DESARROLLO DE UN PLAN INFORMATICO UTILIZANDO TECNOLOGIA OPEN SOURCE
Seminario de Ttulo Para optar al ttulo Profesional de Carrera Ingeniera en Conectividad y Redes
Alumno: Miguel Gajardo C. Profesor: Marco Bravo V.
Septiembre 2013
Agradecimientos A Dios, porque me diste las fuerzas necesarias para seguir luchando. A mi Familia, por el apoyo y confianza entregados. A mis Hijos, por su comprensin y cario incondicional que me permitieron soar. A mi Mujer, compaera fiel en los desafos de la vida. A mis Padres y Hermanos por demostrarme lo capaz que soy para enfrentarme a los retos del crecer. A Todos, por la maravilla de sentir su amor y aliento en los momentos difciles.
INDICE DE CONTENIDOS TEMARIO PAGINA
I. INTRODUCCION 1.1 Justificacin del Proyecto 1.2 Objetivos 1.2.1 Objetivo general 1.2.2 Objetivos especficos 1.3 Organizacin del documento : : : : : : 01 03 04 04 05 05 II. ANALISIS DEL PROBLEMA 2.1 Antecedentes 2.2 Descripcin de la compaa 2.2.1 Organigrama de la empresa 2.2.2 Proyectos y trabajos 2.2.3 Metodologa de trabajo 2.3 Problema detectados en la empresa 2.3.1 Casa Matriz 2.3.2 Sucursales 2.4 Estimacin de las tendencias de las Tecnologas de Informacin : : : : : : : : : : 06 06 07 07 08 08 09 11 14 14 III. MARCO TERICO 3.1 Sistema Operativo de Red (Open Source) 3.2 Equipamiento 3.2.1 Hardware de red 3.2.2 Software 3.3 Mejores Prcticas y Estndares Internacionales 3.3.1 Procesos : PMI y PMBOK 3.3.2 Gestin TI : COBIT 3.3.3 Gestin Servicios : ITIL 3.3.4 Calidad : Normas ISO 3.4 Plan Informtico
: : : : : : : : : : : 18 18 30 30 31 34 36 38 46 50 53 IV. PLANTEAMIENTO DE LA SOLUCIN 4.1 Puesta en marcha 4.1.1 Hardware 4.1.2 Software 4.1.3 Cableado estructurado 4.1.4 Servicios de Red 4.1.5 Sistemas vigentes y su estado 4.1.6 Recursos Humanos 4.1.7 Sntesis de una encuesta de satisfaccin de usuarios 4.1.8 Resumen de costos por cada concepto anterior 4.1.9 Anlisis de costos 4.2 Sistemas de Informacin 4.2.1 Desarrollo de nuevos sistemas previstos 4.2.2 Mantencin adaptativa, correctiva y perfectiva de los sistemas vigentes. 4.3 Recursos Informticos 4.3.1 Equipamiento 4.3.1.1 Enlaces de Internet 4.3.1.2 Red de Datos 4.3.1.3 Servidores 4.3.1.4 Estaciones de Trabajo 4.3.1.5 Dispositivos Activos 4.3.2 Hardware - Software 4.3.3 Necesidades de capacitacin 4.3.4 Plan de Seguridad 4.3.5 Benchmarking con otras organizaciones 4.3.6 Plan de Migracin de la tecnologa actual a la nueva 4.3.7 Auditora Informtica 4.4 Resumen del estudio realizado 4.4.1 Informe de premisas y supuestos bsicos considerados para cada nivel de la organizacin. 4.4.2 Evaluacin de las debilidades y fortalezas de la unidad de informtica.
: : : : : : : : : : : : : :
: : : : : : : : : : : : : : :
:
54 54 54 54 56 57 65 65 66 66 66 69 69 70
74 74 74 76 77 79 80 83 83 83 97 98 99 107 107
108
4.4.3 Evaluacin de alternativas de software y de sus proveedores segn pautas 4.4.4 Evaluacin de alternativas de equipamientos y de sus proveedores segn pautas
110
111 V. CONCLUSIONES Y RECOMENDACIONES : 112 REFERENCIAS BIBLIOGRFICAS : 114 TERMINOLOGA : 116
INDICE DE FIGURAS Figura 1 Categorizacin por niveles penetracin de la tecnologa en las empresas. : 01 Figura 2 Metodologa bsica para el levantamiento de informacin. : 06 Figura 3 Organigrama Cygsa Chile S.A. : 07 Figura 4 Esquematizacin de las cinco operaciones informticas bsicas : 15 Figura 5 Metodologa propuesta para el desarrollo un Plan Informtico : 18 Figura 6 Mapa del Open Source y su utilizacin en el mundo : 20 Figura 7 Mapa mental de los diferentes estndares y Buenas/Mejores prcticas : 35 Figura 8 Las etapas de la administracin de procesos : 37 Figura 9 Mapa de la gua de administracin de proyectos 37 Figura 10 Diagrama de procesos de COBIT 38 Figura 11 Administracin de la Informacin 40 Figura 12 reas de Enfoque del Gobierno de TI 42 Figura 13 Productos COBIT 44 Figura 14 Interrelaciones de los componentes de COBIT 45 Figura 15 ITIL 10 Libros Centrales a fines de 1980 48 Figura 16 Aspectos de la metodologa de Soporte al Servicios 49 Figura 17 Aspectos de la metodologa de Provisin del Servicio 49 Figura 18 Las reas clave en los aspectos de la seguridad de la informacin 51 Figura 19 Metodologa propuesta mejorada 54 Figura 20 Niveles RTO 71 Figura 21 Enlace 10 Mbps / 4 Mbps 75 Figura 22 Enlace 2 Mbps / 1 Mbps 75 Figura 23 Red de datos Cygsa Chile S.A. 76
INDICE DE TABLAS Tabla 01 Tiempos estndar de implementacin en una organizacin : 50 Tabla 02 Servicios de Red bajo Open Source : 57 Tabla 03 Valores de software para Servidores : 67 Tabla 04 Valores de software para estaciones de trabajo. : 67 Tabla 05 Valores de implementacin Open Source : 68 Tabla 06 Tabla comparativa de costos relacionados con la implementacin informtica orientada a servidores y servicios de red.
: 69
RESUMEN EJECUTIVO No existe una regla o estndar sobre el contenido especfico de un plan informtico formal, bsicamente debido a lo vertiginoso de los cambios tcnicos y de las necesidades de informacin de los usuarios. Existen algunas guas que permiten formular un plan en trminos que puedan ser ledos e implementados por quienes necesitan la informacin completa y suficiente, como para responder a la mayora de las preguntas que podran ser formuladas. Es importante establecer que la razn para desarrollar el plan informtico formal es ejecutar los conceptos, metas, estrategias y desarrollos resultantes del estudio y revisiones peridicas de las necesidades de los usuarios y de su compatibilidad con el plan vigente. Qu es un plan informtico formal? Un plan informtico formal es un proceso expresado en un documento escrito y conocido por todo el personal de la empresa, independiente de la jerarqua que ste posea. Define estrategias y polticas para alcanzar objetivos, desarrolla planes detallados para asegurar que las estrategias se lleven a cabo con el fin de que tales objetivos se realicen en trminos de productos y resultados concretos, medibles por la unidad de Informtica, por los usuarios, por el nivel Estratgico y socios vinculados con los proyectos adjudicados, en parmetros no tcnicos y exentos de ambigedad. Componentes de un Plan Informtico formal Un plan informtico formal no es un mtodo para resolver problemas corrientes en cortos perodos, puesto que no permite competir con cambios inesperados en la Direccin. Esto no es indicador de un error de concepto, pero indica el riesgo adquirido en las actividades del Plan. Un plan informtico formal debe contemplar un horizonte que alcanza un perodo variable entre 3 y 5 aos, dependiendo del tamao de la organizacin. No obstante, el mismo debe ser revisado por lo menos anualmente, y reformulado cada vez que se modifiquen en forma sustancial los objetivos y metas planteadas por el nivel Estratgico de la organizacin. Un plan informtico formal, adems de un presupuesto de gastos, es un conjunto de planes interrelacionados cuya finalidad es bsicamente satisfacer las necesidades de informacin que el sistema de decisiones de la organizacin
requiere, en la cantidad, calidad, oportunidad y forma que cada nivel necesita. Lo anterior debe ser considerado en el marco de la velocidad de desarrollo y de la cantidad de alternativas, siempre crecientes, que el mercado de informtica ofrece. En este trabajo se propone una metodologa suficiente y necesaria para la creacin de un Plan Informtico, basado en estndares y mejores prcticas reconocidas a nivel internacional. Una metodologa sobre un Plan Informtico Formal debera tener a lo menos cinco caractersticas relevantes: Sencilla de captar. Prctica en su aplicacin. Flexible para adaptarse a planeaciones estratgicas de tecnologa informtica. Flexible para usarse en cualquiera de los tipos de planeacin. Que pueda ser utilizada bajo el enfoque de bsqueda de problemas o bien el de bsqueda de oportunidades. La metodologa que se propone debera a lo menos contener las siguientes fases: 1. Caracterizacin de la organizacin (levantamiento de informacin). 2. Revisin de la arquitectura de tecnologa informtica actual. 3. Revisin de los planes de la organizacin. 4. Caracterizacin del rol de la tecnologa informtica en la organizacin. 5. Estimacin de las tendencias de la tecnologa informtica. 6. Benchmarking con otras organizaciones. 7. Determinacin de la nueva arquitectura de tecnologa informtica. 8. Plan de migracin de la arquitectura de tecnologa informtica actual a la nueva. 9. Documentacin del plan de tecnologa informtica. 10. Comunicacin del plan de tecnologa informtica. Se pretende completar todas las fases descritas en el desarrollo de este proyecto de ttulo. Adems se espera aportar y proponer nuevas tareas en la medida que se vayan presentando y que no estn cubiertas por esta definicin preliminar.
Finalmente, en la implementacin del plan informtico formal, se utilizar tecnologas del tipo Open Source tan confiables como las ms famosas plataformas de red pagadas del tipo Microsoft, Sun o Novell Suse.
1
I. INTRODUCCIN La importancia que han adquirido con el tiempo las tecnologas de la informacin en las organizaciones, radica principalmente en la generacin de nuevos negocios y en la supervivencia de las empresas.
Figura 1: Categorizacin por niveles de penetracin de la tecnologa en las empresas. A medida que han avanzado las Tecnologas de la Informacin, el impacto que han causado dentro de las empresas ha sido tal, que hoy no se concibe una compaa que no tenga un equipo de apoyo informtico dentro de su estructura. Es por esto que se ha hecho necesario contar con las herramientas, personas y servicios que provean la capacidad de implementacin, soporte y mantencin de las tecnologas de informacin (TI) dentro de la organizacin. En la figura 1 se presenta una categorizacin de los diferentes niveles de integracin de las empresas con base en las TI o Tecnologas de la Informacin.
2
Este trabajo se focalizar en poder establecer una propuesta metodolgica, que permita el ordenamiento tecnolgico al interior de las empresas. Esta propuesta de ordenamiento ser la creacin de un Plan Informtico, en base a las polticas que establece la direccin de la empresa, para llevar as las tareas de TI (Tecnologas de la Informacin) de forma moderna y totalmente confiable. El Plan informtico propuesto se basa en una metodologa de buenas prcticas y estndares, para llevar a cabo todas las etapas del proceso relacionadas con la implementacin, puesta en marcha y administracin de los servicios necesarios para el funcionamiento adecuado del departamento de Informtica dentro de la empresa. El primer paso una vez efectuada la toma de requerimientos, es proceder a realizar un estudio exhaustivo de la situacin actual de la organizacin, para que con posterioridad se pueda dar a conocer una solucin ntegra en base a sus necesidades. Los aspectos que se considerarn para entregar esta solucin, se basarn principalmente en el nivel de importancia que posee la informacin que administra la empresa en sus servidores, como as tambin la implementacin que concierne a los requerimientos que solicitan los clientes de la empresa, algunos de los cuales son instituciones fiscales, empresas privadas, por mencionar algunos de ellos. A continuacin se darn a conocer las etapas necesarias para llevar a cabo el proyecto expuesto, considerando los aspectos rescatados en la toma de requerimientos y que se deben tomar en cuenta para ejecutar una intervencin de procesos basada en Tecnologas de la Informacin. Para establecer los parmetros que conciernen a esta definicin, se deben realizar reuniones calendarizadas con la direccin de la empresa, recopilando as la informacin necesaria que corresponde a las polticas que necesitarn desarrollarse. El proyecto usar como base una plataforma informtica que entrega las tecnologas relacionadas con el software libre, referidas principalmente al Sistema Operativo Linux y los servicios que provee este sistema dentro de la red computacional.
3
Si las organizaciones y las empresas en particular pueden aplicar este tipo de recomendaciones, stas tendrn ventajas comparativas y competirn de mejor forma que otras empresas que no cuenten con este tipo de servicios. Un aspecto importante que se puede destacar, es el hecho que en las plataformas de red tradicionales es muy oneroso adquirir las licencias de software de los diferentes sistemas que se necesitan, para operar en una infraestructura de red moderna. Hoy, esto es posible de hacer gracias al software libre a un costo considerablemente menor, manteniendo el mismo nivel de satisfaccin a los usuarios de los diferentes servicios de red, usando una plataforma libre y segura: el Sistema Operativo Linux. 1.1 Justificacin del Proyecto Las razones principales que justifican la realizacin de este proyecto son: Innovacin: Desarrollar una metodologa que permita implementar de una nueva forma las TI de bajo costo para las PYMES (pequeas y medianas empresas), pensando principalmente en los nuevos paradigmas de hacer las cosas en la perspectiva del Open Source. Evolucin: Los constantes descubrimientos tecnolgicos hacen evolucionar inevitablemente la forma de afrontar los nuevos desafos y es por esto que, basndose en que las nuevas tecnologas se imponen en el mercado, se ha optado por desarrollar esta metodologa que explota las tecnologas de informacin de bajo costo muy confiables y en continuo desarrollo. Economa de las licencias de software: El ahorro de licencias de software es crucial para obtener servicios de red realmente econmicos, lo que si adems es apoyado por la implementacin utilizando el software libre, hace que este proyecto tenga un costo econmico muy bajo. Creatividad: Realizar un proyecto que consista en la integracin de las Mejores Prcticas y Estndares Internacionales, con el fin de entregar una solucin ntegra a la problemtica existente en una empresa en particular. De acuerdo a las caractersticas del proyecto en general, se justifica su implementacin ya que se entregan soluciones integrales a un costo muy bajo con acceso a actualizaciones tecnolgicas peridicas sin costo.
4
Por otro lado, un aspecto importante es el hecho de contar con una infraestructura tecnolgica robusta, para cubrir las necesidades que requiere implementar la empresa en el mediano y largo plazo, permitiendo de tal forma la utilizacin de servicios necesarios para realizar correctamente las labores de sta. 1.2 Objetivos Al ejecutar un proyecto se deben lograr los objetivos previamente establecidos, para as alcanzar la conformidad con la contraparte, ya que sta se toma como base para satisfacer los requerimientos que los clientes soliciten a la empresa. De esta forma, se puede concluir que la plataforma informtica que se implementar, ser robusta, fiable y lo ms importante es el hecho de que la informacin relevante para el cliente en cada proyecto, se ver segurizada a alto nivel, punto importante y plus adicional al contemplar lo realizado tradicionalmente. 1.2.1 Objetivo General El objetivo general es la proposicin de una metodologa para la creacin de un plan informtico en una organizacin. Las tareas necesarias para el cumplimiento de este trabajo son las siguientes: Levantamiento de informacin y construccin de Lnea Base o punto de partida para la propuesta metodolgica. Mejorar los niveles de seguridad de la informacin administrada por la empresa. Construccin de una plataforma de red robusta, de bajo costo. Incluir una solucin integral con los servicios necesarios de red para cumplir con los requisitos del crecimiento de la compaa, el cual est basado en la lnea de negocios que maneja la empresa. Intercomunicacin, interoperabilidad y gestin con proyectos en marcha. Integridad, disponibilidad y confidencialidad de la informacin. Implementacin de estndares internacionales de gestin, seguridad y calidad.
5
1.2.2 Objetivos Especficos Los objetivos especficos que se han contemplado lograr, al finalizar la etapa de implementacin del proyecto se detallan a continuacin: Administracin completa de la red Lan en base al monitoreo y administracin de los recursos que se encuentran activos dentro de la red. Administracin y supervisin de los enlaces dedicados de la empresa. Segregacin de la red Lan, en cuanto a la parte operativa y a los servicios implementados. Implementacin de Servidor Firewall, para realizar filtrados de la informacin que interacta en la Red Pblica con la Red Privada. Implementacin de Correo Propio. Para administrar la totalidad de las cuentas de correo. Implementacin de Controlador de Dominio Propio para administrar el trabajo que realiza cada usuario, una vez ingresado al dominio instaurado. Sin realizar este tipo de autenticacin el usuario no puede acceder a la utilizacin del equipo informtico que tiene a su disposicin. Se implementan las polticas expuestas y entregadas por la empresa desde su nueva estructura de seguridad y gestin de las TI. 1.3 Organizacin del documento En el captulo 1 se describe la introduccin al trabajo que se pretende realizar, adems de indicar las razones que se tuvo para desarrollar un tema ligado al mbito de las TI. En el captulo 2 se define la problemtica y se desarrolla el anlisis del problema que se tomar como referencia para el desarrollo del presente trabajo, orientado a una empresa en particular. En el captulo 3 se define el marco terico y tecnolgico en el cual estar basado el desarrollo del presente trabajo. En este captulo se examinan las tecnologas actuales. En el captulo 4 se desarrolla el planteamiento de la solucin propuesta y se comienza a esbozar la solucin concreta y real a disear para resolver los problemas detectados en la empresa considerada y proponer el Plan Informtico.
6
En el captulo 5 se proponen las conclusiones y recomendaciones emanadas de la propuesta de trabajo. II. ANALISIS DEL PROBLEMA 2.1 Antecedentes Se realiza un levantamiento informtico en la empresa, con el fin de descubrir los problemas que le afectan. De acuerdo a esto, se han detectado las falencias existentes dentro de la organizacin y de la forma de ocupar las TI para su negocio. Realizados los anlisis correspondientes y tomando como base la informacin adquirida por medio del proceso de levantamiento, se puede sealar que la informacin que se maneja en la organizacin tiene un valor considerable. Este valor se contrapone al manejo al interior de la organizacin, ya que existe un desnivel entre la importancia de la informacin versus su seguridad y procesamiento.
Figura 2: Metodologa bsica para el levantamiento de informacin. Ante esta situacin se ha logrado determinar que se necesita realizar una reingeniera en los procesos informticos, para lograr un nivel acorde a la informacin que se maneja. Para esto lo primero que se debe considerar es aplicar un sistema de ordenamiento a las Tecnologas de Informacin que se encuentran implementadas dentro de la organizacin, como tambin determinar las TI que son necesarias para la empresa. Con esto se espera obtener una metodologa que pueda ser adaptada a cualquier organizacin que requiera implementar TI en forma eficaz y eficiente, sirviendo de marco o modelo general.
