes de computadoras y para manejar los ataques a estas redes. Estas iniciativas
distan de nuestras políticas locales, aunque en los últimos tiempos se han tomado medidas al
respecto, especialmente en la AFI (Agencia Federal de Inteligencia, ex-SIDE).
p. 25
2.2 Amenazas internas: empleados
Por lo general, creemos que las amenazas a la seguridad de una empresa provienen del exterior de
la organización. No obstante, los empleados de una empresa plantean serios problemas de
seguridad, dado que tienen acceso a información privilegiada, y si existen procedimientos de
seguridad ineficientes, pueden tener la oportunidad de investigar en todos los sistemas de la
organización sin dejar huella.
Los estudios han encontrado que la falta de conocimiento de los usuarios es la principal causa
individual de las brechas de seguridad en las redes. Muchos empleados olvidan sus contraseñas
para acceder a los sistemas de cómputo o permiten a sus colegas que las utilicen, lo cual pone en
riesgo al sistema. Los intrusos malintencionados que buscan acceso al sistema en ocasiones
engañan a los empleados para que les proporcionen sus contraseñas fingiendo que son miembros
legítimos de la organización y requieren información. Esta práctica se conoce como ingeniería
social.
Tanto los usuarios finales como los especialistas en sistemas de información constituyen también
una fuente principal de errores introducidos en los sistemas de información. Los usuarios finales
introducen errores al ingresar datos erróneos o al no seguir las instrucciones apropiadas para el
procesamiento de datos y el uso del equipo de cómputo. Los especialistas en sistemas de
información podrían crear errores de software a medida que diseñan y desarrollan nuevo software
o cuando dan mantenimiento a los programas existentes.
Vulnerabilidad del software
Los errores del software plantean una amenaza constante para los sistemas de información,
ocasionando pérdidas incalculables en productividad.
Con frecuencia, el software comercial contiene defectos que no sólo producen vulnerabilidades de
desempeño sino también de seguridad que dan acceso a las redes para los intrusos. Estas
vulnerabilidades dan al malware la oportunidad de superar las defensas de los antivirus. Una gran
cantidad de malware ha estado tratando de aprovechar las vulnerabilidades del sistema operativo
Microsoft Windows y de otros productos de Microsoft, pero también va en aumento el malware
dirigido al sistema operativo Linux.
Para corregir los defectos del software una vez que han sido identificados, el fabricante del
software crea pequeñas piezas de software conocidas como parches para reparar los defectos sin
p. 26
alterar el funcionamiento adecuado del software. Un ejemplo es el Service Pack 2 (SP2) para XP de
Microsoft liberado en el año 2004, el cual incorporaba protección de firewall contra virus e
intrusos, capacidades para actualizaciones de seguridad automáticas y una interfaz de fácil uso
para manejar las aplicaciones de seguridad en la computadora del usuario, resultó en una mejora
paradigmática para los usuarios finales de la época. A los usuarios del software les toca detectar
estas vulnerabilidades, probarlas y aplicar todos los parches. Este proceso se conoce como
administración de parches.
Puesto que la infraestructura de TI de una empresa generalmente está ocupada con múltiples
aplicaciones de negocios, instalaciones de sistemas operativos y otros servicios de los sistemas,
con frecuencia la administración de los parches en todos los dispositivos y servicios que utiliza una
empresa requiere mucho tiempo y es muy costosa. El malware es creado con tanta rapidez que las
empresas tienen muy poco tiempo para responder entre el momento en que se anuncia la
existencia de una vulnerabilidad y de su parche correspondiente, y el momento en que aparece
software malicioso para explotar esa vulnerabilidad.
2.3 Establecimiento de una estructura para la seguridad y el

control
La tecnología no es el aspecto clave en la seguridad y el control de los sistemas de información.
La tecnología ofrece una base, pero ante la falta de políticas de administración inteligentes,
incluso la mejor tecnología puede ser anulada. Por ejemplo, los expertos consideran que más de
90 por ciento de los ciberataques exitosos se podrían haber evitado con la tecnología disponible
en ese momento. La falta de atención humana permitió que estos ataques fueran tan
contundentes.
La protección de los recursos de información requiere una sólida política de seguridad y un

