Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NIVELES DE MADUREZ
Descripción
Nivel 2 Descripción
(Gestionado) Se empiezan a definir las Políticas de Seguridad de la
Información de la organización basada en la Norma ISO/IEC
17799 debido a que se incrementa el interés por buscar las
causas que originaron la ocurrencia de los eventos que
atentaron contra la información, los activos y la continuidad del
negocio. Además se cuenta con un plan de divulgación de las
Políticas de Seguridad de la Información.
Nivel 3 Descripción
(Definido) Se divulgan las Políticas de Seguridad de la Información en toda
la organización.
Descripción
Nivel 5 Descripción
(En Optimización) Los empleados apoyan y contribuyen al mejoramiento de la
seguridad informática en la organización.
1. CALIDAD
Para entender con mayor precisión esta Figura, la explicación de cada uno de sus
elementos es la siguiente:
1.1.2. ¿Qué es un Error (Bug)? Es una variación en los atributos deseados para la
solución. Existen las siguientes categorías para los defectos:
• Variación Desde las Expectativas del Usuario. Esta variación es algo que el
usuario quería y no está en el producto construido, pero tampoco fue incluido en
las especificaciones de la solución.
• Diferencia de Valores. Ingresar datos sin conocer la diferencia entre un valor
calculado, observado o medido y el valor verdadero, especificado o teóricamente
correcto.
1.1.4.3. ¿Qué se Prueba? Para probar un programa necesitamos una serie de datos,
los datos de entrada (input) para saber si un existe un error o no, también
necesitamos saber la salida esperada (output), además del método a utilizar. Se
prueban requerimientos funcionales, no funcionales y de usabilidad. Para medir una
prueba hay que tener en cuenta el costo que genera no detectar un error.
1.1.4.4. Tips Para Realizar Pruebas. Los principios por los que se deben guiar las
pruebas de software son:
• A todas las pruebas se les debería poder hacer un seguimiento hasta los
requisitos del usuario. El objetivo de las pruebas del software es descubrir
errores, de modo que los defectos más graves, desde el punto de vista del usuario,
son aquellos que impiden al programa cumplir sus requisitos.
• Las pruebas deberían empezar por “lo pequeño” y progresar hacia “lo
grande”. Las primeras pruebas planeadas y ejecutadas se centran generalmente
en subsistemas individuales. A medida que avanzan las pruebas, se desplazan
hacia los grupos integrados de subsistemas y finalmente en el sistema entero.
• Se deben evitar los casos desechables. Se deben evitar los casos de prueba no
documentados ni diseñados con cuidado, ya que suele ser necesario probar una y
otra vez el software hasta que queda libre de defectos. No documentar o guardar
los casos significa repetir constantemente el diseño de casos de prueba.
• No deben hacerse planes de prueba suponiendo que, prácticamente, no
hay defectos en los programas, y dedicando pocos recursos a las pruebas.
Hay que asumir que siempre hay defectos, y que hay que detectarlos. En este
sentido las estadísticas confirman que, prácticamente, el 40% del esfuerzo de
desarrollo se consume en pruebas y depuración.
• Las pruebas son una tarea creativa. Se han considerado las pruebas como una
tarea destructiva y rutinaria. No obstante, no existen técnicas rutinarias para el
diseño de pruebas y hay que recurrir al ingenio para alcanzar un buen nivel de
detección de defectos con los recursos disponibles.
• Como parte del reporte del proceso de pruebas, es deseable clasificar los errores
encontrados, con el fin de tomar correctivos en el proceso de prueba o
retroalimentación para los analistas y desarrolladores.
Los errores graves encontrados deben ser analizados, para hallar soluciones y
maneras de que no vuelvan a ocurrir.
Analizar el tipo de error más frecuente y revisar qué ocurre y cómo se pueden
mejorar las inspecciones.
Revisar la efectividad de las pruebas y reforzar aquellas que más errores
detectan.
Los métodos y las herramientas de prueba a emplear pueden ser cualquiera,
siempre y cuando se utilicen dentro de un plan de pruebas.
• Uno de los beneficios de las autoevaluaciones es que los analistas pueden sugerir
mejoras dentro de todo el proceso de desarrollo de software, para así incrementar
su calidad y productividad en el trabajo.
1.1.4.6. Plan de Pruebas
Son descripciones de situaciones que reflejan qué se quiere probar del sistema. Para
cada una de las condiciones de prueba definidas se establece el conjunto de
variaciones y alternativas necesarias para probarla completamente. Sus
características son:
• Definir cuáles son las condiciones a probar en un sistema.