LEVANTAMIENTO DE INFORMACIN ANALISIS
7
2.2 Descripcin de la compaa CYGSA es una empresa espaola de vasta trayectoria en consultoras de ingeniera, desarrollo y ejecucin de proyectos, experiencia respaldada por las actividades desarrolladas durante 25 aos en Espaa. La necesidad de proyectar su quehacer ms all de las fronteras espaolas, lleva a su directorio a pensar en Chile, pas que resulta atrayente por su economa estable y fuerte inversin en minera y proyectos de ingeniera y construccin por lo cual, en 1996 se crea la filial CYGSA CHILE S.A. en la ciudad de Santiago. Se establece como principal objetivo de la empresa, el insertarse y posicionarse en el mercado chileno como una de las mejores empresas en la prestacin de Servicios de Ingeniera e Inspecciones Tcnicas de Obras. En la actualidad CYGSA CHILE S.A., cuenta con una dotacin de personal promedio de 300 trabajadores, que contempla personal administrativo y de obra, con variadas especialidades. CYGSA CHILE S.A. es una empresa independiente de la casa matriz y se encuentra inscrita en los registros de distintas entidades estatales y privadas. 2.2.1 Organigrama de la empresa
Figura 3: Organigrama Cygsa Chile S.A.
8
2.2.2 Proyectos y trabajos Entre los servicios que realiza la empresa destacan: Inspeccin Tcnica de Obras Mineras. Construccin. Trazados Ferroviarios. Inspeccin Tcnica de Presas de Relaves. Estudios Medio Ambientales. Proyectos Hidrulicos. Servicios de Transporte y Preparacin de Muestras Mineras. Proyectos Viales e Inspeccin Tcnica de Obras Civiles en General. 2.2.3 Metodologa de trabajo CYGSA CHILE S.A. desarrolla trabajos en forma permanente con clientes pblicos y privados, entre los que destacan: Codelco Chile, Corporacin Nacional del Cobre. Ministerio de Obras Pblicas Coordinacin General de Concesiones del Ministerio de Obras Pblicas. EFE, Empresa de Ferrocarriles del Estado. Intendencia Metropolitana. Aguas Andinas. SERVIU, Servicio Nacional de Vivienda y Urbanismo. ENAP, Empresa Nacional del Petrleo. La modalidad de trabajo que posee la empresa es generalmente con empresas del estado que por medio de la participacin en las propuestas pblicas de proyectos que realizan, se basan en los requerimientos estipulados en el Portal Mercado Pblico, entregando bajo este precepto las ofertas tcnicas y econmicas para cada caso. Una vez efectuado este procedimiento, el cliente realiza un estudio de cada participante y adjudica un proyecto determinado al oferente que posea la mejor calificacin tcnica y econmica propiamente tal.
9
Cabe destacar que en las bases de proyecto que realizan los clientes tanto estatales como privados, existe dentro de sus apartados uno dedicado al 100% a la implementacin tecnolgica de cada proyecto, para su funcionamiento adecuado. Esta implementacin tecnolgica contempla la provisin de los siguientes aspectos: Acceso a Internet, contemplando dentro de ste direcciones IP pblicas, que varan en su cantidad dependiendo de los servicios que se requiera implementar. Instalaciones de redes informticas en las dependencias correspondientes. Provisin de equipamiento computacional para el proyecto en cuestin, entre los cuales se mencionan: servidores, computadores, impresoras, scanners, cmaras digitales, plotters, etc. Servicios de red, que interactan con la red pblica y privada, entre los que se pueden mencionar: firewall, servidor de correo electrnico, antivirus y antispam, servidor de informacin, etc. Acceso remoto para dar soporte informtico tanto al tema de los servidores y servicios, como tambin a los usuarios clientes. 2.3 Problemas detectados en la empresa Se dar a conocer la problemtica existente al interior de la empresa en el mbito de las TI y para cada caso puntual que deba ser solucionado, se describir el problema de fondo para conseguir la mejor solucin y el nivel ptimo requerido en la gestin de los diferentes proyectos. A continuacin se expondrn los problemas detectados: Nivel Estratgico El Departamento de Informtica no se encuentra posicionado en el lugar estratgico que le corresponde dentro de la estructura de la empresa. No existe una poltica definida entre la Direccin de la empresa y la Unidad de Informtica respecto a la administracin de las Tecnologas de Informacin tanto a nivel central, como a los proyectos adjudicados.
10
Se observa la inexistencia de un marco de priorizacin, en cuanto a la atencin de los usuarios que se realiza de acuerdo a su importancia posicional en la empresa. Inexistencia de la funcin de Gestin Informtica de Proyectos. La inexistencia de planificacin en la cual se deje estipulado los objetivos que debe cumplir la unidad de Informtica. Nivel Tctico La inexistencia de una interconexin de red entre la oficina central y los proyectos en ejecucin. No se cuenta con una solucin de acceso va VPN para la Gerencia de la empresa para utilizar los recursos de la red interna. Poca transparencia de la informacin en cuanto a los recursos con los cuales cuenta la Unidad de Informtica para proveer de Tecnologas de Informacin a la empresa. La inexistencia de un protocolo de comunicacin en cuanto al manejo de la informacin, respecto a la utilizacin de los recursos informticos de los usuarios y la entrega a la Unidad de Informtica de dicha informacin. Se ha detectado deficiencias en la evaluacin del nivel de importancia de la informacin, respecto al tratamiento de sta. La modalidad de requerimientos tcnicos que solicitan los usuarios se efectan va telefnica y/o correo electrnico, lo que dificulta la realizacin de seguimientos de dichas solicitudes y su incidencia en tiempo y costos para la empresa. No se cuenta con un enlace de respaldo con otro proveedor de servicios de internet, ante fallas circunstanciales que puedan ocurrir con el enlace principal. Inexistencia de un filtraje de acceso a internet por parte de los usuarios, principalmente restricciones a pginas a las que no debieran tener acceso. Nivel de seguridad deficiente, al utilizar el servicio de Terminal Server. Existe un acceso deficiente a la informacin. El sistema de Licenciamiento es caro, lo que disminuye operativamente el presupuesto de la unidad de Informtica. No existe servidor de correo electrnico al interior de la empresa.
11
Problemas para la revisin de los correos institucionales en lnea (acceso web), debido al servicio contratado con el ISP. Inexistencia de un controlador de dominio primario de respaldo y de backup. No existen polticas de respaldos de Informacin. Existen diversos problemas de seguridad con el Firewall. No existe solucin segura de Antivirus y AntiSpam en cuanto a las vulnerabilidades del sistema. Servidor de Archivos licenciado y caro. No existe servidor FTP como solucin para mover grandes archivos. 2.3.1 Casa Matriz Santiago a) Acceso deficiente a la informacin El acceso a los datos en los servidores actuales de la empresa es problemtico y engorroso, puesto que la plataforma actualmente montada posee ciertas restricciones. Como ejemplo, se puede mencionar que la informacin relacionada con los proyectos posee un ordenamiento especfico en las rutas de acceso que entrega el cliente. Este ordenamiento supera los lmites que esta plataforma nos brinda, referido principalmente a Microsoft, puesto que en base a su Filesystem (Sistema de Archivos), el tamao mximo que puede tener una ruta especfica para contener informacin, no puede superar los 256 caracteres, lo cual es una limitante ya que las rutas entregadas por los clientes superan el lmite antes mencionado. Este problema trae consigo, adems del acceso a la informacin, los respaldos correspondientes a los servidores, puesto que durante su proceso la informacin que se encuentra contenida en las rutas en los servidores supera el lmite establecido ocasionando inconsistencias, prdidas de informacin, por el hecho de no poder respaldarse. b) Sistema de licenciamiento Debido a que la plataforma computacional cuenta con servidores que utilizan los Sistemas Operativos de Servidor, mencinese Microsoft Windows 2003 Server Enterprise, Microsoft Windows 2008 Server Enterprise, se deben adquirir las licencias correspondientes a cada servidor, como tambin a cada
12
recurso que entrega ste dentro de la LAN. Cada permiso, acceso a la informacin compartida, servicios especficos, requieren que se adquiera una licencia por cada usuario, acceso y servicios que se implementen en los servidores. Se debe considerar tambin que los volmenes de informacin contenidos en los servidores supera los 2 TB y su sistema de ordenamiento es demasiado especfico, vale decir, muchos recursos compartidos para diferentes usuarios, como tambin para algn grupo de usuarios que necesitan acceder a la informacin. c) Servidor de Correo Electrnico La empresa no cuenta con un servidor de correo propio, encontrndose contratado con un ISP (Proveedor de Servicios de Internet), el cual cobra mensualmente por cada cuenta adicional que se requiera. Como dato adicional, los buzones de correo poseen 50 MB de almacenamiento, lo cual hace demasiado deficiente su tamao para lo que se necesita. d) Problemas para la revisin de correos en lnea Este problema se suscita debido a que el servicio que proporciona el ISP, considerando el lmite de capacidad que posee cada buzn, permite la visualizacin de los correos en lnea desde cualquier punto de acceso, mencinese (Notebook, Netbook, Blackberry, Ipad, etc.). La informacin leda por este medio queda almacenada en los servidores como leda, valga la redundancia, pero con la deficiencia que a la hora de revisar un buzn especfico asociado a la estacin de trabajo, no se puede descargar el correo que ya ha sido ledo por la otra va antes expuesta. e) Controlador de Dominio Primario (PDC) Dentro de la LAN la administracin de los usuarios no se realiza en algn servidor especfico. Debido a esto las restricciones que se necesitan para administrar los perfiles de usuarios y que se aplican en base a las polticas estipuladas en la empresa, como por ejemplo, que los usuarios solamente puedan realizar algunos procesos determinados en el equipo, se hacen limitadas ya que dichas restricciones se deben realizar en cada equipo localmente, haciendo deficiente as la administracin de stos.
13
f) Respaldos de Informacin Los respaldos de informacin de los servidores y de algunos usuarios en especfico, se realizan por medio de un software que requiere licencia para su uso. g) Antivirus El antivirus que se utiliza en la empresa es el que provee Microsoft al momento de contar con licencias de software para el uso del Sistema Operativo. Se necesita contar con una Consola de Administracin de Antivirus que debe adquirirse por medio de los proveedores, ya que se debe pagar licencias para el uso e implementacin de stos. h) Servidor de Archivos La empresa no cuenta con un servidor de archivos que permita almacenar la informacin de cada usuario, encontrndose almacenada en sus respectivos equipos hacindola cada vez ms vulnerable, con riesgo de prdida, como tambin presenta el problema respecto al tiempo que se utiliza para poder reintegrar el equipo al usuario en el momento oportuno. i) AntiSpam La empresa no posee filtro de Antispam (Correos Electrnicos no deseados que ingresan a los buzones de los usuarios). Se hace necesario contar con este servicio, ya que ha habido casos en que los equipos han sido infectados por esta va, lo que perjudica sustancialmente su funcionamiento, como tambin a la informacin que se encuentra almacenada. j) Servidor FTP El Servicio de Protocolo de Transferencia de Archivos (FTP) se utiliza como servicio implementado dentro de los servidores mencionados anteriormente, para que as el personal perteneciente a las obras en terreno de la empresa, pueda enviar informacin relevante a cada proyecto en ejecucin para ser analizado en la central. Contar con este servicio directamente dentro de la LAN en uso implica que los niveles de seguridad de la red, bajen considerablemente.
14
2.3.2 Sucursales En las sucursales los problemas radican en la forma de operar de los proyectos, la que se lleva a cabo de acuerdo a lo que estipulan las bases tcnicas de cada uno de stos, no existiendo una estandarizacin de los procedimientos, debido a que como cada cliente confecciona las bases necesarias, los requerimientos van variando en funcin de la magnitud y duracin de cada proyecto. Lo que se puede observar y que repetitivamente sucede, es en cuanto al acceso compartido de la informacin entre la oficina central y los proyectos, como tambin a la seguridad de la informacin de cada proyecto en las dependencias de stos. 2.4 Estimacin de las tendencias de las Tecnologas de Informacin Llevar a cabo las tareas de la organizacin apoyndose en las Tecnologas de Informacin, generalmente redunda en un procesamiento ms rpido y confiable de sus datos. La informacin resultante tiene mayor movilidad y accesibilidad, y cuenta con mayor integridad, que cuando se procesa en forma manual. Igualmente, los computadores relevan a los empleados de numerosas actividades repetitivas y aburridas, permitindoles aprovechar mejor su tiempo en actividades que agregan ms valor. A medida que los precios de los equipos de computacin decaen, su capacidad aumenta, y se hacen ms fciles de usar, la TI se utiliza en nuevas y variadas formas. En las empresas, sus aplicaciones son diversas. Hoy en da, la mayora de las empresas medianas y grandes (y cada da ms pequeas y micro- empresas) utilizan las TI para gestionar casi todos los aspectos del negocio, especialmente el manejo de los registros financieros y transaccionales de las organizaciones, registros de empleados, facturacin, cobranza, pagos, compras, y mucho ms. Se seala que las tendencias de las tecnologas de informacin se basan en los mismos y mejorados servicios pero a un costo reducido. Esta ser la tnica principal en el segmento de TI, hoy en da. En definitiva, la adopcin de tecnologas sostenibles ser en la mdula espinal de la empresa, la tendencia a seguir. Segn los anlisis que ha hecho pblicos la consultora britnica Ovum, el mercado de centros de datos sostenibles experimentar un importante crecimiento en el
15
ao 2013. Sostenibilidad significa tambin ahorro de costos y eficiencia. Esto, en conjunto y asociado a un datacenter, quiere decir ms virtualizacin, ms adopcin de redes definidas por software (SDN) y mayor adopcin de soluciones de infraestructura centralizadas. En el camino hacia la sostenibilidad, Ovum predice adems que las empresas designarn sus propios jefes de sostenibilidad (CSO) encargados de la gestin de programas de sostenibilidad corporativa. La figura, muy novedosa an, se convertir en un cargo habitual en las empresas, segn las predicciones de la consultora. Cmo enfrenta CYGSA en la actualidad estas tendencias, con un plan tctico que conlleve a una estrategia definida mediante un plan estructurado? Los diagnsticos efectuados permiten determinar deficiencias en las cinco operaciones informticas bsicas: captacin e interoperacin, procesamiento artificial, transmisin, almacenamiento y procesamiento cerebral, lo que impide adaptarse a estas tendencias. Ms all de estas cuatro operaciones tecnolgicas, el cerebro humano es el receptor indispensable que contribuye en este proceso dinmico de trabajar con informacin.
Figura 4: Esquematizacin de las cinco operaciones informticas bsicas
16
Los estudios efectuados de un trabajo conjunto entre un grupo amplio y heterogneo de docentes universitarios y analistas de Amrica Latina, Europa y Estados Unidos, sobre las conclusiones de las proyecciones y tendencias de las TIC, permiten establecer nuevos paradigmas a los cuales CYGSA debe adecuarse para ser viable: 1.- La evolucin de las TIC continuar.- Las tecnologas para adaptar, almacenar, transmitir y procesar informacin son mucho ms antiguas que las TIC digitales y han demostrado un crecimiento exponencial en su rendimiento desde los das cuando la humanidad se comunic con seales de humo y papiro. Segn la teora del progreso tcnico, no existe razn por la que no debieran continuar evolucionando a un ritmo veloz y no se vislumbra un giro importante. Se ver que cada ao se est creando ms informacin que en los cientos de aos anteriores y en la actualidad no se puede prever un lmite inminente que restrinja el crecimiento de la cantidad de informacin que puede ser procesada por una sociedad y sus mquinas. A medida que el crecimiento exponencial est superando umbrales significativos, el ndice sostenido de innovacin hace que el desarrollo futuro sea cada vez ms incierto. 2.- De la informacin se pasa al conocimiento.- Ya no dan abasto las soluciones tecnolgicas con las que se podra procesar efectivamente el mayor caudal de informacin de las redes digitales. Las sociedades de la informacin en la actualidad se caracterizan por estar desbordadas. Las investigaciones se estn concentrando en la tarea de extraer significados de la avalancha de informacin disponible y convertirla en conocimiento. Es de esperar que el eje del progreso tcnico sea el enfoque cognitivo para las soluciones tecnolgicas que produzcan inteligencia, en lugar de la simple construccin de infraestructura de las comunicaciones. 3.- A medida que la tecnologa molecular se hace omnipresente, las TIC son un requisito bsico.- El paradigma digital est siendo cada vez ms permeado por las tecnologas mediante las cuales se manipulan molculas, como la nanotecnologa, la biotecnologa y la tecnologa gentica. Se cree que el paradigma molecular constituir la prxima onda larga socioeconmica de la humanidad, y que convertir el paradigma digital en condicin sine qua non para el progreso socioeconmico, de la misma manera que los anteriores paradigmas
17
del motor de combustin interna en el transporte o la electricidad se han hecho indispensables para el desarrollo actual. 4.- Se producirn cambios en el paradigma tecnolgico en las trayectorias de innovacin de las TIC.- En los cuatro subsistemas de TIC ( interoperacin, almacenamiento, transmisin y computacin ) se observan caminos evolucionarios bien marcados con paradigmas tecnolgicos diferentes y varios de los actuales paradigmas estn alcanzando sus lmites. Con las tcnicas actuales para producir hardware se afrontan problemas de tamao, y el mtodo de fuerza bruta para la elaboracin de software no ha conducido a las esperadas soluciones inteligentes. Adems el progreso de la nanotecnologa y la biotecnologa parece empujar a los sistemas de TIC hacia el paradigma molecular. Esto indica que habr cambios de paradigmas tecnolgicos en las avenidas de innovacin de las TIC ( innovaciones disruptivas y radicales ), lo que a la vez siempre ofrece una oportunidad para dar un salto cualitativo. 5.- La convergencia de las TIC convierte a la red en computadora.- La total convergencia en el bit se traduce en una armnica red de tecnologa. Los lmites entre dispositivos de transmisin de informacin, almacenamiento y procesamiento han comenzado a desaparecer, y la naturaleza descentralizada del sistema que se adapta convierte a la red en la computadora. Los procesos de conocimiento se distribuyen entre varios agentes, y se crean algoritmos colectivos descentralizados a lo largo de una red unificada. Deben estudiarse todava ms los efectos de esta situacin en el desarrollo socioeconmico. CYGSA es una empresa que atiende clientes a nivel mundial como CODELCO Chile, que para ser competitivos aplican tecnologas frescas y de vanguardia. Si no se superan las deficiencias en las cinco operaciones informticas bsicas, difcilmente podr afrontar el desafo de las tendencias de las TIC. La viabilidad (capacidad para subsistir y permanecer en el sistema ) de CYGSA, para permanecer en el entorno de negocios, va a depender del nivel tecnolgico que alcance, por lo que requiere de urgencia de un plan informtico formal.
18
III. MARCO TERICO La metodologa propuesta se encuentra constituida por capas integradas, que se interrelacionan e interactan, constituyendo el sistema de ordenamiento lgico necesario para poder dar forma al modelo final del Plan Informtico propuesto.
Plan Informtico
Seguridad Informtica Hardware Software Buenas Prcticas y Estndares Calidad Equipamiento
Sistema Operativo de Red (Open Source)
Figura 5. Metodologa propuesta para el desarrollo un Plan Informtico 3.1 Sistema Operativo de Red La lnea base en la cual se establece est metodologa, se constituye en la primera capa de integracin, considerando las tecnologas de Open Source, principalmente Linux. Se debe tener claro que existe una diferencia entre los trminos software libre y open source, ya que no son sinnimos como generalmente se interpreta al momento de referirse al tema de Linux. Eso s, son trminos hermanos que acuan una filosofa: garantizar el acceso libre al cdigo fuente de los programas utilizados en computadores, favoreciendo entre otras cosas su uso, transferencia y modificacin. El concepto de software libre contempla cuatro aspectos fundamentales: la libertad de usar el programa con cualquier propsito; la libertad de estudiar y como adaptarlo a los requerimientos particulares; la libertad de distribuir copias y la libertad de corregir el programa y hacer pblicas las mejoras al resto de la comunidad.