conjunto de controles. ISO 17799, un conjunto internacional de estándares para seguridad y
control, proporciona lineamientos útiles. Especifica mejores prácticas en seguridad y control de
sistemas de información, incluyendo política de seguridad, planeación de continuidad del negocio,
seguridad física, control de acceso, conformidad y creación de una función de seguridad dentro de
la organización. La norma ISO 27001 es que se enfoca especialmente en todos los aspectos
relevantes de la seguridad informática.
Evaluación del riesgo
p. 27
Antes de que una empresa asigne recursos a la seguridad, debe saber qué activos requieren
protección y hasta qué punto son vulnerables estos activos. Una evaluación del riesgo ayuda a
responder estas preguntas y a determinar el conjunto de controles más rentables para proteger
los activos.
Una evaluación del riesgo determina el nivel de peligro para la empresa si una actividad o un
proceso no están debidamente controlados. Los gerentes de una empresa, en conjunto con los
especialistas en sistemas de información, pueden determinar el valor de los activos de
información, los puntos de vulnerabilidad, la frecuencia probable de un problema y los daños
potenciales. Por ejemplo, si es probable que un suceso no ocurra más de una vez por año, con una
pérdida máxima de 1.000 dólares para la organización, no es costeable invertir 20.000 dólares en
el diseño y mantenimiento de un control que proteja contra ese suceso. Por el contrario, si ese
mismo suceso tiene posibilidades de ocurrir cuando menos una vez al día, con una pérdida
potencial de más de 300.000 dólares anuales, podría ser completamente apropiado invertir
100.000 dólares en un control.
Una vez que se han evaluado los riesgos, los desarrolladores de sistemas se concentrarán en los
puntos de control que tengan la mayor vulnerabilidad y potencialde pérdidas. En este caso, los
controles deben enfocarse en buscar formas de minimizarel riesgo de fallas de energía y errores
del usuario porque las pérdidas anuales previstas son mayores en estas áreas.
Política de seguridad
Una vez que usted ha identificado los principales riesgos para sus sistemas, tiene que desarrollar
una política de seguridad para proteger los activos de la empresa.
Una política de seguridad consta de enunciados que clasifican los riesgos de seguridad, identifican
los objetivos de seguridad aceptables y determinan los mecanismos para alcanzar estos objetivos.
¿Cuáles son los activos de información más importantesde la empresa? ¿Quién genera y controla
esta información en la empresa? ¿Qué políticas de seguridad están destinadas a proteger la
información? ¿Qué nivel de riesgo está dispuesta la administración a aceptar para cada uno de
estos activos? ¿Está dispuesta, por ejemplo, a perder datos crediticios de los clientes una vez cada
diez años? ¿O construirá un sistema de seguridad para los datos de tarjetas de crédito que pueda
resistir el desastre una vez cada cien años? La administración debe calcular cuánto costará
alcanzar este nivel de riesgo aceptable.
En empresas más grandes podría haber una función de seguridad corporativa formal encabezada
por un director de seguridad (CISO). El grupo de seguridad instruye y capacita a los usuarios,
mantiene a la administración al tanto de las amenazas y fallas de seguridad, y da mantenimiento a
p. 28
las herramientas elegidas para implementar la seguridad. El director de seguridad es responsable
de aplicar la política de seguridad de la empresa.
La política de seguridad impulsa políticas que determinan el uso aceptable de los recursos de
información de la empresa y cuáles miembros de ésta tienen acceso a sus activos de información.
Una política de uso aceptable (AUP) define los usos aceptables de los recursos de información y el
equipo de cómputo de la empresa, incluyendo las computadoras de escritorio y las portátiles, los
dispositivos inalámbricos, los teléfonos e Internet. La política debe dejar en claro la postura de la
empresa respecto de la privacidad, la responsabilidad del usuario y el uso personal del equipo y las
redes de la empresa. Una buena AUP define los actos aceptables e inaceptables para cada usuario
y especifica las consecuencias del incumplimiento.
Las políticas de autorización determinan diferentes niveles de acceso a los activos de información
para los distintos niveles de usuarios. Los sistemas de administración de autorizaciones establecen
dónde y cuándo se le permite a un usuario acceder a ciertas partes de un sitio Web o de una base
de datos corporativa. Estos sistemas permiten a cada usuario acceder solamente a aquellas partes
de un sistema para las cuales tiene autorización, con base en la información establecida por un
conjunto de reglas de acceso.
Aseguramiento de la continuidad del negocio
A medida que las empresas se apoyan cada vez más en las redes digitales para obtener ingresos y
realizar operaciones, necesitan emprender pasos adicionales para asegurar que sus sistemas y
aplicaciones estén siempre disponibles. Empresas como las industrias de servicios aéreos y
financieros, con aplicaciones críticas que requieren procesamiento de transacciones en línea, han
utilizado durante muchos años sistemas de cómputo tolerantes a fallas para asegurar su
disponibilidad al cien por ciento. En el procesamiento de transacciones en línea, la computadora
procesa inmediatamente las transacciones que se ingresan en línea. A cada instante se realizan
enormes cantidades de cambios a bases de datos, elaboración de informes y solicitudes de
información.
Los sistemas de cómputo tolerantes a fallas contienen hardware, software y componentes de

suministro de energía redundantes que forman un entorno de servicio continuo e ininterrumpido.
Las computadoras tolerantes a fallas utilizan rutinas de software especiales o lógica de auto
verificación integrada en su sistema de circuitos para detectar fanas de hardware y cambiar
automáticamente a un dispositivo de respaldo. Algunas partes de estas computadoras se pueden
quitar y reparar sin interrumpir el funcionamiento del sistema de cómputo.
La tolerancia a fallas debe diferenciarse del cómputo de alta disponibilidad.
p. 29
Tanto la tolerancia a fallas como el cómputo de alta disponibilidad procuran reducir el tiempo de
caída. El tiempo de caída se refiere a los periodos durante los cuales un sistema no está en
funcionamiento. Sin embargo, el cómputo de alta disponibilidad ayuda a las empresas a
recuperarse rápidamente de una caída del sistema, en tanto que la tolerancia a fallas promete una
disponibilidad ininterrumpida junto con la eliminación del tiempo de recuperación. Los entornos
de computación de alta disponibilidad son un requisito mínimo para las empresas que realizan una
gran cantidad de procesamiento de comercio electrónico o para aquellas que dependen de las
redes digitales para llevar a cabo sus operaciones internas.
La computación de alta disponibilidad requiere servidores de respaldo, distribución del