• La calidad del conjunto de condiciones elegido incidirá directamente en la calidad
de la solución obtenida.
• Cada condición debe definir clara y brevemente una situación del sistema que se
desea probar. Si se precisa más, posiblemente podría dividirse en “subcondiciones”.
• Las condiciones son descripciones generales, no tienen el detalle de qué datos se
utilizarán para probar; eso se irá especificando en los casos de prueba, al igual que
los resultados esperados de su ejecución.
Los datos de prueba son entradas que son ideadas para probar el sistema. Los tipos de
datos de prueba son:
• Datos Reales. Permiten probar ocurrencias y casos reales que se deben presentar
en la solución, aunque no permiten probar otras rutas programadas, las cuales son
a las que el usuario no puede acceder.
1.1.6. Satisfacción del Usuario. Para evaluar la satisfacción del usuario y producir
alarmas de no cumplimiento o no satisfacción, se debe definir, negociar y hacer
seguimiento a los acuerdos de niveles de servicio. Además se deben gestionar los
riesgos asociados con los usuarios, emplear prácticas activas de comunicación para
ayudar a los usuarios a comprender lo que quieren, involucrar a los usuarios en
actividades de control del progreso de la solución y asegurar que las fallas de los
sistemas y los requerimientos de los usuarios sean resueltas en los tiempos
comprometidos.
• Resultados. Usuarios firmemente leales. El tiempo se reduce para que bajen los
costos. Un clima que respalde el trabajo de equipo y un desempeño más
significativo. Una ética general de mejoramiento continuo.
La Calidad Total constituye una adecuada ideología, que a través de un buen manejo,
agrega en distintas etapas, valores, vigorizando el espíritu de quienes participan de
ella mediante cambio de actitudes, con las siguientes finalidades:
Es la calidad que la Organización busca en un tercero para que realice todo el proceso
de Calidad.
Esta tabla busca facilitar a las personas encargadas de implementar la Norma ISO/IEC
17799 en su organización, a observar el control correspondiente o similar en la Norma
ISO/IEC 9000:2000 para darle un valor agregado a la hora de certificarse en
cualquiera de las dos normas.
Cuadro 16. Correspondencia de la Norma ISO/IEC 9000 y la Norma ISO/IEC
17799
1.1. Generalidades
1.2. Aplicación
5. Responsabilidad de la dirección
5.4. Planificación
7.4. Compras
8.2.3. Seguimiento y medición de los 9.7.2. Monitoreo del uso de los sistemas.
procesos 12.1.5. Prevención de uso inadecuado de
los recursos informáticos de
procesamiento de información.
8.5. Mejora
La Norma ISO/IEC 17799 debe estar en todo el proceso de negocio, dado que la
información en cada elemento de este proceso es importante para el buen
funcionamiento del negocio. Por lo tanto se realizó una tabla de correspondencia que
muestra cada uno de los elementos del proceso de negocio con su respectivo control
de la Norma ISO/IEC 17799.
Figura 11: Proceso de Negocio
GERENCIAMIENTO ESTRATÉGICO
CADENA DE VALOR
GESTIÓN DE CLIENTES
GESTIÓN DE CALIDAD
GESTIÓN FINANCIERA
3. Política de Seguridad.
4.1.1. Foro Gerencial sobre Seguridad de la
Información.
4.1.2. Coordinación de la Seguridad de la
GERENCIAMIENTO Información.
ESTRATÉGICO 11. Administración de la Continuidad del Negocio.
12.1.5. Prevención del Uso Inadecuado de los
Recursos de Procesamiento de Información.
12.1.7. Recolección de Evidencia.
12.3. Consideraciones de Auditoría de Sistemas.
Visión.
Diseño.
• Planear la Pre-Producción.
• Establecer la capacidad del proceso.
• Validar el diseño.
• Establecer la capacidad tecnológica.
Fabricación.
• Ejecutar el Trabajo
• Establecer la capacidad de producción.
• Usar la tecnología adecuada para la elaboración de un producto o prestación de
un servicio.
• Realizar pruebas (si es requerido).
• Utilizar adecuadamente los materiales para la elaboración de un producto o
prestación de un servicio.
Implantación.
Al tener claro cual es el objetivo de cada elemento del proceso de negocio, se tomo la
Norma ISO/IEC 17799 y se identificaron los aspectos más importantes para cada
elemento, con respecto a la seguridad de la información.
Cuadro 18. Cadena de Valor y Norma ISO/IEC 17799