19
En tanto el concepto de cdigo abierto define diez requerimientos para que la licencia de un determinado programa sea considerado cdigo abierto (Open Source), entre los que destacan la distribucin libre, acceso al cdigo fuente y la no discriminacin de personas o grupos para su uso. La diferencia fundamental es que la OSI (Open Source Iniciative) incorpora una visin de negocio, que permite comercializar servicios o soporte relacionados con los programas Open Source, tarea que en el caso del Software Libre es realizada por los propios componentes de la comunidad. En Chile, los partidarios del Software Libre y el Open Source comenzaron a reunirse durante la dcada pasada. Sin embargo durante estos ltimos aos es que han logrado una mayor cohesin y foco, lo que incluso se ha materializado en que una de estas agrupaciones tiene personalidad jurdica. Los partidarios del software libre, la mayora mostrando una fuerte conviccin, han ido abrindose espacios para dar a conocer las bondades de los programas de esta categora, como Linux, sistema operativo ocupado preferentemente en servidores y considerado como un verdadero Caballo de Troya del software libre. La organizacin, si se considera que ya obtuvo personalidad jurdica, es el CDSL (Centro de Difusin del Software Libre), cuyo trabajo principal est enfocado en el fomento y desarrollo de este tipo de tecnologa, a travs de charlas, seminarios y contactos con autoridades. Debido al impacto que ha significado el uso de esta tecnologa, se est llevando a cabo un Proyecto de Ley que busca fomentar el uso de software libre y/o de Open Source por parte del Estado de Chile. Los beneficios del Open Source se relacionan principalmente con ahorro de costos, superioridad tcnica, diversidad y flexibilidad de soluciones informticas, entre otros. De hecho, ya existen numerosos pases en que se han realizado implementaciones exitosas basadas en esta filosofa tecnolgica, entre los que se cuentan la Comunidad Europea y su programa IDA (para la Integracin Tecnolgica de los gobiernos), Alemania (en Munich y Hamburgo), Espaa (en las comunidades autnomas), Brasil (primer gobierno que aprob una ley para el uso amplio de Open Source), Argentina, Per y Francia.
20
Este proyecto de ley en particular busca garantizar, entre otras cosas, el libre acceso de los ciudadanos a la informacin pblica, el fomento de la innovacin tecnolgica y la disminucin de la brecha digital, adems de representar una significativa ventaja econmica para el Estado, por el ahorro en el pago de licencias, actualizaciones y otros, siempre y cuando no se transforme en software libre. En Chile, ya existen organismos que han incorporado la tecnologa de software libre, especialmente Linux. Entre ellos podemos mencionar el Instituto de Normalizacin Previsional (INP), el Instituto Nacional de la Juventud (INJUV), el Ministerio de Economa, el Ministerio de Hacienda, Aduanas, la Superintendencia de Electricidad y Combustibles, el Servicio Agrcola y Ganadero y la Secretara General de la Presidencia. No se trata de una revolucin, pero s de valiosas experiencias que se pueden convertir con el tiempo en una tendencia.
Figura 6: Mapa del Open Source y su utilizacin en el mundo Nota: La representacin de colores est representada desde el color ms oscuro referido al mayor uso del Open Source en el mundo hacia el ms claro con menor tendencia. Beneficios en el uso del software libre Cdigo Fuente El cdigo fuente es como una receta de cocina, contiene los ingredientes y los pasos para lograr un plato de cocina, pero en este caso para obtener un producto
21
de software que un usuario final puede utilizar, a partir de lo que el programador desarroll. Software Privativo Se le denomina Software Privativo a los productos de software que poseen una licencia restrictiva, de tal forma que no permite tener acceso al cdigo fuente del programa, copiar, distribuir y realizar modificaciones al mismo. Debido a estas restricciones sobre la libertad en el acceso y el uso del software, se priva al usuario final de realizar operaciones mencionadas con anterioridad, y finalmente de compartir un trabajo que podra ser aprovechado por otras personas e instituciones. Software Libre Es necesario dejar claro que el software libre es un asunto de libertad, no de precio. Software libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software. De modo ms preciso, se refiere a cuatro libertades de los usuarios del software: 1. La libertad de usar el programa, con cualquier propsito (libertad 0). 2. La libertad de estudiar el funcionamiento del programa, y adaptarlo a las necesidades (libertad 1). El acceso al cdigo fuente es una condicin previa para esto. 3. La libertad de distribuir copias, con lo que puede ayudar a otros (libertad 2). 4. La libertad de mejorar el programa y hacer pblicas las mejoras, de modo que toda la comunidad se beneficie (libertad 3). De igual forma que la libertad 1 el acceso al cdigo fuente es un requisito previo. Beneficios tecnolgicos 1. Hay grandes beneficios en la parte tecnolgica y la mayora de stos pasa por un asunto de seguridad. En el caso del software libre, no solo es posible detectar vulnerabilidades debido a que se puede analizar el cdigo fuente del programa, sino que tambin se puede reparar.
2. Existe una gran comunidad de programadores en el mundo, quienes dan soporte a los diferentes programas que poseen alguna licencia libre, y
22
debido al modelo de cooperativismo social, se pueda contar con un parche (arreglo para la falla especfica del software) para perfeccionar el programa.
3. En sistemas privativos esto no es posible, ya que solamente la compaa que es duea del programa y maneja su cdigo, tiene derecho y posibilidades de modificarlo y solucionar cualquier tipo de falla que pueda tener. Por esta misma razn, en el caso del software privativo, los tiempos de respuesta ante fallos de software son mucho mayor que en el caso del software libre. 4. Lo explicado en esta seccin es una ventaja comparativa tanto para los sistemas operativos libres (cuyo mayor representante es GNU/Linux) como tambin para las aplicaciones de los usuarios finales y servidores. Beneficios Econmicos 1. Es necesario dejar en claro que el software libre, no significa que sea gratis. Es libre!!
2. Cmo se puede obtener el software libre? Hay que pagar por la licencia? Nada hay que pagar por la licencia de cualquier sistema libre lo que constituye una gran ventaja para los pases, gobiernos, instituciones y colegios, consistente en que el software libre puede ser descargado sin restricciones desde internet o conseguido a travs de medios como CDs, DVDs u otro. Entonces, lo que se paga principalmente son los servicios, implementaciones en software libre, capacitaciones, modificaciones sustanciales del software, etc., pero no se paga por su licencia. Y sta permite que el software sea copiado, traspasado, modificado y socializado en forma libre, con cualquier propsito y en cualquier tipo de institucin y organizacin.
3. Un caso latinoamericano, Ecuador: Rodel Alds, Director de Gestin Tecnolgica del Ministerio de Transporte y Obras Pblicas del Gobierno de Ecuador, mencion lo siguiente en una entrevista en Enero de 2009: Un sistema documental cuesta alrededor de USD 30.000. Al usar el sistema Quipux (http://www.gestiondocumental.gob.ec/), que es software libre, no
23
invertimos ni un centavo, porque incluso el soporte tcnico nos lo brinda la Secretara de Informtica.
4. Las migraciones e implementaciones de software libre no son gratis: evidentemente hay implicancias econmicas al migrar y/o implementar software libre en una organizacin o institucin, pero van ms bien por el lado de la capacitacin de los usuarios y de quienes administrarn los sistemas. Debido a sto se produce un doble efecto econmico y social, ya que se deja de pagar licencias y se invierte dinero en brindarle conocimientos y explorar las capacidades de quienes trabajarn con software libre.
5. Generacin de puestos laborales locales. Con el software libre es posible hacer negocios, y estos se basan en brindar servicios de instalacin, mantencin, desarrollo de aplicaciones y soporte principalmente. Por esto mismo, en vez de pagar licencias a una empresa extranjera, el dinero se re- invierte en la generacin de puestos de trabajo en el pas, requiriendo de tcnicos/as, ingenieros/as y capacitadores/as en diferentes niveles, lo cual evidentemente, genera efectos econmicos muy positivos en la sociedad. Beneficios Sociales 1. Se promueve el trabajo en equipo. La gran cantidad de proyectos basados en software libre que hay en internet, son desarrollados y mantenidos por comunidades, las cuales estn formadas por personas de la sociedad civil quienes colaboran entre s para lograr sus objetivos trazados en cuanto al producto final, proporcionndolo bajo una licencia que asegura la libertad del individuo sobre el software. De esta forma muchas personas participan de los proyectos, se ayudan y crecen en el proceso.
2. El cooperativismo social se practica sin fronteras ni barreras raciales, ya que los proyectos en internet son abordados por personas de todo el mundo, en una diversidad religiosa, econmica y geogrfica.
3. Se promueve la generacin de conocimiento libre, el cual puede ser accedido por cualquier persona, sin limitaciones de acceso de ningn tipo
24
en cuanto a los permisos de uso y reutilizacin de la informacin y el material generado que otorga el software libre.
4. Es posible personalizar las aplicaciones a la lengua que se desee, y no es necesario tener que lidiar o acordar los trminos de uso del software al proponer un proyecto de traduccin a una lengua autctona.
5. Facilitacin de la Inclusin Digital en sectores ms desprotegidos: es posible reutilizar equipos que han sido dados de baja, y que estn en buen estado. Esto es debido a que los requerimientos de hardware que tiene un sistema operativo GNU/Linux son bastante modestos cuando se trata de utilizar un escritorio con aplicaciones simples de ofimtica e internet. Es por esta razn, que se dan las condiciones ptimas para reutilizar computadores dados de baja por alguna empresa, montar una red de computadores y acceder a tecnologas para una escuela de bajos recursos, por nombrar un ejemplo. Beneficios Polticos 1. Independencia y Soberana Tecnolgica: al utilizar software libre, se est desligado de una sola compaa de la cual depende el desarrollo, mantencin y soporte del software. Esto ha sido tomado en cuenta por mltiples gobiernos en el mundo, y se ha constituido en el factor de ms peso para algunas administraciones, aun cuando econmicamente no fuera conveniente, como en el caso de los pases europeos en donde la mano de obra es mucho ms cara que en Latinoamrica.
2. El punto anterior aplica tambin a las actualizaciones de software. En el caso del software libre, las actualizaciones estn disponibles en forma libre, y es posible configurarlas para que se realicen en forma automtica. En el caso del software privativo, la compaa que provee un determinado software decide en qu momento lanza las actualizaciones, si las versiones mayores sern compatibles con las menores o no y en el fondo ejercen una presin sobre las empresas que utilizan el software en cuestin, para tener compatibilidad con las empresas del mercado. Esto, naturalmente tiene un
25
alto impacto econmico, el cual se ve disminuido casi por completo al utilizar software libre.
3. Integracin Regional: El Gobierno de Brasil adopt software libre en 2003, transformndose en un referente mundial. Venezuela decret el uso del software libre en 2004, y Ecuador en 2008. Cada vez ms pases de la regin estn adoptando el uso de software libre en los gobiernos, debido a sus mltiples beneficios. Beneficios Legales 1. Al utilizar software libre la organizacin, institucin o empresa queda libre de caer en ilegalidades como el uso de software en forma pirata, es decir, sin la licencia que corresponde. En un ambiente con software libre como GNU/Linux como sistema operativo y con OpenOffice como plataforma ofimtica, se est completamente libre de piratera, ya que la licencia que provee el software permite que sea utilizado con cualquier propsito sin tener que pagar grandes sumas de dinero por hacerlo, quedndose en una cmoda situacin legal.
2. Al promoverse la libre competencia entre diversas empresas que poseen los conocimientos y capacidades para brindar soporte tcnico, mantenimiento y capacitacin de los productos de software libre, se evita caer en prcticas monoplicas, ya que no hay una sola empresa que desarrolle, entregue y mantenga el software. Teniendo en claro los conceptos de software libre y cdigo abierto, a continuacin se profundizar en lo que respecta al Sistema Operativo de Red (Open Source) que en este caso ser Linux. Sistema Operativo Linux Antecedentes Linux es un ncleo libre de sistema operativo basado en Unix. Es uno de los principales ejemplos de Open Source que est licenciado bajo la GPL v2 (licencia pblica que permite usar, estudiar, compartir, copiar y modificar el software). A diferencia de los sistemas operativos propietarios como por ejemplo Windows de la empresa Microsoft, el cual ha sido desarrollado por miles de usuarios de
26
computadores a travs del mundo la desventaja de stos es que lo que te dan es lo que tu obtienes, dicho de otra forma no existe posibilidad de realizar modificaciones ni de saber cmo se realiz dicho sistema.). Fue creado inicialmente como un pasatiempo por un estudiante joven, Linus Torvalds, en la Universidad de Helsinki en Finlandia con asistencia de un grupo de hackers a travs de Internet. Linus tena un inters en Minix, un sistema pequeo o abreviado del UNIX (desarrollado por Andy Tanenbaum) y decidi crear un sistema que excedi los estndares de Minix. Quiso llevar a cabo un sistema operativo que aprovechase la arquitectura de 32 bits para multitarea y eliminar las barreras del direccionamiento de memoria. Torvalds comenz escribiendo el ncleo del proyecto en ensamblador y luego le aadi cdigo en C, lo cual increment la velocidad de desarrollo e hizo que empezara a tomarse en serio su idea. Comenz en 1991 cuando l realiz la versin 0.02, la cual no se dio a conocer porque ni siquiera tena drivers de disquete, adems de llevar un sistema de almacenamiento de archivos muy defectuoso. Trabaj constantemente hasta 1994 en que la versin 1.0 del ncleo (Kernel) de Linux se concret. La versin completamente desarrollada y actual es la 2.6 y el desarrollo contina. Linux tiene todas las prestaciones que se pueden esperar de un Unix moderno y completamente desarrollado: multitarea real, memoria virtual, bibliotecas compartidas, carga de sistemas a demanda, manejo de la memoria y soporte de redes TCP/IP. Linux corre principalmente en PCs con arquitectura de 32 bits, como tambin lo hace en arquitectura de 64 bits, sacando el mayor provecho al hardware implementado en el equipo de estas caractersticas. La parte central de Linux (conocida como ncleo o kernel) se distribuye a travs de la Licencia Pblica General GNU, lo que bsicamente significa que puede ser copiado libremente, cambiado y distribuido, pero no es posible imponer restricciones adicionales a los productos obtenidos y, adicionalmente, se debe dejar el cdigo fuente disponible, de la misma forma que est disponible el cdigo de Linux, aun cuando ste tenga registro de Copyright y no sea estrictamente de
27
dominio pblico. La licencia tiene por objeto asegurar que Linux siga siendo gratuito y a la vez estndar. Por su naturaleza, Linux se distribuye libremente y puede ser obtenido y utilizado sin restricciones por cualquier persona, organizacin o empresa que as lo desee, sin necesidad de que tenga que firmar algn documento ni inscribirse como usuario. Por todo ello, es muy difcil establecer quines son los principales usuarios de Linux. No obstante se sabe que actualmente Linux est siendo utilizado ampliamente en soportar servicios en Internet. Lo utilizan Universidades alrededor de todo el mundo para sus redes y sus clases, lo utilizan empresas productoras de equipamiento industrial para vender como software de apoyo a su maquinaria, lo utilizan cadenas de supermercados, estaciones de servicio y muchas instituciones del gobierno y militares de varios pases. El apoyo ms grande, sin duda, ha sido Internet ya que a travs de ella se ha podido demostrar que se puede crear un sistema operativo para todos los usuarios sin la necesidad de fines lucrativos. Caractersticas del sistema operativo Linux. En lneas generales se puede decir que dispone de varios tipos de sistemas de archivos para poder acceder a archivos en otras plataformas. Incluye un entorno grfico X Windows (Interface grfico estndar para mquinas UNIX), que nada tiene que envidiar a los modernos y caros entornos comerciales. Est orientado al trabajo en red, con todo tipo de facilidades como correo electrnico, por ejemplo. Posee cada vez ms software de libre distribucin, que desarrollan miles de personas a lo largo y ancho del planeta. Linux es ya el sistema operativo preferido por la mayora de los informticos. Un ejemplo de la popularidad que ha alcanzado el sistema y la confianza que se puede depositar en l es que incluso la NASA ha encomendado misiones espaciales de control de experimentos a la seguridad y la eficacia de Linux. Se puede decir que, la gran popularidad de Linux se debe a que: Se distribuye su cdigo fuente, lo cual permite a cualquier persona, que as lo desee, hacer todos los cambios necesarios para resolver problemas que se puedan presentar, as como tambin agregar funcionalidad. El nico requisito que esto conlleva es poner los cambios realizados a disposicin del pblico.
28
Es desarrollado en forma abierta por cientos de usuarios distribuidos por todo el mundo, los cuales utilizan la red Internet como medio de comunicacin y colaboracin. Esto permite un rpido y eficiente ciclo de desarrollo. Cuenta con un amplio y robusto soporte para comunicaciones y redes, lo cual hace que sea una opcin atractiva tanto para empresas como para usuarios individuales. Da soporte a una amplia variedad de hardware y se puede ejecutar en una multitud de plataformas. Compatibilidad en entornos globales y de red Cuando se trata de servidores de gama media y alta, los principales usuarios corporativos han confiado tradicionalmente en UNIX como soporte de aplicaciones comerciales a travs de proveedores como Oracle, Sybase, SAP, Lotus Notes y otros. En este ltimo tiempo se ha estado utilizando para soportar diversos servicios de red, entre los cuales podemos mencionar Servidor Web (tpicamente ejecutando el popular servidor web de cdigo abierto llamado Apache), servidores de gama baja para pequeos negocios, entornos locales, y centros de datos. De hecho, la industria de las Tecnologas de la Informacin ha mostrado una significativa disposicin para migrar servidores UNIX de gama baja a Linux, debido a la facilidad de sustitucin y los costos significativamente menores respecto a UNIX. Esto es favorecido inestimablemente por el hecho de que tanto UNIX como Linux permiten a los administradores integrar completamente las capacidades y metodologas (basadas en estndares tcnicos abiertos y protocolos universales) entre los servidores. La migracin a Linux sigue siendo bastante buena en las clases de servidores de pequeo tamao y estaciones de trabajo, habitados frecuentemente por Microsoft. Los productos de Microsoft estn fuertemente basados en funcionalidades, formatos de datos y ficheros, protocolos de red propietarios. Estos tpicamente impiden dicha integracin vertical y obligan a los directivos de TI a bloquearse dentro del subgrupo cerrado centrado en Microsoft. Modificar un servidor o estacin de trabajo Windows para que cumpla con los protocolos universales puede ser difcil y costoso.