procesamiento entre múltiples servidores, almacenamiento de alta capacidad y buenos planes
para la recuperación de desastres y para la continuidad del negocio.
La plataforma de cómputo de la empresa debe ser sumamente robusta, con potencia de

procesamiento, almacenamiento y ancho de banda escalables.
Los investigadores están explorando formas de lograr que los sistemas de cómputo se recuperen
aún más rápido cuando ocurren contratiempos, como el enfoque denominado computación
orientada a la recuperación. Éste incluye el diseño de sistemas que se recuperen con rapidez, así
como capacidades de implementación y herramientas que ayuden a los operadores a identificar
las fuentes de fallas en los sistemas conformados por múltiples componentes y a corregir
fácilmente sus errores.
Planeación para la recuperación de desastres y para la continuidad del negocio
La planeación para la recuperación de desastres consta de planes para la restauración de los

servicios de cómputo y comunicaciones después de que han sido interrumpidos por algún suceso
como un temblor, una inundación o un ataque terrorista. Es importante rescatar que, si bien el
contexto sociopolítico local actual del Área Metropolitana de Buenos Aires (AMBA) no tiene
riesgos de ataques terroristas ni temblores significativos, estos planes siempre deben prepararse.
No sólo en forma preventiva, sino para cumplir con normas internacionales, como ventaja
competitiva y para aplicar a distintos concursos o licitaciones internacionales (en el caso de una
empresa de servicios).
Estos planes se enfocan principalmente en los aspectos técnicos involucrados en mantener los
sistemas en funcionamiento, como qué archivos se deben respaldar, y en el mantenimiento de los
sistemas de cómputo de respaldo o los servicios de recuperación de desastres.
p. 30
Por ejemplo, muchas empresas locales contratan a IBM y su datacenter de Martínez (zona Norte
del AMBA), ya que IBM tiene un convenio con otro datacenter en la zona de San Telmo (Ciudad
Autónomas de Buenos Aires). Así mismo, MasterCard mantiene un centro de cómputo duplicado
en Kansas City, Missourie sirve como un respaldo de emergencia para su centro de cómputo
principal en San Luis. En lugar de construir sus propias instalaciones de respaldo, muchas
empresas contratan los servicios de otras compañías como el caso de IBM. Estas empresas de
servicios de recuperación de desastres proporcionan sitios de respaldo que albergan
computadoras alternas, donde las empresas suscriptoras pueden ejecutar sus aplicaciones críticas
en casos de emergencia.
La planeación para la continuidad del negocio se enfoca en establecer formas en que la empresa
puede restaurar las operaciones de negocios después de que ocurre un desastre. El plan para la
continuidad del negocio identifica los procesos de negocios críticos y determina los planes de
acción para manejar las funciones de misión crítica si se caen los sistemas.
Los gerentes y los especialistas en tecnología de información de la empresa tienen que trabajar de
manera conjunta en ambos tipos de planes para determinar cuáles sistemas y procesos de
negocios son más críticos para la empresa. Deben realizar un análisis de impacto en el negocio
para identificar los sistemas más críticos para la empresa y el impacto que tendría en el negocio
una interrupción de los sistemas. La administración debe determinar el período máximo que el
negocio puede sostenerse con sus sistemas caídos y qué partes del negocio se deben restaurar
primero.
Sub contratación de seguridad
Muchas empresas, especialmente las pequeñas, carecen de los recursos o el conocimiento para
implementar un entorno de cómputo de alta disponibilidad por sí mismas.
Como alternativa, pueden sub contratar una gran variedad de funciones de seguridad a
proveedores de servicios de seguridad administrados (MSSPs) que vigilan la actividad de la red y
realizan pruebas de vulnerabilidad y detección de intrusiones.
El rol de la auditoría
¿Cómo sabe la administración que la seguridad y los controles de los sistemas de información son
efectivos? Para responder esta pregunta, las organizaciones deben realizar auditorías integrales y
sistemáticas. Una auditoría examina el entorno de seguridad general de la empresa así como los
controles que rigen los sistemas de información individuales. El auditor debe rastrear el flujo de
p. 31
transacciones de muestra a través del sistema y realizar pruebas, utilizando, si es necesario,
software de auditoría automatizado.
Las auditorías de seguridad revisan tecnologías, procedimientos, documentación, capacitación y