29
La experiencia de los ltimos aos demuestra que las personas que han hecho sus carreras principal o exclusivamente bajo Sistemas Operativos Microsoft y han ascendido en las estructuras de la informtica de escritorio, basadas en plataformas Microsoft, tuvieron que afrontar los requerimientos de los entornos de medianos y grandes servidores desde un conjunto reducido de habilidades. La estrategia corporativa de Microsoft de hacer la administracin de sus Sistemas Operativos fcil, indudablemente ha abierto el mundo de la computacin a incontables millones de personas pero, desafortunadamente, tambin ha resultado en la pretensin de que la administracin de entornos de computacin corporativos crticos es una tarea fcil. El resultante ecosistema informtico centrado en Microsoft conlleva una elevacin injustificable de los Sistemas Operativos de Microsoft a un nivel alto en entornos corporativos, dadas las capacidades (o su falta de ellas) de los productos de Microsoft para servidores. Interoperabilidad entre la nueva plataforma y el software Los lderes responsables de las tecnologas de informacin saben que un entorno basado en productos de un solo proveedor es mucho menos deseable que el que se apoya en una diversidad de varios de ellos. Un argumento promulgado por los vendedores de Microsoft es que por el hecho de permanecer con un sistema completamente basado en tecnologa Microsoft, la interoperabilidad y la facilidad del uso estn garantizadas. sta es una idea falsa basada en las patentes. Microsoft no permite competir mediante el uso de medidas reservadas y software interno para cerrar la puerta a las ofertas de los productos, pero, por otro lado, no puede garantizar a los clientes que se est proporcionando realmente el mejor de los servicios. Adicionalmente, Microsoft ha tomado medidas sin precedentes para mantener atados sus propios productos a plataforma de servidores, usando su Entorno de Trabajo .NET, de forma que hasta la rutina de intercambio entre mquinas Microsoft est atada a la funcionalidad de .NET, constituyndose en una estrategia restrictiva. Incluso, si un cliente quiere encontrar un producto competitivo que no sea de Microsoft, podra quedar proscrito por las Condiciones de Licencia del Usuario Final (EULA) de los nuevos Services Packs por la premisa de usar una prueba comparativa para hacer el intercambio. En la EULA Microsoft pone: Usted no puede divulgar los resultados de cualquier prueba comparativa de los
30
componentes de .NET o del Sistema Operativo a terceros sin el previo consentimiento por escrito de Microsoft. Puesto que las decisiones corporativas de actualizacin requieren anlisis razonados o una justificacin antes de realizarlas, no es posible para los comprobadores publicar su prueba de la superioridad de un competidor sin el consentimiento de Microsoft. Y es difcil creer que cualquier permiso de este tipo pueda salir de las propiedades de esta empresa. El planteamiento de UNIX/Linux sostiene que las versiones, el equipo informtico, y las capacidades pueden adaptarse exactamente en un mbito de computacin a situaciones especficas. Ventajas del Sistema Operativo Linux Las principales razones para considerar esta plataforma tecnolgica son las siguientes: Es un sistema operativo muy fiable ya que hereda la robustez de UNIX. Es software libre, lo que quiere decir que no hay que pagar por el sistema en s. Ideal para las redes ya que fue diseado en internet y para internet. No es verdico que tenga pocos programas, solo en algn campo especfico. Es 100% configurable. Es el sistema ms seguro, ya que al disponer del cdigo fuente cualquiera puede darse cuenta de algn fallo especfico, pudiendo decirse que decenas de miles de personas velan por su seguridad. Cuenta con el soporte de muchas grandes empresas como IBM, Corel, Lotus, Siemens, Motorola, Sun, etc. 3.2 Equipamiento 3.2.1 Hardware de Red En cuanto al equipamiento debemos dividir el tema en dos: Hardware y Software, considerando que para cada caso debemos estipular aspectos distintos y relevantes.
31
Hardware Cuando se habla de hardware, se est refiriendo a todas las partes tangibles que poseen los computadores, sus componentes elctricos, electrnicos, electromagnticos y mecnicos; sus cables, gabinetes o cajas, perifricos de todo tipo y cualquier otro elemento fsico involucrado. El trmino es propio del idioma ingls (traducido literalmente: partes duras). Su traduccin al espaol no tiene un significado acorde, por tal motivo se la ha adoptado tal como es y suena. Por otra parte la Real Academia Espaola lo define como Conjunto de componentes que integran la parte material de un computador. El trmino, aunque es lo ms comn, no solamente se aplica a un computador tal como se le conoce, ya que por ejemplo un robot, un telfono mvil, una cmara fotogrfica o un reproductor multimedia tambin perteneceran a esta categora. En cuanto al desarrollo de este proyecto, llevado a la prctica, se dar a conocer el Hardware que poseen las estaciones de trabajo y servidores dentro de la empresa a la cual se ha aplicado este procedimiento. Las estaciones de trabajo poseen caractersticas ms que suficientes para poder satisfacer las necesidades de los usuarios, necesidades que se basan en poder sostener el software que deben utilizar segmentado en los diversos departamentos que posee la empresa. Los servidores poseen caractersticas sofisticadas, cuando se trata de llevar a cabo la implementacin de servicios de red necesarios que deben operar dentro de la empresa. Considerando que el hardware es un aspecto importante, se debe dejar en claro que para la implementacin de este proyecto se contar con el equipamiento que posee actualmente la empresa, debido a que cumple con los requisitos necesarios para llevar a cabo la implementacin de software requerido. 3.2.2 Software. En cuanto al tema software, se le denomina as al equipamiento lgico o soporte lgico (intangible) de un computador digital; comprende el conjunto de los componentes lgicos necesarios que hacen posible la realizacin de tareas especficas, en contraposicin a los componentes fsicos (hardware). Podemos
32
definirlo tambin como el conjunto de los programas de cmputo, procedimientos, reglas, documentacin y datos asociados que forman parte de las operaciones de un sistema de computacin. Los componentes lgicos incluyen, entre muchos otros, las aplicaciones informticas base tales como procesador de textos que permite al usuario realizar todas las tareas concernientes a la edicin de textos; el software de sistema, referido al Sistema Operativo, que bsicamente permite al resto de los programas funcionar adecuadamente, facilitando tambin la interaccin entre los componentes fsicos y el resto de las aplicaciones y proporcionando una interfaz para el usuario final. Software libre, opcin a Microsoft (Estaciones de Trabajo) El software que se puede considerar como opcin al software privativo se detalla a continuacin: Sistema Operativo Linux Ubuntu (alternativa a Microsoft Windows) Es un sistema operativo que utiliza un ncleo Linux, y su origen est basado en Debian. Ubuntu est orientado al usuario promedio, con un fuerte enfoque en la facilidad de uso para mejorar la experiencia de usuario. Con el Sistema Operativo Linux, se implementar: LibreOffice (alternativa a Microsoft Office 2010) Es una suite ofimtica libre y gratuita, que funciona en muchos tipos de ordenadores y sistemas operativos, como por ejemplo Windows, Mac y Linux. Dispone de un procesador de texto (Writer), un editor de hojas de clculo (Calc), un creador de presentaciones (Impress), un gestor de bases de datos (Base), un editor de grficos vectoriales (Draw), y un editor de frmulas matemticas (Math). LibreOffice se cre como una bifurcacin de OpenOffice.org en octubre de 2010, y est creada y mantenida por una comunidad liderada por la fundacin The Document Foundation. Est disponible bajo la licencia GNU Lesser General Public Licence. La compra de Sun Microsystems (lder del desarrollo de OpenOffice.org) por Oracle fue el
33
desencadenante de esta bifurcacin debido a la orientacin dada por Oracle. Mozilla Firefox (alternativa Internet Explorer 9) Es un navegador web libre y de cdigo abierto descendiente de Mozilla Application Suite y desarrollado por la fundacin Mozilla. Es el segundo ms utilizado de Internet con una cuota de mercado aproximada de 30% en todo el mundo. Para visualizar pginas web emplea el motor de renderizado (plataforma que permite la visualizacin web) Gecko, el cual implementa estndares web actuales adems de otras funciones destinadas a anticipar probables adiciones a los estndares. Las ltimas caractersticas incluyen navegacin por pestaas, corrector ortogrfico, bsqueda progresiva, marcadores dinmicos, un administrador de descargas, navegacin privada, navegacin con georeferenciacin, aceleracin mediante GPU e integracin del motor de bsqueda que desee el usuario. Se puede aadir funciones a travs de complementos desarrollados por terceros, entre los que hay una amplia seleccin, lo que segn algunos estudios lo convierte en el navegador ms personalizable y seguro del momento. Otra caracterstica importante es que es multiplataforma, estando disponible para varios sistemas operativos como Windows, GNU/Linux, Mac OS X, FreeBSD y muchas otras. Existen diversas aplicaciones que podran ser reemplazantes de la lnea del software privativo bajo este caso y que son una opcin ms que confortante para poder contemplarlos dentro de la migracin que se podra aplicar. Se debe tener en cuenta que si bien es cierto, se est utilizando tecnologa de software libre, en la cual no se considera contar con las licencias correspondientes por software, el costo que pueda significar para la empresa es el proceso de capacitacin y adaptacin para el usuario final y establecer los lineamientos necesarios para contemplar esta tecnologa dentro de sta, si as lo quisiera.
34
3.3 Mejores Prcticas y Estndares Internacionales Qu son las Mejores Prcticas? Por mejores prcticas se entiende un conjunto coherente de acciones que han rendido un buen o incluso excelente servicio en un determinado contexto y que se espera que, en contextos similares, rindan similares resultados. Las mejores prcticas dependen de las pocas, de las modas y hasta de la empresa consultora o del autor que las preconiza. No es de extraar que algunas sean incluso contradictorias entre ellas. Dentro de las Buenas (Mejores) Prcticas que se han considerado para la confeccin del modelo informtico a implementar, se debe destacar que existen varias metodologas, normativas y estndares que sirven como base para las diversas etapas en la constitucin de un sistema de ordenamiento integral. Estos procedimientos aplicados conjuntamente permiten lograr un esquema de seguimiento, auditora, funcionalidad, etc., al trabajo con las Tecnologas de la Informacin. Se puede mencionar algunos de los cuales se han considerado y hacer un alcance en base a proyeccin que proporcionan para el proyecto: 1. PMBOOK: Es una gua y estndar en la Administracin de proyectos desarrollado por el Project Management Institute (PMI). PMBOOK comprende dos grandes secciones, la primera sobre los procesos y contextos de un proyecto, la segunda sobre las reas de conocimiento especfico para la gestin de un proyecto. El PMI (El Project Management Institute (PMI) es una organizacin internacional sin fines de lucro que asocia a profesionales relacionados con la Gestin de Proyectos.)
2. COBIT es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) en 1992.
3. ITIL (La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente abreviada ITIL (del ingls Information Technology Infrastructure Library), es un conjunto de conceptos y prcticas para la
35
gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin, ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI.
4. ISO/IEC 17799 (denominada tambin como ISO 27002), es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica Internacional en el ao 2000.
. Figura 7: Mapa lgico de los diferentes estndares y Buenas/Mejores prcticas
36
3.3.1 Procesos: PMI y PMBOOK La Gua de los Fundamentos para la Direccin de Proyectos (PMBOOK) es una norma reconocida en el mbito de la direccin de proyectos. Por norma se hace referencia a un documento formal que describe normas, mtodos, procesos y prcticas establecidos. El conocimiento contenido en esta norma evolucion a partir de las buenas prcticas reconocidas por profesionales dedicados a la direccin de proyectos, quienes contribuyeron a su desarrollo. PMBOOK, proporciona pautas para la direccin de proyectos tomados de forma individual. Define la direccin de proyectos y otros conceptos relacionados, y describe el ciclo de vida de la direccin de proyectos y los procesos conexos. La creciente aceptacin de la direccin de proyectos indica que la aplicacin de conocimientos, procesos, habilidades, herramientas y tcnicas adecuados puede tener un impacto considerable en el xito de un proyecto. La Gua del PMBOK identifica ese subconjunto de fundamentos de la direccin de proyectos reconocido como buenas prcticas. Generalmente reconocido significa que los conocimientos y prcticas descritos se aplican a la mayora de los proyectos, la mayor parte del tiempo, y que existe consenso sobre su valor y utilidad. Buenas prcticas significa que se est de acuerdo, en general, en que la aplicacin de estas habilidades, herramientas y tcnicas puede aumentar las posibilidades de xito de una amplia variedad de proyectos. Buenas prcticas no significa que el conocimiento descrito deba aplicarse siempre de la misma manera en todos los proyectos; la organizacin y/o el equipo de direccin del proyecto son responsables de establecer lo que es apropiado para un proyecto determinado. La Gua del PMBOK tambin proporciona y promueve un vocabulario comn en el mbito de la direccin de proyectos, para analizar, escribir y aplicar conceptos afines. Un vocabulario estndar es un elemento esencial en toda disciplina profesional. El Project Management Institute (PMI) considera la norma como una referencia fundamental en el mbito de la direccin de proyectos para sus certificaciones y programas de desarrollo profesional.
37
Figura 8: Las etapas de la administracin de proyectos
Figura 9: Mapa de la gua de administracin de proyectos.
38
3.3.2 Gestin TI: COBIT Para muchas empresas, la informacin y la tecnologa que las soportan representan sus ms valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnologa de informacin y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas tambin entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, as como la dependencia crtica de muchos procesos de negocio en TI.
Figura 10: Diagrama de procesos de COBIT La necesidad del aseguramiento del valor de TI, la administracin de los riesgos asociados a TI, as como el incremento de requerimientos para controlar la informacin, se entienden ahora como elementos clave del Gobierno Corporativo. El valor, el riesgo y el control constituyen la esencia del gobierno de IT. El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales. Ms an, el gobierno de TI integra e institucionaliza las buenas prcticas para garantizar que TI en la empresa soporta los objetivos del negocio. De esta manera, el gobierno de TI facilita que la empresa aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas competitivas. Estos resultados requieren un marco de referencia para controlar las TI, que se ajuste y sirva como soporte a COSO (Committee Of Sponsoring Organisations Of The Treadway Commission) Marco de Referencia
39
Integrado Control Interno, el marco de referencia de control ampliamente aceptado para gobierno corporativo y para la administracin de riesgos, as como a marcos compatibles similares. Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de seguridad de su informacin, as como de todos sus activos. La direccin tambin debe optimizar el uso de los recursos disponibles de TI, incluyendo aplicaciones, informacin, infraestructura y personas. Para descargar estas responsabilidades, as como para lograr sus objetivos, la direccin debe entender el estatus de su arquitectura empresarial para TI y decidir qu tipo de gobierno y de control debe aplicar. Los Objetivos de Control para la informacin y la Tecnologa relacionada (COBIT) brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de COBIT representan el consenso de los expertos. Estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones habilitadas por TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien. Para que TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implementar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vnculo con los requerimientos del negocio. Organizando las actividades de TI en un modelo de procesos generalmente aceptado. Identificando los principales recursos de TI a ser utilizados. Definiendo los objetivos de control gerenciales a ser considerados. La orientacin al negocio que enfoca COBIT consiste en alinear las metas de TI con las metas del negocio, brindando mtricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueos de los procesos de negocio y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo, el cual subdivide las TI en 34 procesos de acuerdo a las reas de responsabilidad de planear,
40
construir, ejecutar y monitorear, ofreciendo una visin de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el xito de los procesos, es decir, aplicaciones, informacin, infraestructura y personas. En resumen, para proporcionar la informacin que la empresa necesita para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural. Pero, cmo puede la empresa poner bajo control TI de tal manera que genere la informacin que la empresa necesita?; cmo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto?; cmo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio?. En primer lugar, la direccin requiere objetivos de control que definan la meta final de implementar polticas, procedimientos, prcticas y estructuras organizacionales diseadas para brindar un aseguramiento razonable de que: Se alcancen los objetivos del negocio. Se prevengan o se detecten y corrijan eventos no deseados. En segundo lugar, en los complejos ambientes de hoy en da, la direccin busca continuamente informacin oportuna y condensada, para tomar decisiones difciles respecto a riesgos y controles de manera rpida y exitosa. Qu se debe medir y cmo ?. Las empresas requieren una medicin objetiva de dnde se encuentran y dnde se requieren mejoras, y deben implementar una caja de herramientas gerenciales para monitorear esta mejora.
Figura 11: Administracin de la Informacin
41
La figura 10, muestra algunas preguntas frecuentes y las herramientas gerenciales de informacin usadas para encontrar las respuestas, aunque estos tableros de control requieren indicadores, los marcadores de puntuacin requieren mediciones y los Benchmarking requieren una escala de comparacin. Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de control y desempeo de TI son las definiciones especficas de COBIT de los siguientes conceptos: Benchmarking de la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniera de Software. Metas y mtricas de los procesos de TI para definir y medir sus resultados y su desempeo, basados en los principios de Balanced Scorecard de Negocio de Robert Kaplan y David Norton. Metas de actividades para controlar estos procesos, con base en los objetivos de control detallados de COBIT. La evaluacin de la capacidad de los procesos basada en los modelos de madurez de COBIT es una parte clave de la implementacin del gobierno de TI. Despus de identificar los procesos y controles crticos de TI, el modelo de madurez permite identificar y demostrar a la direccin las brechas en la capacidad. Entonces se pueden crear planes de accin para llevar estos procesos hasta el nivel objetivo de capacidad deseado. COBIT da soporte al gobierno de TI (Figura 10) al brindar un marco de trabajo que garantiza que: TI est alineada con el negocio. TI habilita al negocio y maximiza los beneficios. Los recursos de TI se usan de manera responsable. Los riesgos de TI se administran apropiadamente La medicin del desempeo es esencial para el gobierno de TI. COBIT le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan medir, referentes a lo que los procesos de TI requieren generar (resultado del proceso) y cmo lo generan (capacidad y desempeo del proceso). Muchos estudios han identificado que la falta de transparencia en los costos, valor y
42
riesgos de TI, es uno de los ms importantes impulsores para el gobierno de TI. Mientras las otras reas consideradas contribuyen, la transparencia se logra de forma principal por medio de la medicin del desempeo.
Figura 12: reas de Enfoque del Gobierno de TI Las reas de enfoque de gobierno de TI describen los tpicos en los que la direccin ejecutiva requiere poner atencin para gobernar las TI en sus empresas. La direccin operacional usa procesos para organizar y administrar las actividades cotidianas de TI. COBIT brinda un modelo de procesos genricos que representa todos los procesos que normalmente se encuentran en las funciones de TI, ofreciendo un modelo de referencia comn entendible para los gerentes operativos de TI y del negocio. Se establecieron equivalencias entre los modelos de procesos COBIT y las reas de enfoque del gobierno de TI, ofreciendo as un puente entre lo que los gerentes operativos deben realizar y lo que los ejecutivos desean gobernar. Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operativos se encuentren dentro de un marco de control definido para todos los procesos de TI. Los objetivos de control de TI de COBIT estn organizados por proceso de TI, por lo tanto, el marco de trabajo brinda una alineacin clara entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI. COBIT se enfoca en qu se requiere para lograr una administracin y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estndares y mejores prcticas ms detallados de TI. COBIT acta como un integrador de todos estos materiales gua, resumiendo los
43
objetivos claves bajo un mismo marco de trabajo integral que tambin se alinea con los requerimientos de gobierno y de negocio. COSO (modelo comn de control interno para evaluar sistemas de control) es generalmente aceptado como el marco de trabajo de control interno para las empresas. COBIT es el marco de trabajo de control interno generalmente aceptado para TI. Los productos COBIT se han organizado en tres niveles (figura 12) diseados para dar soporte a: Administracin y consejos ejecutivos. Administracin del negocio y de TI Profesionales en Gobierno, aseguramiento, control y seguridad. Brevemente, los productos COBIT incluyen: El resumen informativo al consejo sobre el gobierno de TI, 2da Edicin Diseado para ayudar a los ejecutivos a entender por qu el gobierno de TI es importante, cules son sus intereses y cules son sus responsabilidades para administrarlo. Directrices Gerenciales / Modelos de madurez Ayudan a asignar responsabilidades, medir el desempeo, llevar a cabo benchmarks y manejar brechas en la capacidad. Marco de referencia Explica cmo COBIT organiza los objetivos de gobierno y las mejores prcticas de TI con base en dominios y procesos de TI, y los alinea a los requerimientos del negocio. Objetivos de control Brindan objetivos a la direccin basados en las mejores prcticas genricas para todos los procesos de TI. Gua de Implementacin de Gobierno de TI: Usando COBIT y VAL TI 2da Edicin. Proporciona un mapa de ruta para implementar gobierno TI utilizando los recursos COBIT y VAL TI. Prcticas de Control de COBIT: Gua para Conseguir los Objetivos de Control para el xito del Gobierno de TI 2da Edicin Proporciona una gua de por qu vale la pena implementar controles y cmo implementarlos.
44
Gua de Aseguramiento de TI: Usando COBIT Proporciona una gua de cmo COBIT puede utilizarse para soportar una variedad de actividades de aseguramiento junto con los pasos de prueba sugeridos para todos los procesos de TI y objetivos de control.
Figura 13: Productos COBIT El diagrama de contenido de COBIT mostrado presenta las audiencias principales, sus preguntas sobre gobierno TI y los productos que generalmente les aplican para proporcionar las respuestas. Tambin hay productos derivados para propsitos especficos, para dominios tales como seguridad o empresas especficas. Todos estos componentes de COBIT se interrelacionan, ofreciendo soporte para las necesidades de gobierno, de administracin, de control y de auditora de los distintos interesados, como se muestra en la Figura 14.
45
Figura 14: Interrelaciones de los componentes de COBIT COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas tcnicos y riesgos de negocio, y comunicar ese nivel de control a los interesados (Stackeholders). COBIT permite el desarrollo de polticas claras y de buenas prcticas para control de TI a travs de las empresas. COBIT constantemente se actualiza y armoniza con otros estndares, por lo tanto, se ha convertido en el integrador de las mejores prcticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque de alto nivel orientado al negocio brindan una visin completa de TI y de las decisiones a tomar acerca de la misma. Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI incluyen: Mejor alineacin, con base en su enfoque de negocios. Una visin, entendible para la gerencia, de lo que hace TI. Propiedad y responsabilidades claras, con base en su orientacin a procesos. Aceptacin general de terceros y reguladores. Entendimiento compartido entre todos los interesados, con base en un lenguaje comn. Cumplimiento de los requerimientos COSO para el ambiente de control de TI.
46
3.3.3 Gestin Servicios: ITIL Las tecnologas de la informacin son tan antiguas como la historia misma y han jugado un importante papel en ella. Sin embargo, no ha sido sino que hasta tiempos recientes que mediante la automatizacin de su gestin, se han convertido en una herramienta imprescindible y clave para empresas e instituciones. La informacin es probablemente la fuente principal de negocio en el primer mundo y ese negocio a su vez genera ingentes cantidades de informacin. Su correcta gestin es de importancia estratgica y no debe considerarse como una herramienta ms entre muchas otras. Hasta hace poco las infraestructuras informticas se limitaban a dar servicio de soporte y de alguna forma eran equiparables con el otro material de oficina: algo importante e indispensable para el correcto funcionamiento de la organizacin pero poco ms. Sin embargo, en la actualidad esto ha cambiado y los servicios de TI representan generalmente una parte sustancial de los procesos de negocios. Algo de lo que es a menudo responsable el advenimiento de ubicuas redes de informacin: sirva de ejemplo la Banca Electrnica. Los objetivos de una buena gestin de servicios TI han de ser: Proporcionar una adecuada gestin de la calidad. Aumentar la eficiencia. Alinear los procesos de negocios y la infraestructura TI. Reducir los riesgos asociados a los Servicios TI. Generar negocio. ITIL nace como un cdigo de buenas prcticas dirigidas a alcanzar esas metas mediante: Un enfoque sistemtico del servicio TI centrado en los procesos y procedimientos El establecimiento de estrategias para la gestin operativa de la infraestructura TI.
47
Qu es ITIL? Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL), se ha convertido en el estndar mundial de facto en la Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de Reino Unido, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC (Oficina de Comercio Gubernamental del Reino Unido, organizacin responsable de las tareas que mejoran la eficiencia y eficacia de los procesos de negocios de gobierno), pero es de libre utilizacin. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI. La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones. A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del costo, y el resto se invierte en el desarrollo del producto (u obtencin). De esta manera, los procesos eficaces y eficientes de la Gestin de Servicios TI se convierten en esenciales para el xito de los departamentos de TI. Esto se aplica a cualquier tipo de organizacin, grande o pequea, pblica o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de costo aceptable. ITIL fue producido originalmente a finales de 1980 y constaba de 10 libros centrales cubriendo las dos principales reas de Soporte del Servicio y Prestacin del Servicio. Estos libros centrales fueron ms tarde soportados por 30 libros
48
complementarios que cubran una numerosa variedad de temas, desde el cableado hasta la gestin de la continuidad del negocio. A partir del ao 2000, se acometi una revisin de la biblioteca. En esta revisin, ITIL ha sido re- estructurado para hacer ms simple el acceder a la informacin necesaria para administrar sus servicios. Los libros centrales se han agrupado en dos, cubriendo las reas de Soporte del Servicio y Prestacin del Servicio, en aras de eliminar la duplicidad y mejorar la navegacin. El material ha sido tambin actualizado y revisado para un enfoque conciso y claro.
Figura 15: ITIL 10 Libros Centrales a fines de 1980. Soporte al Servicio El Soporte al Servicio se preocupa de todos los aspectos que garanticen la continuidad, disponibilidad y calidad del servicio prestado al usuario. El siguiente diagrama interactivo resume sucintamente los principales aspectos de la metodologa de soporte al servicio segn estndares ITIL:
49
Figura 16: Aspectos de la metodologa de Soporte al Servicio
Provisin del Servicio La provisin del servicio se ocupa de los servicios ofrecidos en si mismos. En particular de los Niveles de servicio, su disponibilidad, su continuidad, su viabilidad financiera, la capacidad necesaria de la infraestructura TI y los niveles de seguridad requeridos. El siguiente diagrama interactivo resume sucintamente los principales aspectos de la metodologa de provisin del servicio segn los estndares ITIL:
Figura 17: Aspectos de la metodologa de Provisin del Servicio
50
Tiempos de Implementacin de ITIL en una organizacin Para poder realizar una implementacin de ITIL, es necesario tener claro los tiempos adecuados que esto conlleva. A continuacin se presenta un resumen de los procesos y los tiempos que significan para cada caso: Tabla 1: Tiempos estndar de implementacin en una organizacin
Procesos ITIL Tiempos de Implementacin Meses PYMES Grandes Empresas Administracin de Incidentes y Service Desk 3-6 6-24 Administracin de Configuracin 1-3 4-12 Administracin de Problemas 1-3 3-4 Administracin de Cambios 1-3 3-5 Administracin de Release 1 1-2 Administracin de Disponibilidad 3-6 6-9 Administracin de Capacidad 4-6 6-12 Administracin Continua de Servicios TI 3-6 6-9 Administracin Financiera 4-6 6-9 Administracin de Niveles de Servicios 2-4 4-6
3.3.4 Calidad: Normas ISO (Seguridad) ISO/IEC 17799 (denominada tambin como ISO 27002) es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica Internacional en el ao 2000, con el ttulo de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En Chile la norma chilena homloga es la BS ISO/IEC 27002:2005.
51
Figura 18: Las reas clave en los aspectos de la seguridad de la informacin. Confidencialidad La confidencialidad es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados. Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta de crdito ha de ser transmitida desde el comprador al comerciante y del comerciante a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta, de algn modo se ha producido una violacin de la confidencialidad. La prdida de la confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras se tiene informacin confidencial en la pantalla, cuando se publica informacin privada, cuando un laptop con informacin sensible sobre una empresa es robado, cuando se divulga informacin confidencial a travs del telfono, etc. Todos estos casos pueden constituir una violacin de la confidencialidad. Integridad Para la Seguridad de la Informacin, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin, as mismo hace que su contenido permanezca inalterado a menos
52
que sea modificado por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad. La integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de comprobacin de la integridad: la firma digital que es uno de los pilares fundamentales de la seguridad de la informacin. Disponibilidad La Disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sea personas, procesos o aplicaciones. En el caso de los sistemas informticos utilizados para almacenar y procesar la informacin, los controles de seguridad utilizados para protegerlos y los canales de comunicacin protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidad de sistemas, como objetivo, debe seguir estando disponible en todo momento, evitando interrupciones del servicio debido a cortes de energa, fallos de hardware, y actualizaciones del sistema. Garantizar la disponibilidad implica tambin la prevencin de ataque de denegacin de servicio. La disponibilidad, adems de ser importante en el proceso de seguridad de la informacin, es adems variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnolgica, servidores de correo electrnico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicacin de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades depender de lo que se quiera proteger y el nivel de servicio que se quiera proporcionar. Directrices del estndar ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como "la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad
53
(asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran)". La versin de 2005 del estndar incluye las siguientes once secciones principales: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades. Con la aprobacin de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeracin 27.000 para la seguridad de la informacin, la ISO/IEC 17799:2005 pas a ser renombrada como ISO/IEC 27002 en la revisin y actualizacin de sus contenidos en el 2007. 3.4 El Plan Informtico El Plan Informtico propuesto, va a estar basado en todas las buenas prcticas que se aplican a la realidad de TI de las empresas. Dentro de las buenas prcticas que se han considerado se pueden mencionar: PMI (orientada a la gestin de proyectos informticos), COBIT (orientada a la administracin de las Tecnologas de Informacin), ITIL (orientada a los procesos informticos a implementar para el tratamiento de la informacin), ISO 27001 (orientada a la seguridad de la informacin). Se tomarn en consideracin los elementos necesarios de estas buenas prcticas para afrontar una problemtica existente en una empresa u organizacin, independiente de su envergadura.
54
IV. PLANTEAMIENTO DE LA SOLUCION De acuerdo al estudio realizado, considerando las Buenas Prcticas antes descritas, se ha llegado a la conclusin en hacer una modificacin a la metodologa expuesta anteriormente, considerando de manera fundamental la seguridad como un tem destacado dentro del modelo expuesto.
Plan Informtico
Hardware Software PMI COBIT ITIL SEGURIDAD Equipamiento Buenas Prcticas y Estndares
Sistema Operativo de Red (Open Source)
Figura 19: Metodologa propuesta mejorada 4.1 Puesta en marcha El primer paso fundamental que se debe llevar a cabo para la implementacin de la metodologa, es el anlisis de los servicios implementados y por implementar dentro de una organizacin, por lo que se debern considerar los recursos tanto de hardware como software existentes para contar con la infraestructura necesaria de acuerdo a sus requerimientos y prestaciones. 4.1.1 Hardware Se debe realizar un levantamiento informtico del hardware que posee la empresa considerando aspectos de vida til de los recursos, garantas, tiempos de reposicin de hardware, etc., requerimientos necesarios para que cada equipamiento realice su labor adecuadamente, tomando en cuenta los recursos de softwares utilizados. 4.1.2 Software Con relacin al software del equipamiento se debe catalogar en dos categoras: software base y software especfico. En cuanto al software base se puede decir que se trata del Sistema Operativo y en el software especfico se puede mencionar uno de los ms destacados y usados por un usuario comn la Suite Ofimtica,
55
como tambin podemos mencionar software para algo particular, dentro de los cuales tenemos la lnea de Adobe, Autodesk, etc. Respecto al software especfico, como ejemplo se puede mencionar un caso particular Autocad X, que se trata de un software de diseo para dibujos en dos y tres dimensiones, producto que no tiene una contraparte aceptable y compatible a cabalidad en la lnea Open Source. Tomando como base la explicacin anterior, se debe proceder a segmentar el software, es decir, enfocarse en la plataforma informtica, como tambin en el software que necesita el usuario final. Como plataforma, se refiere a la lnea de servidores que proveen los servicios de red que necesita la empresa. Como software que necesita el usuario final, se orienta al software que debe utilizar para realizar sus labores en los departamentos de la empresa. Se debe realizar un estudio a la plataforma informtica como tambin a cada Departamento de la empresa en cuanto a las necesidades de software que posean. Refirindose al software, en cuanto a nivel de servidores, la implementacin se realizar por medio de Linux, contemplando que dentro de estos servicios se encuentra un servidor dedicado para el software corporativo de la empresa, refirindose principalmente a los sistemas de contabilidad, que se encuentran en la base del Sistema Operativo Windows. Excluyendo este caso, toda la plataforma de red se implementar en el Sistema Operativo Linux y se proceder a una interaccin entre estos dos sistemas operativos. En cuanto a nivel de estaciones de trabajo, el tema es distinto, puesto que se encuentran en una plataforma Windows y en este caso no se considera realizar el procedimiento de migracin, debido a la utilizacin de software especializado en desarrollar procesos exclusivos que se encuentra instalado dentro de los proyectos, por lo que en este caso no se implementa tecnologa Linux. Es bueno considerar tambin alternativas al software privativo, hablando netamente del software base como lo es el sistema operativo y las aplicaciones de ofimtica, que podran tomarse en cuenta para algunas estaciones de trabajo, que no requieren software especial. En cuanto al estudio, respecto de la plataforma informtica, se debe realizar una auditora del tratamiento de las Tecnologas de Informacin que utiliza la empresa, dicho de otro modo, la forma como se estn trabajando los servicios de red dentro
56
de sta. Esta auditora proporcionar la informacin necesaria para evaluar el funcionamiento de cada servicio y detectar las falencias existentes al calcular costo v/s rendimiento, lo que dar la visin necesaria para entregar una solucin ntegra a los procesos que se deben realizar en la empresa. Con relacin al software del usuario final, se debe determinar cules son los que necesita utilizar cada uno de ellos, especficamente por departamento, ya que los requerimientos de software de un departamento a otro pueden llegar a ser completamente diferentes, de acuerdo a la funcin que desempea el usuario propiamente tal dentro de la organizacin. 4.1.3 Cableado Estructurado Se debe realizar una evaluacin de la red de datos de la empresa, para determinar cul es el rendimiento actual que sta posee y su funcionamiento. Para esto es necesario verificar si la empresa en cuestin posee un sistema de monitoreo de servicios de red, ya que esta herramienta permitir determinar los diversos tipos de falencias que pudieran existir, y as entregar una solucin ptima en cuanto a las mejoras que se deban realizar, previo a los rendimientos propiamente tales que desee la empresa, en cuanto a su funcionamiento. Un punto importante al realizar esta evaluacin, es recopilar la informacin necesaria para saber si la empresa cuenta con la certificacin de red de datos necesaria, que pueda entregar el rendimiento que realmente necesita. En este punto se debe solicitar la informacin relevante de la red actual, en lo que se refiere a la topologa de red existente, monitoreos, informes de rendimiento, etc. Deber ponerse nfasis a la seguridad existente, ya que es un aspecto importante al hablar de la importancia de la informacin dentro de la organizacin, procedindose a realizar evaluaciones de este tipo para entregar la informacin relevante a la seguridad de la red de datos a la Gerencia de la empresa. Informando sto, se procede a realizar las mejoras correspondientes y sustanciales, de acuerdo al valor que tenga la informacin dentro de la organizacin.
57
4.1.4 Servicios de Red Los mtodos propuestos que debe utilizar la empresa para afrontar cada caso, los lleva a cabo por medio de la implementacin de soluciones a las categoras de problemas antes expuestas, dentro de las cuales se deben sealar: Tabla 02. Servicios de red bajo Open Source. Problema Solucin va Open Source
Red de Datos
Acceso deficiente a la informacin debido a las limitaciones del sistema de archivos de Windows. Samba es una implementacin libre del protocolo de archivos compartidos de Microsoft Windows (antiguamente llamado SMB, renombrado recientemente a CIFS) para sistemas de tipo UNIX. De esta forma, es posible que ordenadores con GNU/Linux, Mac OS X o Unix en general se vean como servidores o acten como clientes en redes de Windows. Samba tambin permite validar usuarios haciendo de Controlador Principal de Dominio (PDC), como miembro de dominio e incluso como un dominio Active Directory para redes basadas en Windows; aparte de ser capaz de servir colas de impresin, directorios compartidos y autentificar con su propio archivo de usuarios con lo cual permite un acceso fluido a la informacin. Control de acceso a internet
Servicio no existente y necesario para llevar a cabo las normas de la empresa Proxy Server y Cach
Un Proxy en una red informtica, es un software o hardware que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Su finalidad ms habitual es la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc.
58
DNS
Inexistencia de este servicio para que se utilice como pasarela con los servidores externos.
Servicio DNS sobre Linux
El DNS es extremadamente importante. Podramos decir que es el encargado de transformar direcciones IP reales (200.72.13.52) a nombres IP (www.midominio.tld) y viceversa e informar de una serie de datos a otros DNS y servidores existentes en el mundo. Zona desmilitarizada
Informacin de acceso restringido disponible a cualquier usuario dentro de la red de datos interna. Segmentacin de la red actual va VLANs sobre Linux
VLAN es un acrnimo de Red de rea Local Virtual. Varias VLAN pueden coexistir en un nico conmutador fsico, configurndose a travs del software (los comandos de Linux y los archivos de configuracin) y no a travs de la interfaz de hardware (que todava no ha configurado el switch). Monitoreo de Servicios
Servicio inexistente que no permite analizar el funcionamiento de los servicios de red implementados dentro de la red interna, expuestos hacia la red externa. Nagios es un sistema de monitorizacin de redes de cdigo abierto ampliamente utilizado, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. Entre sus caractersticas principales figuran la monitorizacin de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorizacin de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos...), independencia de sistemas operativos, posibilidad de monitorizacin remota mediante tneles SSL cifrados o SSH, y la posibilidad de programar plugins especficos para nuevos sistemas. Se trata de un software que proporciona una gran versatilidad para consultar prcticamente cualquier parmetro de inters de un sistema, y genera alertas
59
que pueden ser recibidas mediante correo electrnico y mensajes SMS (entre otros medios), cuando estos parmetros exceden de los mrgenes definidos por el administrador de red. Llamado originalmente Netsaint, nombre que se debi cambiar por coincidencia con otra marca comercial, fue creado y es actualmente mantenido por Ethan Galstad, junto con un grupo de desarrolladores de software que mantienen tambin varios complementos. Nagios fue originalmente diseado para ser ejecutado en GNU/Linux, pero tambin se ejecuta bien en variantes de Unix. Firewall (Cortafuegos)
Servicio que realiza sus funciones de manera ineficiente, por el hecho de no contener las reglas de filtrado necesarias y vlidas para el acceso autorizado y no autorizado de los usuarios de la empresa. Netfilter es un framework disponible en el ncleo Linux que permite interceptar y manipular paquetes de red. Dicho framework permite realizar el manejo de paquetes en diferentes estados del procesamiento. Netfilter es tambin el nombre que recibe el proyecto que se encarga de ofrecer herramientas libres para cortafuegos basados en Linux. El componente ms popular construido sobre Netfilter es iptables, una herramienta de cortafuegos que permite no solamente filtrar paquetes, sino tambin realizar traduccin de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no slo ofrece componentes disponibles como mdulos del ncleo sino que tambin ofrece herramientas de espacio de usuario y libreras. iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir polticas de filtrado del trfico que circula por la red. El nombre iptables se utiliza frecuentemente
60
de forma errnea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el Connection Tracking System o sistema de seguimiento de conexiones, que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prcticamente todas las distribuciones de Linux actuales. Transferencia de informacin
La inexistencia de este servicio, no permite compartir informacin con los proyectos que se encuentran en ejecucin (sucursales) Servidor FTP
FTP (sigla en ingls de File Transfer Protocol - Protocolo de Transferencia de Archivos) en informtica, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde l o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo. Administracin de cuentas de correo electrnico
Servicio inexistente que no permite el control completo de las cuentas de correo electrnico propias.
Servidor de Correo Electrnico
Sendmail es un popular "agente de transporte de correo" (MTA - Mail Transport Agent) en Internet, cuya tarea consiste en "encaminar" los mensajes correos de forma que estos lleguen a su destino. Se afirma que es el ms popular MTA, compatible con sistemas Unix y el responsable de la mayora de los envos de correo de internet, aunque se le critica su alto nmero de alertas de seguridad (la mayora de ellas parchadas a las pocas horas), adems de no ser sencillo de configurar.
61
Seguridad en la red
La red interna de la empresa no se encuentra con los niveles de seguridad apropiados para su operacin.