personal. Una auditoría completa simulará incluso un ataque o un desastre para probar la
respuesta de la tecnología, el personal de sistemas de información y los empleados de la empresa.
La auditoría enlista y clasifica todas las debilidades de control y calcula la probabilidad de que
sucedan. A continuación evalúa el impacto financiero y organizacional de cada amenaza. Se espera
que la administración diseñe un plan para contrarrestar las debilidades significativas de los
controles.
p. 32
3. Comprensión de los aspectos éticos y sociales
relacionados con los sistemas
En los últimos diez años hemos sido testigos, sin lugar a dudas, de uno de los periodos más
desafiantes en el aspecto ético para los negocios estadounidenses y del mundo en general. Casos
recientes demuestran juicios éticos fallidos por parte de directivos y gerentes de nivel intermedio.
Estos errores de juicio ético y de negocios por parte de los directivos se dieron en una gran
diversidad de industrias.
En el nuevo entorno legal, lo más probable es que los gerentes que transgredan la ley y sean
declarados culpables también difícilmente sean enviados a la cárcel.
Aunque en el pasado las empresas podían pagar la defensa legal de sus empleados inmiscuidos en
procesos civiles y penales, ahora se exhorta a las empresas a que cooperen con los fiscales para
reducir los cargos contra la empresa por obstrucción de las investigaciones. Con estas reformas,
más que nunca, cualquier persona en su calidad de gerente o empleado tiene que decidir por sí
misma lo que constituye una conducta ética y legal correcta.
A pesar de que estos trascendentales casos de juicios éticos y legales fallidos no fueron concebidos
por los departamentos de sistemas de información, los sistemas de información tuvieron un papel
decisivo en muchos de estos fraudes. En muchos casos los autores de los delitos utilizaron
astutamente los sistemas de información que elaboran informes financieros para ocultar del
escrutinio público sus decisiones con la vana esperanza de que nunca fueran atrapados.
Ética se refiere a los principios de lo correcto o lo incorrecto que los individuos, en su calidad de
agentes morales libres, emplean para tomar decisiones que normen su comportamiento. Los
sistemas de información dan lugar a nuevos aspectos éticos tanto para los individuos como para
las sociedades porque crean oportunidades para un cambio social intenso y, por consiguiente,
amenazan las estructuras existentes de poder, dinero, derechos y obligaciones. Del mismo modo
que otras tecnologías como la máquina de vapor, la electricidad, el teléfono y la radio, la
tecnología de información se puede emplear para alcanzar el progreso social, aunque también se
puede aprovechar para cometer delitos y amenazar los valores sociales más preciados. El
desarrollo de la tecnología de información beneficiará a unos y perjudicará a otros. Al utilizar los
sistemas de información, es esencial preguntarse: ¿cuál es el curso de acción responsable ética y
socialmente?
p. 33
Los aspectos éticos de los sistemas de información han cobrado nueva importancia por la
proliferación de Internet y el comercio electrónico en el ámbito corporativo. Internet y las
tecnologías para las empresas digitales facilitan más que nunca la recopilación, integración y
distribución de la información, y desencadenan nuevas preocupaciones acerca del uso apropiado
de la información del cliente, la protección de la privacidad personal y la protección de la
propiedad intelectual. Los empleados con conocimientos especializados pueden "engañar" a los
sistemas de información mediante la introducción de registros falsificados y desviar dinero a un
nivel inimaginable en la era anterior a la computación.
Otros aspectos éticos que surgen por el uso de los sistemas de información incluyen fincar la
responsabilidad formal por las consecuencias de los sistemas de información, establecer
estándares para salvaguardar la calidad del sistema que protejan la seguridad de los individuos y
de la sociedad, y preservar los valores e instituciones considerados esenciales para la calidad de
vida en una sociedad de la información.
Al utilizar sistemas de información, es importante plantearse la siguiente pregunta: "¿Cuál es el

curso de acción ética y socialmente responsable?"
Un modelo para considerar los aspectos éticos, sociales y políticos
Los aspectos éticos, sociales y políticos están estrechamente ligados. El dilema ético al que uno se
puede enfrentar en su calidad de gerente de sistemas de información se refleja, por lo general, en
el debate social y político. Imaginemos la sociedad como un lago más o menos en calma en un día
de verano, un ecosistema delicado en equilibrio parcial en el que se encuentran individuos e
instituciones sociales y políticas. Los individuos saben cómo comportarse en este lago porque las
instituciones sociales (familia, educación, organizaciones) han desarrollado reglas de
comportamiento bien definidas y éstas se apoyan en leyes desarrolladas en el sector político que
establecen conductas y determinan sanciones a quienes las infrinjan.
Ahora imaginemos que lanzamos una piedra al centro del lago. Pero imaginemos que en vez de
una piedra, la fuerza que perturba el lago es el impacto poderoso de tecnología y los sistemas de
información nuevos que afectan a una sociedad más o menos en reposo.
¿Qué sucede? Se hacen olas, desde luego.
Repentinamente, los actores individuales confrontan situaciones nuevas que no se consideraban

en las antiguas reglas. Las instituciones sociales no pueden responderde la noche a la mañana ante
estas olas, toma años desarrollar buenas costumbres, expectativas, responsabilidad social,
actitudes "políticamente correctas" o reglas aprobadas. Las instituciones políticas también
p. 34
requieren tiempo antes dedesarrollar nuevas leyes y en ocasiones requieren la manifestación de
un daño real antes de actuar. Entre tanto, es posible que uno se vea obligado a actuar, forzado
incluso a hacerlo en terrenos legales indefinidos.
Este modelo se puede aprovechar para ilustrar las fuerzas que conectan los aspectos ético, social y
político. Incluso, puede ser útil para identificar las principales dimensiones morales de la sociedad
de la información, que tocan varios niveles de acción: individual, social y político.
Cinco dimensiones morales de la era de la información
Entre los principales aspectos éticos, sociales y políticos propiciados por los sistemas de
información se encuentran las siguientes dimensiones morales:
• Derechos y obligaciones de información. ¿Qué derechos de información poseen los