Antivirus y AntiSpam ClamAV es un software antivirus open source (de licencia GPL) para las plataformas Windows, Linux y otros sistemas operativos semejantes a Unix. Respaldos de informacin
La modalidad de los respaldos de informacin es deficiente debido a no existir consistencia en la informacin almacenada. AMANDA, Advanced Maryland Automatic Archiver disco de red, es una solucin de copia de seguridad que permite al administrador de TI configurar un servidor maestro solo para copia de seguridad de mltiples hosts en la red de unidades de cinta / o cambiadores de discos o medios pticos. Amanda utiliza los servicios nativos y formatos (por ejemplo, descarga y / o GNU tar) y copias de seguridad de un gran nmero de servidores y estaciones de trabajo con mltiples versiones de Linux o Unix. Amanda utiliza un cliente nativo de Windows para copias de seguridad de Microsoft de escritorio y servidores Windows. Autentificacin de usuarios y permisos
No existe autenticacin de usuarios lo que impide realizar las restricciones necesarias a ste y definir los roles necesarios para cada usuario y su funcin en la empresa. Controlador de Dominio Primario
Con el servidor Linux se puede disponer de un Controlador de Dominio (PDC - Primary Domain Controller) de un dominio Windows, para poder beneficiarnos de todas sus caractersticas: autentificacin de usuarios, scripts de inicio de sesin, perfiles mviles, directivas de sistemas, etc... Se utiliza Samba como PDC.
62
Licenciamiento
Elevado costo de licencias de software orientado principalmente a los servidores de la empresa que provee de los servicios de red necesarios. Licencia GPL . La Licencia Pblica General de GNU o ms conocida por su nombre en ingls GNU General Public License o simplemente sus siglas del ingls GNU GPL, es una licencia creada por la Free Software Foundation en 1989 (la primera versin), y est orientada principalmente a proteger la libre distribucin, modificacin y uso de software. Su propsito es declarar que el software cubierto por esta licencia es software libre y protegerlo de intentos de apropiacin que restrinjan esas libertades a los usuarios. Existen varias licencias "hermanas" de la GPL, como la licencia de documentacin libre de GNU (GFDL), la Open Audio License, para trabajos musicales, etctera, y otras menos restrictivas, como la MGPL, o la LGPL (Lesser General Publical License, antes Library General Publical License), que permiten el enlace dinmico de aplicaciones libres a aplicaciones no libres. Seguridad de la informacin
No existe un procedimiento establecido para el manejo de seguridad de las TI. ISO 27001
Es un conjunto de estndares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commision), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin.
63
Interconexin entre nivel central y sucursales
Por el hecho de no (existir) una interconexin entre la casa matriz y las sucursales no se cuenta con la informacin de manera ntegra.
OpenVPN es una solucin de conectividad basada en software: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada). OpenVPN ofrece conectividad punto-a-punto con validacin jerrquica de usuarios y host conectados remotamente. Resulta una muy buena opcin en tecnologas Wi-Fi (redes inalmbricas EEI 802.11) y soporta una amplia configuracin, entre ellas balanceo de cargas. Est publicado bajo la licencia GPL, de software libre. Filtraje URL
Acceso no restringido a los servicios de internet, lo que impide llevar un control a los servicios de internet.
Se hace necesario contar con restricciones de acceso a diversos sitios y almacenamiento temporal de sitios ms visitados. Squid es un popular programa de software libre que implementa un servidor proxy y un dominio para cach de pginas web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor web, guardando en cach peticiones repetidas a DNS y otras bsquedas para un grupo de gente que comparte recursos de la red, hasta cach de web, adems de aadir seguridad filtrando el trfico. Est especialmente diseado para ejecutarse bajo entornos tipo Unix. Squid ha sido desarrollado durante muchos aos y se le considera muy completo y robusto. Aunque orientado principalmente a HTTP y FTP es compatible con otros protocolos como Internet Gopher. Implementa varias modalidades de cifrado como TLS, SSL, y HTTPS.
64
Accesos no autorizados
No se cuenta con un sistema de deteccin de accesos no autorizados a la red privada de la empresa. IDS (Sistema de Deteccin de Intrusos)
Debido a la importancia de la informacin se debe contar con una infraestructura de red robusta y con niveles de seguridad elevados a la hora de tratar de acceder a la red interna de manera inadecuada.
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Prevenir accesos no autorizados
No se cuenta con un control ni seguridad al ingresar a los recursos de la red interna
Snort. Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin).
Permite prevenir de manera segura cualquier acceso no autorizado a los servicios de red implementados y a la red interna. Ancho de banda
No existe la discriminacin de los usuarios que utilizan los servicios de la red, que permita asignar mayor ancho de banda a El traffic shaping o catalogacin de trfico (tambin conocido como catalogacin de paquetes, por su nombre en ingls "packet shaping") intenta controlar el trfico en redes de ordenadores para as lograr optimizar o garantizar el rendimiento, baja latencia, y/o un ancho de banda determinado retrasando paquetes. La catalogacin de trfico propone conceptos de clasificacin, colas, imposicin de
65
usuarios que utilizan servicios de red especiales.
polticas, administracin de congestin, calidad de servicio (QoS) y regulacin. Por otra parte, esto consiste en una prctica utilizada por diversos ISPs para no sobrepasar sus capacidades de servicio. Debido al aumento de trfico especialmente por aplicaciones P2P, los ISPs han aumentado su manejo de este tipo de trfico. Debido a la adaptacin de las aplicaciones para enmascarar este tipo de trfico, se ha empezado a implementar Inspeccin Profunda de Paquetes (Deep Packet Inspection en ingls). Si bien normalmente se usa traffic shaping en contexto de ISPs, desde hace mucho tiempo el control de trfico est soportado por distintas tecnologas de transporte en forma nativa (como ATM y MPLS) lo que permite la clasificacin y priorizacin de trficos como VoIP por sobre otros de mejor tolerancia al retraso.
4.1.5 Sistemas vigentes y su estado Se debe realizar un anlisis exhaustivo de los sistemas informticos usados en la organizacin, observando en profundidad el procedimiento de la toma de requerimientos confrontndolo con los sistemas informticos implementados, lo cual dar una realidad clara respecto a si realmente se estn cumpliendo a cabalidad las soluciones a las necesidades de la empresa. Una vez recopilada esta informacin se deber verificar de qu forma se realizan los procesos implementados y efectuar las modificaciones correctivas si es que fuera necesario. 4.1.6 Recursos Humanos Considerando la informacin recopilada, se debe analizar si el recurso humano que posee la empresa para dar el soporte requerido a las necesidades de sta, referido a la Unidad de Informtica, cuenta con la experiencia para administrar las Tecnologas de Informacin que posee y las que se debern implementar si es que fuera necesario. Realizado este anlisis, proponer en algunos casos la capacitacin
66
del personal en cuanto al mbito tcnico y de no ser as, entregar una solucin viable en este caso. 4.1.7 Sntesis de una encuesta de satisfaccin de usuarios Por medio de una encuesta de satisfaccin de usuarios se requiere determinar el impacto que causa el manejo de los procesos que administra la empresa con las Tecnologas de Informacin, de acuerdo al trabajo que desempea cada usuario de las reas administrativas de la empresa, considerando aspectos relevantes en cuanto a optimizacin de los procesos que se deben realizar, tiempos relacionados con dichos procesos, informes de tareas realizadas por los usuarios de los departamentos, desempeo laboral por la razn de utilizar las TI como herramienta complementaria a las labores que se realizan, impacto en el desarrollo personal, etc. 4.1.8 Resumen de costos por cada concepto anterior Considerando los aspectos anteriormente sealados, realizar un estudio de costos por cada aspecto mencionado, con el fin de evaluar si los recursos que la empresa tiene destinados para la unidad de informtica, cubren a cabalidad las necesidades que se deben suplir. Tomando en consideracin sto, entregar a la empresa una alternativa ms conveniente que a su vez sea eficaz y eficiente de acuerdo a su condicin actual, acorde a la importancia de la informacin, determinando si realmente las TI cumplen con las buenas prcticas para su funcionamiento de acuerdo a los recursos con los cuales se cuentan. 4.1.9 Anlisis de costos Al analizar los costos relacionados con la implementacin informtica dentro de una empresa orientada principalmente a los servidores y los servicios de red necesarios para un buen funcionamiento; se deben elegir las tecnologas de informacin adecuadas que se encuentren al alcance de la empresa, aspectos que se toman en consideracin en funcin de la envergadura que sta tenga. Si para este caso se tomara en consideracin la lnea de productos que ofrece el software pagado, los costos relacionados seran los siguientes:
67
Tabla 03. Valores de Software para Servidores
Cantidad Recurso Descripcin Valor Subtotal
SOFTWARE
3 Windows 2008 Server Enterprise OLP Servidor de datos 1.215.776 3.647.328 4 Windows 2008 Server Call de Acceso Acceso al servidor de datos 77.825 311.300 1 Exchange Server 2010 Standard OLP Administracin de correo electrnico 365.482 365.482 1 Microsoft Office 2011 Pro Plus OLP Trabajo con software Exchange 2010 262.294 262.294 1 Acronis Backup & Recovery 10 Sistema de respaldo administrativo 665.000 665.000 20 Antivirus NOD32 consola administracin Antivirus para la empresa 16.500 330.000
HARDWARE
3 Servidores HP Proliant ML370 G6 Hardware de Servidor 1.456.941 4.370.823 2 Firewall Cisco ASA 5510-K8 Filtrado de paquetes enlaces dedicados 1.913.000 3.826.000
Total IVA INCLUIDO 13.778.227
Se hace necesario mencionar que en estos tems, se consideran solamente la arquitectura de red, y no se hace mencin a las estaciones de trabajo. En cuanto a los costos de las estaciones de trabajo se detallan a continuacin: Tabla 04. Valores de Software para Estaciones de Trabajo.
Cantidad Recurso Descripcin Valor Subtotal
SOFTWARE
20 Windows 7 Professional OLP Sistema Operativo Base E.T. 98.087 1.961.740 20 Office 2010 Professional Plus Suite Ofimtica 262.294 5.245.880
Total IVA INCLUIDO 7.207.620
Cabe destacar que si la empresa trabaja con software de productividad, es pertinente contar con un software base compatible con los sistemas en cuestin. Un aspecto importante a considerar es que dentro de los costos expuestos se encuentra todo lo necesario para la implementacin de la arquitectura de red para Cygsa Chile S.A.
68
A continuacin se darn a conocer los costos de implementacin por los servicios necesarios bajo la tecnologa Software Libre: Tabla 05. Valores de implementacin Software Libre
Cantidad Descripcin del Servicio Descripcin Precio Unitario UF Precio Total UF
SOFTWARE
1 Configurar Servidor Linux Fedora 17 2,5 2,5 1 Configuracin Firewall 2 2 1 Configuracin Samba 2,5 2,5 1 Proxy Server y Cach 2 2 1 Servidor DNS 2 2 1 Segmentacin de la red VLAN 2,5 2,5 1 Monitoreo de Servicios de red (Instalacin de plataforma NAGIOS o similar) 3 3 1 Servidor FTP 2,5 2,5 1 Servidor de Correo Electrnico multidominio 2 2 1 Antivirus 2 2 1 AntiSpam 2 2 1 Controlador de Dominio Primario 2 2 1 Configuracin OpenVPN 3 3 1 URL Filtering 2 2 1 IDS 3 3 1 IPS 3 3 1 Traffic Shaping 3 3
Subtotal UF 41 I.V.A. No afecto Total UF 41
Nota: Valor Referencial U.F. al 31 de Diciembre de 2012 Estos valores incluyen la implementacin de los servicios en la casa central. En cuanto a este tema, hay que destacar que la empresa trabaja con proyectos, los cuales tambin necesitan algunos servicios mencionados. La cantidad de servicios que se debe implementar en cada proyecto depende directamente de las bases establecidas por el oferente.
69
Tabla 06. Tabla comparativa de costos relacionados con la implementacin informtica orientada a servidores y servicios de red. Tabla Detalle Software Privativo Software Libre
03 Valores de Software y Hardware para Servidores. 13.778.227 04 Valores de Software para Estaciones de Trabajo. 7.207.620
05 Valores implementacin software libre (5% de la inversin en Software Privativo). 936.471
SUMAS 20.985.847 936.471
DIFERENCIA A FAVOR SOFTWARE LIBRE (95% de la inversin en software privativo). 20.049.376
TOTALES 20.985.847 20.985.847
4.2 Sistemas de Informacin 4.2.1 Desarrollo de nuevos sistemas previstos Se plantea que la forma de afrontar la confeccin de algn sistema informtico en particular, se realice por medio de los procesos que se encuentran estipulados en las buenas prcticas del PMI bajo el PM-BOOK, debido a que se toman en consideracin procedimientos ya realizados y que han dado fruto adecuadamente en la implementacin de sistemas.
70
4.2.2 Mantencin adaptativa, correctiva y perfectiva de los sistemas vigentes. La importancia de contar con sistemas informticos, debido a la sistematizacin de la informacin por la automatizacin de procesos administrativos, recae principalmente en realizar de manera adecuada la primera etapa en la confeccin del sistema, estipulando claramente lo que realmente se quiere realizar. Esto se encuentra enfocado principalmente en el Anlisis de los Requerimientos, que es un proceso fundamental e imprescindible al confeccionar un sistema informtico adecuado para satisfacer las necesidades de la empresa. Cabe sealar que el hecho de no realizar este procedimiento como corresponde, da como resultado la confeccin de un sistema que pierde el horizonte de lo que realmente se quiere lograr, involucrndose aspectos como los costos, el tiempo, la puesta en marcha, el impacto de su utilizacin, lo que finaliza con el fracaso de su explotacin. Ante esta situacin se debe realizar un estudio minucioso de los sistemas vigentes en cuanto a si cumplen los requerimientos estipulados por los usuarios. Anlisis de impacto del negocio BIA Se considera que la base de todo plan de continuidad de negocio es el procedimiento BIA. El BIA indica qu procesos o reas del negocio de la empresa son las ms crticas, sealando tambin qu aplicaciones son las que se deben llevar a un centro de cmputo remoto para procesar informacin en caso que ocurra una catstrofe. El BIA indica da a da como se impacta el patrimonio de la empresa cuando el riesgo catastrfico se concreta. El BIA no aplica para los riesgos que no sean catastrficos. Un Plan de continuidad del negocio debe basarse en el BIA. Si una entidad de control quisiera saber si el BCP ( Plan de Continuidad del Negocio ) es frgil, o fue elaborado a ltima hora slo por cumplir una norma, entonces debe mirar cuan slido es el BIA debido a que ste fue el inicio para llegar al plan de continuidad del negocio.
71
Ante esta definicin se debe realizar la siguiente pregunta: Se ha reflexionado sobre qu sera de un BCP sin un BIA? Generalmente el informe BIA est compuesto por dos bloques que a la vez conforman otras partes: uno gerencial y otro de soporte. El bloque de soporte tiene como objetivo dejar constancia en detalle de los resultados del bloque gerencial, siendo clave si este informe gerencial fuera cuestionado. Especficamente el BIA determina el RTO y el RPO: RTO (Recovery Time Objective): es el mximo tiempo permitido que un proceso puede estar cado como consecuencia de un evento catastrfico. RPO (Recovery Point Objective): primeros datos que permiten volver a ofrecer el servicio. Identifica si para la recuperacin del proceso que se haya visto afectado se necesita disponer de la informacin que se tena justo antes de que sucediera el incidente, o si por el contrario, se puede utilizar la informacin anterior (hasta qu momento: una hora, un da, dos das,..). Propuesta de contenido de BIA Parte I: Alcance y Objetivos del BIA Terminologa utilizada.- Esta seccin no debe escribirse en ms de una pgina y debe contener los trminos bsicos y elementales del BIA tales como: riesgo, anlisis de riesgos, alta disponibilidad, RTO, RPO, y todos los trminos especficos utilizados en este informe, que le permita a cualquier persona leer y entender este documento. Revisiones del documento.- Contiene la fecha en que se revis el BIA as como una descripcin abreviada del cambio en el documento, la versin, quien lo gener o audit. Objetivos.- Define la intencin del BIA, el peor escenario, define los RTO por ejemplo:
Figura 20: Niveles RTO
72
Alcance.- Describe los subprocesos, procesos o reas en cuestin, y se indica en que zona geogrfica residen los procesos bajo estudio. Enfoque utilizado.- Describe si se utilizaron cuestionarios, como se distribuyeron hacia los dueos de los procesos, el nmero de procesos encuestados, en qu fecha se hizo el BIA y quin condujo el grupo de encuestadores. Parte II: Respuesta de los encuestados Respuestas de los encuestados y resultados.- Resume como respondi la gente, no incluyendo los formularios o encuestas utilizadas por los dueos de los procesos encuestados. Resultados de cada proceso o de las unidades de negocios.- En esta parte se describe cada proceso o unidad de negocio, informa quien realiz las encuestas y adems muestra la siguiente informacin por cada proceso o unidad de negocio:
Proceso de negocio y RTO: se tabula cada subproceso del proceso o unidad de negocio con su secuencia, descripcin y RTO (mximo tiempo permitido antes de entrar en colapso).
Recursos requeridos por cada proceso de negocio: se tabula cada subproceso del proceso o unidad de negocio con su secuencia, aplicaciones necesarias, equipo, registros vitales o reportes y personas requeridas.
Procedimientos manuales de recuperacin: se tabula cada subproceso del proceso o unidad del negocio con su secuencia, procedimiento manual de solucin, % que se puede hacer manualmente y RPO.
Impacto financiero identificado por cada proceso: se tabula cada subproceso del proceso o unidad de negocio con su secuencia, calificacin (ninguno, bajo, medio, alto), valor del impacto financiero del proceso.
73
Impacto operacional (imagen ante el cliente) identificado por el proceso o la unidad de negocio: se tabula cada subproceso del proceso o unidad de negocio con su secuencia, calificacin de (ninguno, bajo, medio y alto).
Impacto legal identificado por cada proceso: se tabula cada subproceso del proceso o unidad de negocio con su secuencia, calificacin (ninguno, bajo, medio, alto) y valor del costo/comisiones.
Resumen y conclusiones del proceso evaluado: se debe enunciar cual es el subproceso ms crtico en orden de impacto y sobre todo cules son los reportes ms vulnerables. Parte III: Grficos de Impactos. Impacto Financiero combinado debe mostrar: en forma grfica da a da la prdida financiera, describindose cul es el valor del primer da, la primera semana y el mes. Resume como ocurren los impactos y desde que procesos, subprocesos o unidades de negocio se originan. Impacto Operacional combinado: generalmente el impacto operacional es un intangible y tiene que ver con la moral de los empleados, el valor de la accin si se cotiza en bolsa, el flujo de trabajo y finalmente el servicio al cliente. Impacto combinado legal/regulacin: el impacto Legal y de regulacin tiene que ver con las obligaciones para con las agencias de vigilancia, organizaciones y clientes con los cuales las unidades de negocio deben cumplir obligaciones contractuales. Incluye los deberes para con las entidades de vigilancia gubernamental, contratos y niveles de servicio pactados con clientes, vendedores y agencias. Requerimientos de personal para recuperacin. Complejidad de recuperacin por unidad de negocio o subproceso: la complejidad de recuperacin es la medida de cun difcil es la recuperacin de la unidad de negocio a los niveles de servicio pactados despus de un prolongado tiempo de desastre. Durante el proceso de entrevistas del BIA, a cada unidad de negocio o proceso se le debe encuestar respecto a que rango pertenece segn la siguiente lista:
74
Fcilmente Recuperable.- Los procesos que tengan procedimientos manuales de recuperacin, locaciones alternas para poder trabajar, tecnologa y estrategias de recuperacin caen en este rango. Razonablemente Recuperable.- Algunas necesidades pueden ser difciles de reemplazar en un tiempo razonable. Difcilmente Recuperable.- Muchas de las necesidades esenciales de la unidad de negocio pueden ser difciles de reemplazar en un tiempo razonable. Muy difcil recuperacin.- Existen numerosos elementos muy difciles de reemplazar o el tiempo de recuperacin es muy largo. Parte IV: Solucin. Propuesta de solucin: generalmente se recomienda una alternativa de cmputo remoto: se debe describir la estrategia recomendada. Conclusiones Finales: lista una serie de actividades y sus recursos respectivos necesarios. 4.3 Recursos Informticos 4.3.1 Equipamiento 4.3.1.1 Enlaces de Internet Actualmente Cygsa cuenta con dos enlaces dedicados de internet, servicios que entrega el ISP (Proveedor de Servicios de Internet) Grupo GTD. Estos enlaces se utilizan para fines especficos, como son la provisin de servicios de internet para la casa matriz y servicios de red tanto para la casa matriz, como para las obras de los proyectos en ejecucin que se desarrollan a lo largo del pas. Ambos enlaces se administran y supervisan peridicamente a diario, debido a que la comunicacin con el exterior debe ser fluida y expedita, de acuerdo al nivel de importancia de contar con un manejo de informacin centralizada y estar en comunicacin adecuada con el entorno de trabajo en general. La descripcin de los enlaces dedicados se muestra a continuacin:
75
Descripcin de Enlaces dedicados
Figura 21: Enlace 10 Mbps / 4 Mbps
Figura 22: Enlace 2 Mbps / 1 Mbps Se puede hacer notar la diferencia de trfico existente entre cada enlace dedicado, cabe mencionar que el enlace principal (10/4) posee un trfico bastante considerable, esto debido a no poseer un filtro de paquetes para poder discriminar el ancho de banda utilizado y la habilitacin solamente de los servicios necesarios. En cuanto al enlace secundario (2/1) posee un trfico razonable, debido a su poca
76
utilizacin, ya que principalmente se utiliza para la transferencia de informacin entre la casa central y las sucursales de la empresa. 4.3.1.2 Red de Datos La Red de datos que posee la empresa en la casa matriz est constituda por dos distribuciones, considerando que la arquitectura fsica contempla dos pisos construdos y cableados de manera distinta (no aconsejable). Esta distribucin consta de lo siguiente: Figura 23: Red de datos Cygsa Chile S.A. 1er Piso Se utiliza para estos efectos la provisin del enlace dedicado 10 Mbps / 4 Mbps, que se encuentra conectado directamente a un Firewall Linux que a su vez alimenta a un Switch Primario encargado de la distribucin de los puntos de red para las estaciones de trabajo y servidores del primer piso; este switch a su vez se encuentra conectado a un switch secundario para la alimentacin de red de la mitad de la planta baja. En cuanto al cableado ste contempla una red de datos con cable Cat. 6, al cual se encuentran conectados los servidores de la empresa y las estaciones de trabajo de los usuarios de la planta baja y una alimentacin de un punto de red para el segundo piso mediante otro switch terciario. 2do Piso Se encuentra conectado a un switch terciario, para la alimentacin de las estaciones de trabajo de la planta alta. El cableado de red en este piso es de Cat. 5e, que conlleva a una conectividad deficiente en cuanto a las estaciones de trabajo
77
con los servidores de la empresa, se hace necesario considerar la implementacin de una red de datos estable similar a la existente en el 1er piso, para as no tener ningn tipo de inconvenientes a la hora de utilizar los servicios de red implementados en la empresa. 4.3.1.3 Servidores La plataforma de servicios de red est compuesta por lo siguiente: Servidor Firewall Servidor encargado de los servicios de red necesarios para el funcionamiento adecuado dentro de la LAN. Este servidor se encuentra montado en un Sistema Open Source (PFSense), encargado de filtraje de paquetes entre la red WAN y la red LAN. Dentro de los servicios de red disponibles se pueden mencionar: HTTP, HTTPS, DNS, SMTP, POP3, NAT.
Cabe mencionar que se encuentran habilitados otros servicios dentro del Servidor: MS-RDP, FTP, Sistema de Monitoreo Circuito Cerrado de TV (Port: 5400).
En cuanto a la descripcin del Hardware del servidor, est compuesto por un computador genrico que posee la siguiente descripcin:
Placa madre INTEL Intel Core 2 Duo E7200 2.53 GHz. 2 GB de Memoria RAM 160 GB disco duro
El problema existente en el firewall, es el colapso en cuanto a las peticiones que se realizan al servidor, que conlleva a la inestabilidad del sistema. Cabe mencionar que el software administrador en el servidor posee deficiencias a la hora de establecer las reglas adecuadas, el filtraje de informacin en cuanto a los puertos necesarios para los servicios implementados en la red de datos, los accesos autorizados y la seguridad con respecto a los accesos no autorizados para su funcionamiento.
78
Servidor de Datos Dentro de la red se cuenta con dos servidores de iguales caractersticas de Hardware y de Software, que proveen el servicio de almacenamiento de informacin relacionada con los proyectos que maneja la empresa. Estos servidores se encuentran configurados de tal manera que los usuarios por medio de un perfil especfico, pueden acceder a la informacin contenida en ellos.
El software en el que se encuentran montados los servidores es el Sistema Operativo Windows 2003 Server R2, y dentro de las aplicaciones se utiliza el software para el respaldo de informacin del Acronis True Image Echo Server. Estos respaldos se realizan peridicamente una vez por semana, almacenndolos en un disco duro externo (2TB) que es retirado por la gerencia.
Se debe mencionar que las caractersticas de hardware son las siguientes:
Los problemas con la integridad de los datos y el licenciamiento de software se solucionan realizando la migracin al Open Source y/o Software libre.
Servidor de Aplicaciones Servidor dedicado exclusivamente a los Sistemas Contables de la empresa, sistemas ERP con la modalidad multiusuario. Este servidor cuenta con el Sistema Operativo Windows 2008 Server Enterprise, que mantiene en proceso el servicio de Terminal Server para el acceso desde fuera de la casa matriz, especficamente del Departamento de Recursos Humanos de Cygsa Chile S.A. ubicados en la ciudad de Rancagua.
Las caractersticas de hardware que posee este servidor se mencionan a continuacin:
79
Placa madre INTEL Intel Core 2 Duo 2.53 GHz. 2 GB de Memoria RAM 250 GB disco duro
La solucin en mantener este servidor debido a que dentro de la plataforma Linux, no existe un sistema ERP similar en esta categora y la no compatibilidad de estos sistemas en la plataforma Linux. 4.3.1.4 Estaciones de Trabajo Las estaciones de trabajo actualmente utilizan software de base y especfico, denominndose as al sistema operativo y a su suite ofimtica respectivamente. Cabe sealar que el software utilizado en las estaciones de trabajo se encuentra con sus respectivas licencias de uso (Windows, Office, preferentemente).
A continuacin se da a conocer las estaciones tipo que se utilizan en la casa matriz de Cygsa:
Estacin Tipo 1
Microsoft Windows 7 Professional Microsoft Office 2010 Professional Plus Aplicaciones Varias (7Zip, Adobe Reader, etc.)
Estacin Tipo 2
Microsoft Windows Xp SP3 Microsoft Office 2007 Professional Aplicaciones Varias (7Zip, Adobe Reader, etc.) Software cliente para sistemas contables
80
Las especificaciones de hardware son las siguientes:
Tipo 1
Core 2 duo 2.66 GHz 2 GB Memoria RAM 160 GB Disco Duro T. de Video 256 MB
Tipo 2
Pentium D 2.6 GHz 2 GB Memoria RAM 160 GB Disco Duro T. de Video 256 MB
Las estaciones de trabajo permanecern bajo la misma plataforma debido a la compatibilidad con los clientes ya que principalmente trabajan bajo el software privativo.
4.3.1.5 Dispositivos Activos.
Switch Administrables. En la red de datos se encuentran conectados dos dispositivos de conmutacin administrables, encargados de proveer de comunicacin a las estaciones de trabajo de la casa matriz. La especificacin de estos dispositivos se detalla a continuacin:
3com Baseline Switch 2952-SFP Plus Switch Ethernet Gigabit de Nivel 2 administrable va web, con 32 rutas estticas. 48 puertos 10/100/1000 y cuatro puertos SFP Gigabit; puerto de consola en panel frontal para administracin CLI. Administracin como una sola entidad con una nica direccin IP de hasta 32 dispositivos de la familia Baseline Plus 2900 (modelos 3GCRBSGxxx).
81
VLAN que permite segmentar la red, reagrupando los usuarios en funcin de sus necesidades de intercambio de datos o trfico para un uso ptimo del ancho de banda disponible. Enlaces LACP que permiten agrupar puertos automticamente para crear una conexin troncal con ancho de banda ultra grande con la red troncal y ayuda a prevenir los cuellos de botella de trfico. Control de acceso a la red IEEE 802.1X que proporciona seguridad basada en estndares combinada con autenticacin local. ACL basadas en MAC e IP que permiten filtrar el trfico y mejorar el control de la red. VLAN automtica de voz que asigna automticamente el trfico VoIP (voz sobre IP) a una VLAN de voz dedicada, optimizando as este trfico sensible al retardo. Soporte del protocolo Spanning Tree Protocol (STP,RSTP,MSTP) que permite mejorar la compatibilidad, escalabilidad, y disponibilidad de la red. Soporte de tramas JUMBO para una carga de red reducida. IGMP snooping y el filtrado multicast que permiten optimizar el rendimiento de la red. Switch administrado con software compatible con SNMP, como por ejemplo 3Com IMC, Network Supervisor y Network Director. Se proceder a utilizar las caractersticas y ventajas de estos dispositivos, enfocado principalmente a la segmentacin de la red de datos en el mbito de servidores y usuarios de la empresa, organizados en departamentos para solamente poder compartir informacin con el rea correspondiente en lo que respecta a seguridad, debido a que actualmente se encuentra en modo pasivo. Routers En la red de datos se encuentra conectado un Router Dlink DIR-600 que cumple la funcin de abastecer de conectividad inalmbrica a la sala de reuniones de la empresa. Cabe sealar que el Router est configurado como puente, para poder entregar direcciones de red mediante el servicio DHCP, previamente configurado en el Firewall de la red. Estas direcciones de red van entre el segmento 192.168.1.80
82
192.168.1.85 que se utiliza para asignar a los diversos dispositivos (de preferencia laptops) cuando se realizan reuniones de trabajo. En cuanto a la seguridad de la red, el dispositivo en cuestin se encuentra configurado en modo de proteccin por medio de la seguridad de encriptacin WPA2. Impresoras Las impresoras que se encuentran dentro de la red de datos son las siguientes: HP 2600N XEROX M20 XEROX WORKCENTRE 123 HP CP3505 La modalidad de conexin que tienen estas impresoras es por medio del protocolo TCP-IP que por ende tiene asignada una direccin de red esttica, por lo que la conexin de las estaciones de trabajo hacia las impresoras es directa. Plotters Los plotters con los que cuenta la empresa poseen la siguiente caracterstica: HP Designjet 500 La cantidad de plotters que se utilizan son cuatro y se encuentran configurados bajo el protocolo TCP-IP, conectados directamente a la red de datos. DVR H. 264 Digital Video Recorder es un dispositivo que cumple la funcin de servidor de video. De sus funciones se puede mencionar que almacena video en un disco duro proveniente de 8 cmaras de video instaladas en las dependencias de Cygsa. Generalmente son parte de un sistema de seguridad. Los servidores de video son dispositivos creados para permitir la transicin tecnolgica entre los sistemas anlogos de vigilancia conocidos como CCTV (Circuito Cerrado de Televisin) y las nuevas formas de vigilancia conocidas como vigilancia IP.
83
Los sistemas de vigilancia IP son aquellos en que las imgenes y audio capturados por las cmaras y micrfonos, se comprimen y transmiten por una red de datos local o internet (LAN/WAN) y pueden ser accedidos desde uno o varios puntos en cualquier lugar, mediante un computador ( o hardware especialmente diseado) para descomprimir los datos, visualizarlos, analizarlos, grabarlos, incluso generar acciones de manera automtica en respuesta a diferentes eventos pre-definidos o a voluntad de un operador. En este caso el servidor de video se encuentra conectado a la red privada de la empresa, permitiendo a su vez conectarse de manera externa, previa configuracin en el Firewall de la red utilizando el servicio de NAT (Traduccin de Direccin de Red). 4.3.2 Hardware - Software La empresa trabaja principalmente por medio de proyectos en base a licitaciones que los oferentes publican en Mercado Pblico. En este proceso el oferente aade un rea tecnolgica para su implementacin en el apartado de Bases Tcnicas, especificando todo lo necesario para que el proyecto se lleve a cabo, en cuanto a la arquitectura de red, equipamiento, software, servicios de red, etc. Mediante estas especificaciones la empresa realiza el proceso de cotizar a los diversos proveedores que puedan cumplir con lo sealado anteriormente. Este proceso toma en cuenta algunos aspectos relevantes a la garanta de estos productos, como tambin a los tiempos asociados a la reposicin de ellos y/o servicio que se haya contratado para tales fines. 4.3.3 Necesidades de Capacitacin Las necesidades de capacitacin que pueda requerir el personal del Departamento de Informtica de la empresa, va a depender directamente de los servicios que requiera sta, como tambin de la especificacin de los productos y servicios necesarios para el montaje de un proyecto adjudicado. 4.3.4 Plan de Seguridad Informtica El plan de seguridad informtica es la expresin grfica del Sistema de Seguridad Informtica diseado y constituye el documento bsico que establece los principios organizativos y funcionales de la actividad de Seguridad Informtica en una entidad, recogiendo claramente las polticas de seguridad y las
84
responsabilidades de cada uno de los participantes en el proceso informtico, as como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo. Un sistema de seguridad informtica es un conjunto de medios administrativos, tcnicos y de personal, que de forma interrelacionada garantizan niveles de seguridad informtica en correspondencia con la importancia de los bienes a proteger y los riesgos estimados. Durante el proceso de diseo de un Plan de Seguridad Informtica se distinguen resumidamente tres etapas: 1. Determinar las necesidades de proteccin del sistema informtico objeto de anlisis, que incluye: Caracterizacin del sistema informtico. Identificacin de las amenazas y estimacin de riesgos. Evaluacin del estado actual de la seguridad.
2. Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa. Definir las polticas de seguridad. Definir las medidas y procedimientos a implementar.
3. Evaluar el sistema de seguridad diseado. El contenido de cada una de estas etapas se describe en la Metodologa para el diseo de un sistema de seguridad informtica elaborada por el Ministerio del Interior. El diseo de un Sistema de Seguridad Informtica contempla las siguientes etapas: Etapa 1.- Diagnstico y determinacin de brechas. Objetivos: 1.1.- Diagnstico.- Se realiza un diagnstico de la situacin de seguridad de la informacin e identifica en ste los activos de informacin que dan sustento a una seleccin de sus procesos de provisin, estableciendo los controles necesarios para mitigar riesgos que puedan afectar a los activos de informacin crticos, considerando para esto todos aquellos dominios de
85
seguridad de la informacin establecidos en DS 83 y la Norma -ISO 27001- 2009. 1.2.- Determinacin de brechas.- Se comparan los resultados del diagnstico con los controles establecidos en los dominios de seguridad del DS 83 y la Nch-ISO 27001-2009, determinando las brechas que debern ser abordadas y cerradas a travs de la implementacin de un Plan de Seguridad de la informacin Institucional. Etapa 2.- Establecimiento, Planificacin y Programa de Trabajo. Objetivos: 2.1.- Establecimiento.- La Empresa establece su Poltica de Seguridad de la informacin debidamente formalizada por el Nivel Estratgico de la Organizacin, dirigida por el Gerente General. 2.2.- Planificacin.- La Organizacin, en el marco de la Poltica de Seguridad de la Informacin establecida, elabora un Plan General de Seguridad de la Informacin para el ao en curso y siguientes, de acuerdo a los resultados del diagnstico y las brechas detectadas, que comprenda al menos la coordinacin de todas las unidades de la organizacin vinculadas a los aspectos de seguridad de informacin, a travs del nombramiento de responsables de la implementacin del Plan y el establecimiento de los controles para cumplir los requisitos del DS 93 y la Nch-ISO 27001-2009. 2.3.- Programa de Trabajo.- En el marco de la Poltica de Seguridad de la Informacin establecida, se elabora un Programa de Trabajo Anual para implementar el Plan de Seguridad de la Informacin definido, sealando al menos, los principales hitos de su ejecucin y un cronograma que identifique actividades, plazos y responsables, indicadores de desempeo y lo difunde al resto de la organizacin, asegurndose que sea conocido y comprendido por todos los trabajadores de la empresa. Etapa 3.- Implementacin, Registro y Control.- Objetivo: 3.1.- Se implementa el Programa de Trabajo Anual definido en la etapa anterior, de acuerdo a lo establecido en el Plan General de Seguridad de la Informacin, registrando y controlando los resultados de las actividades
86
desarrolladas, las dificultades y holguras encontradas y las modificaciones realizadas respecto de lo programado. Etapa 4.- Evaluacin y Difusin, Seguimiento, Implementacin de compromisos y Mantencin. Objetivos: 4.1.- Evaluacin y Difusin.- La organizacin evala y difunde los resultados de implementacin del Plan General de Seguridad de la Informacin y el Programa de Trabajo Anual, considerando el porcentaje de cumplimiento logrado en los dominios de seguridad del DS 83 y la Norma -ISO 27001-2009, respecto de las brechas detectadas en el diagnstico y formula recomendaciones de mejora. 4.2.- Seguimiento.- La organizacin disea un Programa de Seguimiento a partir de las recomendaciones formuladas en la evaluacin de los resultados de la ejecucin del Plan General de seguridad de la informacin y Programa de Trabajo Anual, sealando los compromisos, plazos y responsables, que permitan superar las causas que originaron las brechas an existentes y las debilidades detectadas de aquellas priorizadas. 4.3.- Implementacin de compromisos.- La organizacin conjuntamente con las reas que la componen, implementa los compromisos establecidos en el Programa de Seguimiento definido. 4.4.- Mantencin.- La organizacin mantiene el grado de desarrollo del sistema, de acuerdo a cada una de las etapas tipificadas. Una vez cumplidas estas etapas se pone en marcha el Plan de Seguridad Informtica. Para la elaboracin del Plan de Seguridad Informtica se tendrn en cuenta las consideraciones siguientes: Sern confeccionados tantos ejemplares como se determine en cada lugar. Se determinar su clasificacin, parcial o total, de acuerdo a la informacin que contenga, en correspondencia con las categoras que expresa el Decreto Ley N 199 de 1999 sobre la Seguridad y Proteccin de la informacin Oficial.