individuos o las organizaciones respecto de la información sobre sí mismos? ¿Cómo los
pueden proteger? ¿Qué obligaciones tienen los individuos y las organizaciones respecto a
esta información?
• Derechos y obligaciones de propiedad: ¿Cómo se protegerán los derechos de propiedad
intelectual tradicionales en una sociedad digital en la que es difícil localizar y justificar la
propiedad y en la que ignorar estos derechos de propiedad es muy fácil?
• Responsabilidad formal y control: ¿Quién puede y debe rendir cuentas y hacerse
responsable legalmente por el daño a los derechos de propiedad y de información
individual y colectiva?
• Calidad del sistema: ¿Qué estándares de datos y calidad del sistema se deben exigir para
proteger los derechos individuales y la seguridad de la sociedad?
• Calidad de vida: ¿Qué valores se deben preservar en una sociedad basada en la
información y el conocimiento? ¿Qué instituciones se deben proteger contra las
infracciones? ¿Qué valores y prácticas culturales apoya la nueva tecnología de
información?
Tendencias tecnológicas clave que propician el surgimiento de aspectos éticos
Los aspectos éticos precedieron con mucho a la tecnología de información. No obstante, la

tecnología de información ha intensificado las preocupaciones éticas, ha sometido a tensión los
p. 35
órdenes sociales y ha vuelto obsoletas o severamente anquilosadas las leyes existentes. Hay
cuatro tendencias tecnológicas clave responsables de estas tensiones éticas.
La duplicación de la capacidad de cómputo cada 18 meses ha hecho posible que la mayoría de las
organizaciones empleen los sistemas de información para sus procesos de producción esenciales.
Como resultado, nuestra dependencia de los sistemas ha aumentado, así como nuestra
vulnerabilidad a los errores de los sistemas y a la baja calidad de los datos. Los mismos sistemas de
información que llegan a con altos seguir niveles de productividad también propician
oportunidades para el abuso.
Las reglas y las leyes sociales aún no se han ajustado a esta dependencia. No se han aceptado o
impuesto de manera universal estándares que aseguren la exactitud y confiabilidad de los
sistemas de información.
Los avances de las técnicas de almacenamiento de datos y la rápida caída de los costos de
almacenamiento han sido los responsables de que las organizaciones privadas y públicas hayan
multiplicado las bases de datos de individuos: empleados, clientes y clientes potenciales. Estos
avances en el almacenamiento de datos han facilitado la infracción rutinaria de la privacidad
individual a un bajo costo. Los sistemas de almacenamiento de datos masivos ya son tan baratos
que las empresas detallistas regionales e incluso locales los pueden utilizar para identificar a los
clientes.
Por ejemplo, las principales empresas de búsqueda como Google, America Online (AOL) , MSN y
Yahoo! mantienen registros de búsqueda detallados sobre millones de usuarios en todo el mundo
que utilizan los motores de búsqueda de Internet todos los días y que generan miles de millones
de búsquedas cada día. Estos enormes conjuntos de "intenciones de consumo" se vuelven los
objetivos naturales de las empresas privadas que buscan una ventaja de mercado, de las
instituciones gubernamentales y de los investigadores privados.
Los avances en las técnicas de análisis de grandes concentraciones de datos constituyen otra
tendencia tecnológica que acentúa las preocupaciones éticas porque permiten que las compañías
y las instituciones gubernamentales averigüen mucha información personal detallada de los
individuos. Con las actuales herramientas de gestión de datos (ver esta Unidad antes), las
compañías pueden ensamblar y combinar una infinidad de piezas de información relativa a
cualquiera de nosotros, la cual es almacenada por las computadoras con mucha más facilidad que
antes.
Pensemos en todas las formas en que generamos información sobre nosotros mismo a través de
las computadoras: compras con tarjeta de crédito, llamadas telefónicas, suscripciones a revistas,
p. 36
video on demand, compras por correo, registros bancarios y registros locales, estatales y federales
del gobierno, así como visitas a sitios Web para leer la información que contienen, utilizar motores
de búsqueda y escribir en blogs o redes sociales. Esta información, reunida y extraída
adecuadamente, podría revelar no solamente su información de crédito sino también sus hábitos
de conducir, sus gustos, sus relaciones, sus intenciones de compra, sus posturas políticas y sus
intereses. En realidad, lo que usted pensaba que era privado rápidamente se podría volver
público.
Compañías fabricantes de artículos compran información importantísima a estas fuentes para

enfocar con más precisión sus campañas de marketing. Las compañías pueden analizar grandes
concentraciones de datos desde múltiples fuentes para identificar rápidamente los patrones de
compra de los clientes y sugerir respuestas individuales. Al uso de computadoras para combinar
datos desde múltiples fuentes y crear expedientes electrónicos de información detallada sobre
individuos se le denomina elaboración de perfiles.
Por ejemplo, cientos de sitios Web autorizan a DoubleClick (www.doubleclick.net), un agente de

publicidad en Internet, rastrear las actividades de sus visitantes a cambio de obtener ingresos de
los anuncios basados en la información de los visitantes que DoubleClick recopila. DoubleClick usa
esta información para crear un perfil de cada visitante en línea y agrega más detalles al perfil en
cuanto el visitante accede a un sitio asociado a DoubleClick. Con el tiempo, DoubleClick puede
crear un expediente detallado de los hábitos de gasto y navegación en la Web de una persona,
para venderlo posteriormente a compañías y ayudarlas a enfocar con más precisión sus anuncios
en la Web. ChoicePoint recopila datos de registros policiales, penales y automovilísticos; de
historiales crediticios y de empleos; de direcciones actuales y anteriores; de licencias profesionales
y de diferentes reclamos de seguros, con el propósito de ensamblar y mantener expedientes
electrónicos de casi todos los adultos de Estados Unidos. La compañía vende esta información
personal a empresas e instituciones gubernamentales. La demanda de datos personales es tanta
que las empresas intermediarias de datos como ChoicePoint están en auge.
Una nueva tecnología de análisis de datos, denominada descubrimiento de relaciones no

evidentes (NORA), ha dado tanto al sector gubernamental como al privado capacidades más
poderosas para crear perfiles. NORA puede captar información sobre personas desde fuentes muy
distintas como solicitudes de empleo, registros telefónicos, listados de clientes e incluso de listas
deseadas o de preferencias, y asocia las relaciones para encontrar conexiones ocultas que podrían
ayudar a identificar criminales o terroristas. Por ejemplo, un solicitante de un puesto de seguridad
en el gobierno podría haber recibido llamadas telefónicas de alguien buscado por la policía. Estos
p. 37
dos individuos podrían compartir también la misma religión, acudir al mismo templo y formar
parte de un pequeño grupo con frecuentes contactos telefónicos.
La tecnología NORA puede escanear datos y extraer información conforme se van generando los
datos, de manera que podría, por ejemplo, descubrir instantáneamente a un hombre parado ante
el mostrador de venta de pasajes de una aerolínea que comparta un número telefónico con un
conocido terrorista, antes de que aborde un avión. La tecnología se considera una valiosa
herramienta para la seguridad nacional pero al mismo tiempo tiene implicaciones de privacidad,
porque puede ofrecer un panorama detallado de las actividades y relaciones de un solo individuo.
Por último, los avances en la conectividad de redes, entre ellos Internet, prometen reducir en gran
medida los costos de trasladar y acceder a enormes cantidades de datos, así como abrir la
posibilidad de extraer grandes concentraciones de datos de manera remota utilizando pequeñas
computadoras de escritorio, permitiendo una invasión de la privacidad a una escala y precisión
hasta ahora inimaginables.
El desarrollo de redes de comunicación digital globales ampliamente disponibles a individuos y

empresas, plantea muchas preocupaciones éticas y sociales. ¿Quién se hará responsable del flujo
de la información a través de estas redes? ¿Podrá rastrear la información recabada acerca de
nosotros mismos? ¿Qué impacto tendrán estas redes en las relaciones tradicionales entre la
familia, el trabajo y el esparcimiento?
3.1 La ética en una sociedad de información

La ética es una preocupación de los humanos con libertad de elección. La ética tiene que ver con la
elección individual: cuando se enfrentan a vías de acción alternativas, ¿cuál es la elección moral
correcta? ¿Cuáles son las principales características de la elección ética?
Conceptos básicos: responsabilidad, rendición de cuentas y responsabilidad legal
Las elecciones éticas son decisiones tomadas por personas que son responsables de las
consecuencias de sus acciones. La responsabilidad es un elemento clave de la acción ética. La
responsabilidad significa que cada uno de nosotros acepta los posibles costos, deberes y
obligaciones de sus decisiones o rendición de cuentas es una característica de los sistemas y las
instituciones sociales; es decir, hay mecanismos para determinar quién efectuó una acción
responsable, quién es responsable. En los sistemas e instituciones en que es imposible determinar
quién realizó qué acción, hay una incapacidad inherente para llevar a cabo un análisis ético o
p. 38
acciones éticas. La responsabilidad legal extiende el conceptode responsabilidad al área de las
leyes.
La responsabilidad legal es una característica de los sistemas políticos) en los que existe un cuerpo
de leyes que permite a los individuos resarcirse de los daños ocasionados por otros individuos,
sistemas u organizaciones. El proceso justo es una característica relacionada con sociedades
gobernadas por leyes y es a la vez un proceso en el que las leyes se conocen y entienden además
de haber una capacidad de apelar a las autoridades más altas para asegurarse que las leyes se
apliquen correctamente.
Estos conceptos básicos conforman el fundamento de un análisis ético de los sistemas de

información y de quienes los administran. En primer lugar, las tecnologías de la información se
filtran a través de instituciones sociales, organizaciones e individuos. Los sistemas no tienen un
impacto por sí mismos. Cualquiera de los impactos de los sistemas de información son producto
de acciones y conductas de instituciones, organizaciones e individuos. En segundo lugar, la
responsabilidad de las consecuencias de la tecnología recae directamente sobre las instituciones,
las organizaciones y los gerentes individuales que eligen utilizar la tecnología. El uso de la
tecnología de información de una manera socialmente responsable significa que usted tendrá que
dar cuenta de las consecuencias de sus acciones. Tercero, en una sociedad política ética los
individuos y los demás pueden resarcirse de los daños que otros les hagan a través de un conjunto
de leyes caracterizadas por procesos justos.
Análisis éticos
Cuando confrontamos una situación que implica aspectos éticos ¿Cómo debemos analizarla? El
siguiente proceso de cinco aspectos éticos:
1. Identificar y describir claramente los hechos. Indagar quién le hizo qué a quién, y dónde, cuándo
y cómo. En muchos casos nos sorprenderemos de los errores que se cometen en los primeros
informes sobre los hechos y por lo general basta con aclarar las cosas para definir la solución.
También es útil lograr que las partes opuestas implicadas en el dilema ético se pongan de acuerdo
en el orden de los hechos.
2. Definir el conflicto o dilema e identifique los valores de orden superior implicados. Los aspectos
éticos, sociales y políticos siempre tienen que ver con una escala de valores. Todas las partes en
disputa claman perseguir valores más altos (por ejemplo, libertad, privacidad, protección de la
propiedad y el sistema de libre empresa). Por lo general, un aspecto ético incluye un dilema: dos
cursos de acción diametralmente opuestos que apoyan valores importantes. Por ejemplo, el caso
p. 39
de estudio con que finaliza el capítulo ilustra dos valores en competencia la necesidad de proteger
a los ciudadanos de actos terroristas y la necesidad de proteger la privacidad individual.
3. Identificar a los interesados. Todo aspecto ético, social y político tiene interesados: actores en el
juego cuyo interés son los resultados, que han invertido en la situación y que usualmente expresan
sus opiniones de viva voz. Averiguar la identidad de estos grupos y qué desean. Esto será útil más
adelante, cuando se diseñe una solución.
4. Identificar las opciones razonables que pueda tomar. Tal vez encontremos que ninguna de las
opciones satisface todos los intereses involucrados, pero quizás algunas sean mejores que otras. A
veces, llegar a una solución buena o ética no siempre significa equilibrar las consecuencias para los
interesados.
5. Identificar las posibles consecuencias de sus opciones. Algunas opciones pueden ser correctas
desde el punto de vista ético, pero desastrosas desde otros puntos de vista.
Otras pueden ser útiles en algún caso particular pero no en casos parecidos. Preguntarse: "¿Qué
pasaría si siempre eligiera esta opción?"
Principios éticos propuestos
Una vez que haya terminado su análisis, ¿qué principios o normas éticos debe aplicar para tomar
una decisión? ¿Qué valores de orden superior deben informar su juicio?
Aunque cada uno de nosotros sea la única persona que pueda decidir qué principios éticos seguir
entre tantos, y cómo darles prioridad, es muy útil tener presente algunos principios éticos
arraigados en muchas culturas que han sobrevivido a través de la historia.
1. Tratar a los demás como quisiera que los nos traten (la Regla de Oro). Ponerse en el lugar de los
demás y pensar en uno mismo como el objeto de la decisión, puede ayudar a pensar en la justicia
al tomar una decisión.
2. Si una acción no es correcta para todos, no es correcta para nadie (el imperativo categórico de
Emmanuel Kant). Preguntémonos: "Si todos hicieran esto, ¿podrían sobrevivir la organización o la
sociedad?
3. Si una acción no se puede repetir, entonces nunca se debe efectuar (regla del cambio de
Descartes). Ésta es la regla de la pendiente resbalosa: es posible que una acción provoque un
pequeño cambio aceptable por el momento, pero si se repitiera provocaría cambios inaceptables a
p. 40
largo plazo. En lenguaje común, se podría establecer que "una vez que se ha empezado a
descender por un camino resbaloso es posible que no se pueda detener".
4. Tomar la acción que alcance los valores mejores o los superiores (el principio utilitarista). Esta
regla supone que podemos dar prioridad a los valores en un orden de mayor a menor y entender
las consecuencias de diversos cursos de acción.
5. Tomar la acción que menos daño produzca o que tenga el menor costo potencial (principio de la
aversión al riesgo). Algunas acciones tienen costos por fallas extremadamente altos pero con muy
bajas probabilidades (por ejemplo, construir una planta nuclear en un área urbana) o costos por
fallas extremadamente altos pero con probabilidades moderadas (velocidad y accidentes
automovilísticos). Evitar las acciones cuyos costos por fallas son altos, y prestar una mayor
atención obviamente a aquellas que tengan una probabilidad de fallas moderada a alta.
6. Suponer que virtualmente todos los objetos tangibles e intangibles son propiedad de alguien
más a menos que haya una declaración específica que indique lo contrario. (Ésta es la regla ética
"nada es gratis".)
Aunque estas reglas éticas no pueden ser guías para la acción, las acciones que no se ajustan
fácilmente a estas reglas requieren más atención y una gran precaución. Aparentar conductas no
éticas le puede causar mucho más daño a usted y a su compañía que una conducta no ética real.
Algunos dilemas éticos del mundo real
Los sistemas de información han creado nuevos dilemas éticos en los cuales un conjunto de
intereses se opone a otro. Por ejemplo, muchas de las grandes compañías telefónicas están
utilizando la tecnología de información para reducir las dimensiones de sus fuerzas de trabajo. El
software de reconocimiento de voz reduce la necesidad de operadores humanos, al permitir que
las computadoras reconozcan las respuestas de un cliente a una serie de preguntas
computarizadas.
Muchas compañías vigilan lo que hacen sus empleados en Internet para evitar que desperdicien
los recursos de la compañía en actividades no lucrativas.
En cada caso, podemos encontrar valores en competencia en el trabajo, con grupos alineados a
uno u otro lado de un debate. Por ejemplo, una empresa podría argumentar que le asiste el
derecho de utilizar los sistemas de información para incrementar la productividad y reducir el
número de sus trabajadores a fin de bajar costos y mantenerse en el negocio. Los empleados
desplazados por los sistemas de información podrían argumentar que los empleadores tienen
p. 41
cierta responsabilidad por su bienestar. Los dueños de las empresas se podrían sentir obligados a
vigilar el uso del correo electrónico y de Internet para minimizar las pérdidas de productividad.
Los empleados podrían creer que deberían tener la facultad de utilizar Internet para pequeñas
tareas personales en vez del teléfono. En ocasiones, un análisis detallado de los hechos puede
producir soluciones mediante arreglos que concedan algo a cada parte.
p. 42

Unidad 7 - Inteligencia de Negocios y Seguridad Informática

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 7 - Inteligencia de Negocios y Seguridad Informática

Cargado por

Copyright:

Formatos disponibles

TECNICATURA UNIVERSITARIA

1.1 Data Warehouse

1.2 Objetivos y características de un data warehouse

• Proveer una única visión de la información a través de toda la compañía.

En la realidad de los proyectos, la etapa de integración es muy compleja, larga y pesada, y

La no volatilidad es en cierto modo una consecuencia de la historialización. Una misma consulta

1.3 Data mart

La estructura de un DM puede variar según su utilidad. Y puede ser dependiente (nutrirse) o

Un DM dependiente se conecta al DWH y realiza una determinada función utilizando un

En este texto, nos referiremos al DM como un concepto equivalente al de DWH

1.4 Estructura de un data warehouse

Las inserciones regulares de datos surgidos de los sistemas de producción habitualmente se

Existen diferentes tipos de metadatos:

1.5 Métodos de análisis para la toma de decisiones

Existen varias categorías de análisis de soporte a la decisión.

Descubrimiento del conocimiento No hay hipótesis

Modelización y segmentación Hipótesis leve

El método de modelización y segmentación es una de las técnicas utilizadas en lo que se conoce

Descubrimiento del conocimiento

Estos patrones, a diferencia de la modelización, no son especificados de antemano, y reflejan el

1.6 Data mining (minería de datos)

El data mining integra las herramientas de visualización de datos, y las correspondientes a

• Descubrimiento: es el proceso en el cual se buscan patrones ocultos en una base de datos

Los métodos usados en data mining incluyen:

1.7 Herramientas de visualización

1.8 Herramientas de extracción y carga de datos

• Recolectar datos de diferentes sistemas transaccionales.

En el proceso de transformación se convierten los datos de las transacciones en un formato

La transformación incluye tareas de sumarización, agregación, ordenamiento y agrupamiento de

1.11 Implementación de un sistema BI

2.1 Software malicioso: virus, gusanos, caballos de Troya y

Nombre Tipo Descripción

Sasser.ftp Gusano Apareció en mayo de 2004. Se esparce a través de Internet atacando

MyDoom.A Gusano Apareció el 26 de enero de 2004. Se esparce como archivo adjunto al

Bagle Gusano Apareció el 18 de enero de 2004. Infectaba PCs a través de un archivo

2.1 Hackers y cibervandalismo

Ataques de negación del servicio

Delito informático y ciberterrorismo

Fraude del clic

Vulnerabilidad del software

2.3 Establecimiento de una estructura para la seguridad y el

La protección de los recursos de información requiere una sólida política de seguridad y un

Evaluación del riesgo

Aseguramiento de la continuidad del negocio

Los sistemas de cómputo tolerantes a fallas contienen hardware, software y componentes de

La tolerancia a fallas debe diferenciarse del cómputo de alta disponibilidad.

La computación de alta disponibilidad requiere servidores de respaldo, distribución del

La plataforma de cómputo de la empresa debe ser sumamente robusta, con potencia de

Planeación para la recuperación de desastres y para la continuidad del negocio

La planeación para la recuperación de desastres consta de planes para la restauración de los

Sub contratación de seguridad

Las auditorías de seguridad revisan tecnologías, procedimientos, documentación, capacitación y

Al utilizar sistemas de información, es importante plantearse la siguiente pregunta: "¿Cuál es el

Un modelo para considerar los aspectos éticos, sociales y políticos

¿Qué sucede? Se hacen olas, desde luego.

Repentinamente, los actores individuales confrontan situaciones nuevas que no se consideraban

Cinco dimensiones morales de la era de la información

• Derechos y obligaciones de información. ¿Qué derechos de información poseen los

Los aspectos éticos precedieron con mucho a la tecnología de información. No obstante, la

Compañías fabricantes de artículos compran información importantísima a estas fuentes para

Por ejemplo, cientos de sitios Web autorizan a DoubleClick (www.doubleclick.net), un agente de

Una nueva tecnología de análisis de datos, denominada descubrimiento de relaciones no

El desarrollo de redes de comunicación digital globales ampliamente disponibles a individuos y