87
Se confeccionar de acuerdo a la Norma Tcnica sobre Seguridad y Confidencialidad del Documento Electrnico, desarrollada segn DS 83, del ao 2004, sobre seguridad y confidencialidad de los documentos electrnicos para los rganos de la administracin del estado. Contendr las tablas y grficos que se consideren necesarios y contribuyan a su mejor interpretacin. Tendrn acceso a este documento, o a parte de l, las personas que en cada rea requieran de su conocimiento. Se mantendr permanentemente actualizado sobre la base de los cambios que se produzcan en las condiciones que se consideraron durante su elaboracin. El documento obtenido se referir al radio de accin que abarca el Plan, de acuerdo al Sistema Informtico, para el cual fueron determinados los riesgos y diseado el Sistema de Seguridad. La importancia de dejar definido claramente el alcance del Plan (y de ah su inclusin al comienzo del mismo) estriba en que permite tener a priori una idea precisa de la extensin y los lmites en que el mismo tiene vigencia. Resultados del Anlisis de Riesgos. A partir de que el Plan de Seguridad Informtica es la expresin grfica del Sistema de Seguridad Informtica diseado y de que la esencia de ese diseo es la realizacin de un anlisis de riesgos, obtenido a partir del diagnstico y determinacin de brechas de la etapa 1, no se concibe seguir adelante en la elaboracin del Plan sin dejar claramente precisados cuales fueron los resultados obtenidos en dicho anlisis, por lo que en este acpite debern relacionarse las principales conclusiones obtenidas en ese proceso, entre las cuales no pueden faltar: a) Los activos y recursos ms importantes para la gestin de la entidad y que por lo tanto requieren de una atencin especial desde el punto de vista de la proteccin, especificando aquellos considerados de importancia crtica por el peso que tienen dentro del sistema. b) Las amenazas que actan sobre los activos y recursos a proteger y entre ellas cules tienen una mayor probabilidad de materializarse (riesgo) y su posible impacto sobre la entidad.
88
c) Los activos, recursos y reas con un mayor peso de riesgo y qu amenazas los afectan. En la medida en que las conclusiones del anlisis de riesgos sean ms precisas, se lograr una visin ms acertada de hacia dnde pueden ser dirigidos los mayores esfuerzos de seguridad, y por supuesto los recursos disponibles para ello, logrndose que la misma sea ms eficiente. Polticas de Seguridad Informtica.- Aqu se definen los aspectos que conforman la estrategia a seguir por la entidad, sobre la base de sus caractersticas propias y en conformidad con la poltica vigente en el pas en esta materia, y el sistema de seguridad diseado mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistema informtico, las cuales se derivan de los resultados obtenidos en el anlisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores. Para implementar las polticas, stas son confeccionadas por el Departamento de Informtica, quien las presenta a la direccin de la empresa, para su evaluacin, aprobacin y puesta en marcha. Al definir las polticas se considerarn, entre otros, los siguientes aspectos: a) El empleo conveniente y seguro de las tecnologas instaladas y cada uno de los servicios que stas pueden ofrecer. b) El tratamiento que requiere la informacin oficial: que se procese, intercambie, reproduzca o conserve a travs de las tecnologas de informacin, segn su categora. c) La definicin de los privilegios y derechos de acceso a los activos de informacin, para garantizar su proteccin contra modificaciones no autorizadas, prdidas o revelacin. d) Los principios que garanticen un efectivo control de acceso a las tecnologas, incluyendo el acceso remoto y a los locales donde stas se encuentren. e) La salva y conservacin de la informacin. f) La conexin a redes externas a la empresa, en especial las de alcance global y la utilizacin de sus servicios. g) Los requerimientos de seguridad informtica a tener en cuenta durante el diseo o la adquisicin de nuevas tecnologas o proyectos de software.
89
h) La definicin de los principios relacionados con el monitoreo del correo electrnico y el acceso a los ficheros de usuario. i) El mantenimiento, reparacin y traslado de las tecnologas y el personal tcnico que requiere acceso a las mismas por esos motivos. j) Las regulaciones relacionadas con la certificacin, instalacin y empleo de los sistemas de proteccin electromagntica. k) Las regulaciones relacionadas con la certificacin, instalacin y empleo de sistemas criptogrficos, en los casos que se requiera. l) Los principios generales para el tratamiento de incidentes y violaciones de seguridad. Sistema de Seguridad Informtica.- En esta seccin se describe cmo se implementan en las reas a proteger, las polticas generales que han sido definidas para toda la entidad, en correspondencia con las necesidades de proteccin en cada una de ellas, atendiendo a sus formas de ejecucin, periodicidad, personal participante y medios. Sobre la base de los recursos disponibles y en funcin de los niveles de seguridad alcanzados, se elaborar un Programa de Seguridad Informtica, que incluya las acciones a realizar por etapas para lograr niveles superiores. Se describirn por separado los controles de seguridad implementados en correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios humanos, de los medios tcnicos o de las medidas y procedimientos que debe cumplir. Medios Humanos. Hace referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseo, establecimiento, control, ejecucin y actualizacin del mismo. Se describir la estructura concebida en la Entidad para la gestin de la Seguridad Informtica, especificando las atribuciones y funciones de las distintas categoras de personal, que incluyen: directivos de los distintos niveles (Jefe de la entidad, Jefes de Departamentos, reas y grupos de trabajo o estructuras equivalentes); Jefes y especialistas de informtica; Administradores de redes, sistemas y aplicaciones; Especialistas de
90
Seguridad y Proteccin; Responsables de Seguridad Informtica y Usuarios comunes de las Tecnologas de Informacin.
Medios Tcnicos de Seguridad: Se describirn los medios tcnicos utilizados en funcin de garantizar niveles de seguridad adecuados, tanto del software como del hardware, as como la configuracin de los mismos. Para lo cual se tendr en cuenta:
Sistemas Operativos y nivel de seguridad instalado. Tipo de redes utilizadas y topologa de las mismas. Servidores de uso interno y externo. Configuracin de los servicios. Barreras de proteccin y su arquitectura. Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc. Filtrado de paquetes. Herramientas de administracin y monitoreo. Habilitacin de subsistemas de auditora. Establecimiento de alarmas del sistema. Sistemas de proteccin criptogrfica. Dispositivos de identificacin y autenticacin de usuarios. Proteccin contra programas no deseados. Softwares especiales de seguridad. Medios tcnicos de deteccin de intrusos. Dispositivos de proteccin contra robos de equipos y componentes. Sistemas de mallas de tierra. Proteccin electromagntica. Fuentes de respaldo de energa elctrica. Medios contra incendios. Medios de climatizacin. Otros.
91
Medidas y Procedimientos de Seguridad Informtica En esta parte del Plan se relacionarn las acciones que deben realizarse en cada rea especfica por los medios humanos ya mencionados, en correspondencia con las polticas generales para toda la empresa y con la ayuda, en los casos que lo requieran, de los medios tcnicos descritos, adecuando dichas acciones a la necesidad de proteccin de acuerdo con el peso del riesgo estimado para cada bien informtico objeto de proteccin. Las medidas y procedimientos de Seguridad Informtica que de manera especfica (no deben ser confundidas con las polticas que tienen un carcter general) sean requeridas en las distintas reas, sern definidas de manera suficientemente clara y precisa, evitando interpretaciones ambiguas por parte de quienes tienen que ejecutarlas y son de obligatorio cumplimiento por las partes implicadas. Un procedimiento de seguridad es una secuencia predeterminada de acciones dirigidas a garantizar un objetivo de seguridad. Los procedimientos que se definan sern descritos en los acpites que correspondan o, si se desea, se har referencia a ellos agrupndolos al final del Plan en un anexo. Su redaccin deber ser lo ms clara y sencilla posible, precisando de manera inequvoca los pasos a seguir en cada caso, para evitar posibles interpretaciones incorrectas, de forma tal que puedan ser ejecutados fielmente por las personas responsabilizadas para ello, sin necesidad de alguna otra ayuda adicional. En caso de agruparse todos como un anexo, el formato a utilizar ser el siguiente: Denominacin del procedimiento (ttulo). Secuencia de las acciones a realizar. Especificando en cada caso: qu se hace, cmo se hace y quin lo hace, as como los recursos que sean necesarios para su cumplimiento. Algunos procedimientos a considerar son los siguientes: Otorgar o retirar el acceso de personas a las tecnologas de informacin y como se controla el mismo. Asignar o retirar derechos y permisos sobre los ficheros y datos a los usuarios.
92
Autorizar o denegar servicios a los usuarios. (Ejemplo: Correo Electrnico, Internet). Definir perfiles de trabajo. Autorizacin y control de la entrada / salida de las tecnologas de informacin. Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composicin, la frecuencia de actualizacin, quin debe cambiarla, su custodia, etc. Realizacin de respaldo, segn el rgimen de trabajo de las reas, de forma que los respaldos se mantengan actualizados y las acciones que se adoptan para establecer la salvaguarda de las mismas, de forma que se garantice la compartimentacin de la informacin segn su nivel de confidencialidad. Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisin de personal responsable y que en caso del traslado del equipo fuera de la entidad, la informacin clasificada o limitada sea borrada fsicamente o protegida su divulgacin. Respaldo de los anlisis de registros o trazas de auditora, especificando quien lo realiza y con qu frecuencia. De proteccin fsica. A las reas con tecnologas instaladas. Se precisarn, a partir de las definiciones establecidas en el Reglamento sobre la Seguridad Informtica, las reas que se consideran vitales y reservadas en correspondencia con el tipo de informacin que se procese, intercambie, reproduzca o conserve en las mismas o el impacto que pueda ocasionar para la entidad la afectacin de los activos o recursos que en ellas se encuentren, relacionando las medidas y procedimientos especficos que se apliquen en cada una. (Ejemplo: restricciones para limitar el acceso a los locales, procedimientos para el empleo de cierres de seguridad y dispositivos tcnicos de deteccin de intrusos, etc.).
93
A las Tecnologas de Informacin. Se especifican las medidas y procedimientos de empleo de medios tcnicos de proteccin fsica directamente aplicados a las tecnologas de informacin, que por las funciones a que estn destinadas o por las condiciones de trabajo de las reas en que se encuentran ubicadas lo requieran. (Ejemplo: utilizacin de cerraduras de disquetera, anclaje de chasis, cerradura de encendido del procesador, etc.) Se elegir la mejor ubicacin fsica para los servidores de las tecnologas de informacin destinadas al procesamiento de informacin con alto grado de confidencialidad o sensibilidad, de forma que se evite la visibilidad de la informacin a distancia, minimice la posibilidad de captacin de las emisiones electromagnticas y garantice un mejor cuidado y conservacin de las mismas. Se establecen medidas y procedimientos para garantizar el control de las tecnologas de informacin existentes, durante su explotacin, conservacin, mantenimiento y traslado. A los soportes de informacin.- Se describir el rgimen de control establecido sobre los soportes magnticos de informacin, refirindose entre otros aspectos a: Lo relacionado con la identificacin de los soportes removibles autorizados a utilizar, incluyendo su identificacin fsica y lgica. Las condiciones de conservacin de los soportes, especificando las medidas que garanticen la integridad y confidencialidad de la informacin en ellos recogida. Las medidas y procedimientos que se establecen para garantizar el borrado o destruccin fsica de la informacin clasificada o limitada, contenida en un soporte una vez cumplida su finalidad. Las medidas y procedimientos que se establecen para garantizar la integridad y confidencialidad de la informacin clasificada o limitada, durante el traslado de los soportes.
94
Tcnicas o Lgicas. Se especificarn las medidas y procedimientos de seguridad que se establezcan, cuya implementacin se realice a travs de software, hardware o ambas. Identificacin de usuarios. Se indicar el mtodo empleado para la identificacin de los usuarios ante los sistemas, servicios y aplicaciones existentes, especificando: Cmo se asignan los identificadores de usuarios. Si existe una estructura estndar para la conformacin de los identificadores de usuarios. Quin asigna los identificadores de usuarios. Cmo se eliminan los identificadores de usuarios una vez que concluya la necesidad de su uso y cmo se garantiza que stos no sean utilizados nuevamente. El proceso de revisin de utilizacin y vigencia de los identificadores de usuarios asignados. Autenticacin de usuarios. Se indicar el mtodo de autenticacin empleado para comprobar la identificacin de los usuarios ante los sistemas, servicios y aplicaciones existentes. Cuando se utilice algn dispositivo especfico de autenticacin se describir su forma de empleo. En el caso de empleo de autenticacin simple, por medio de contraseas, se especificar: Cmo son asignadas las contraseas Tipos de contraseas utilizadas (Setup, Protector de pantalla, Aplicaciones, etc.). Estructura y periodicidad de cambio que se establezca para garantizar la fortaleza de las contraseas utilizadas en los sistemas, servicios y aplicaciones, en correspondencia con el peso de riesgo estimado para los mismos.
95
Causas que motivan el cambio de contraseas antes de que concluya el plazo establecido. Control de acceso a los activos y recursos En esta parte del Plan se describirn las medidas y procedimientos que aseguran el acceso autorizado a los activos de informacin y recursos informticos que requieren la imposicin de restricciones a su empleo, especificando: A que activos y recursos se le implementan medidas de control de acceso. Mtodos de control de acceso utilizados. Quin otorga los derechos y privilegios de acceso. A quin se otorgan los derechos y privilegios de acceso. Cmo se otorgan y suspenden los derechos y privilegios de acceso. El control de acceso a los activos y recursos deber estar basado en una poltica de mnimo privilegio, en el sentido de otorgar a cada usuario slo los derechos y privilegios que requiera para el cumplimiento de las funciones que tenga asignadas. Integridad de los ficheros y datos Se describirn las medidas y procedimientos implementados para el registro y anlisis de las trazas de auditora en las redes y sistemas instalados, con el fin de monitorear las acciones que se realicen (acceso a ficheros, dispositivos, empleo de servicios, etc.), y detectar indicios de hechos relevantes a los efectos de la seguridad que puedan afectar la estabilidad o el funcionamiento del sistema informtico. En caso de empleo de software especializado que permita la deteccin de posibles errores de configuracin u otras vulnerabilidades, se describirn los procedimientos requeridos. Se describirn, adems, las medidas que garanticen la integridad de los mecanismos y registros de auditora, limitando su acceso solo a las personas autorizadas para ello.
96
Seguridad de operaciones En esta parte del Plan se incluirn las medidas y procedimientos relacionados con los siguientes aspectos: La identificacin y control de las tecnologas en explotacin, en particular aquellas donde se procese informacin clasificada. El control sobre la entrada y salida en la empresa de elementos de tecnologas de informacin (mquinas porttiles, perifricos, soportes, etc.). La metodologa establecida para los respaldos de la informacin, especificando su periodicidad, responsabilidades, cantidad de versiones, etc). Las acciones especficas durante las conexiones externas a la empresa. La autorizacin o denegacin de servicios a los usuarios (Ejemplo: Correo Electrnico, Internet). La gestin de las claves de acceso, considerando para cada nivel el tipo de clave, la frecuencia de actualizacin, quin debe cambiarla, su custodia, etc. La gestin de backups, segn el rgimen de trabajo de las reas, incluyendo las acciones que se adoptan para establecer la salvaguarda de las mismas. Mantenimiento de los equipos, soporte y datos en presencia y bajo la supervisin de personal responsable y en caso del traslado de equipos fuera de la entidad. Anlisis de registros o trazas de auditora, especificando quien lo realiza y con qu frecuencia. De recuperacin ante contingencias Se describirn las medidas y procedimientos de neutralizacin y recuperacin ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informtica o degraden su funcionamiento, minimizando el impacto negativo de stas sobre la entidad. A partir de los resultados obtenidos en el anlisis de riesgos, se determinarn las acciones a realizar para neutralizar aquellas amenazas que tengan mayor
97
probabilidad de ocurrencia en caso de materializarse, as como para la recuperacin de los procesos, servicios o sistemas afectados, precisando en cada caso: Qu acciones se deben realizar. Quin las realiza. En qu momento deben realizarlas. Cmo se deben realizar. De qu recursos se debe disponer. 4.3.5 Benchmarking con otras organizaciones. El benchmarking es un anglicismo que, en las ciencias de la administracin de empresas, puede definirse como un proceso sistemtico y continuo para evaluar comparativamente los productos, servicios y procesos de trabajo en organizaciones. Consiste en tomar comparadores o benchmarks a aquellos productos, servicios y procesos de trabajo que pertenezcan a organizaciones que evidencien las mejores prcticas sobre el rea de inters, con el propsito de transferir el conocimiento de ellas y su aplicacin. Se denomina proceso sistemtico porque involucra una serie de acciones que definen problemas, hace anlisis, estimula cambios, as como tambin se vale de un mtodo o modelo que lleva a seguir una determinada secuencia que guiar hacia el objetivo final. La importancia del benchmarking no se encuentra en la detallada mecnica de la comparacin, sino en el impacto que pueden tener estas comparaciones sobre los comportamientos. Se puede considerar como un proceso til de cara a lograr el impulso necesario para realizar mejoras y cambios. Este proceso continuo de comparar actividades, tanto en la misma organizacin como en otras empresas, lleva a encontrar la de mejor desempeo para luego intentar copiar esta actividad generando el mayor valor agregado posible. Hay que mejorar las actividades que generan valor y reasignar los recursos liberados al eliminar o mejorar actividades que no generen valor (o no sea el deseado). Se puede decir que el benchmarking es la consecuencia de una administracin para la calidad, adems de ser una herramienta en la mejora de procesos.
98
Realizar el benchmarking con la competencia directa, se hace complejo y prcticamente imposible, debido a que en el mbito de negocios en el que CYGSA desarrolla sus actividades, la competencia es cerrada y de alta competitividad, por lo que no es posible compartir informacin. Otro elemento importante a destacar en la imposibilidad de la prctica del Benchmarking es el desarrollo de las TIC a nivel nacional que se encuentra en un estado incipiente, en su aplicabilidad, con bajo nivel en las empresas del rea, por lo que no es dable obtener resultados positivos en un proceso comparativo. 4.3.6 Plan de Migracin de la tecnologa actual a la nueva La etapa ms importante en el proceso de migracin ser la planificacin de proceso completo. Definir mtodos y mecanismos de control para la migracin ser esencial para poder tener xito en la tarea a realizar. Generalmente se consideran los detalles tcnicos, que consumirn recursos e impedirn lograr un resultado ntegro. Procesos de migracin sin documentacin ni planificacin seran generalmente un desastre. Desde cambiar un motor de base de datos RDBMS hasta un navegador o browser sin un plan correspondiente implicar eventos no controlados. En el caso de Cygsa Chile, se ha optado por elegir la Migracin Parcial, enfocado principalmente al rea de servidores de la empresa, considerando en una primera instancia los servicios de red ms crticos, realizando una migracin tanto de hardware como software, optimizando los recursos que provee uno de los servidores principales de la empresa, en el cual posee la mayora de los proyectos implementados y por implementar. Documentacin que debe ser resguardaba a alto nivel por el valor considerable de la informacin que no debe ser conocida bajo ningn aspecto por su competencia directa a la hora de la adjudicacin de algn proyecto en particular. La modalidad a emplear para la migracin es la siguiente: Plan de Trabajo y calendarizacin 1. Decisin. 2. Planificacin. 3. Recopilacin de informacin de los usuarios. 4. Ingeniera de detalle del plan de trabajo. 5. Implantacin. 6. Pruebas.
99
7. Integracin. 8. Capacitacin para administradores. 9. Capacitacin para usuarios. 10. Gestin de atencin continua y en sus diferentes niveles. Esta migracin estar orientada en paralelo, sin necesidad de deshabilitar los servicios para los usuarios de la empresa, y realizando la configuracin necesaria tanto de hardware y software, utilizando el enlace dedicado de internet secundario que posee la empresa y as no dificultar la parte operativa de los servicios de red, no afectando a la productividad de la empresa. 4.3.7 Auditora Informtica Se ha definido establecer un sistema de auditora informtica, con posterioridad a la implementacin y puesta en marcha del Plan Informtico con el objeto de instalar una instancia de control. El control es parte del proceso de la Administracin. Idalberto Chiavenato define la Administracin como: el proceso de planear, organizar, dirigir y controlar el uso de los recursos para lograr los objetivos organizacionales. Esta etapa del proceso de la Administracin consiste en medir y corregir el desempeo individual y organizacional para garantizar que los hechos se apeguen a los planes. Implica la medicin del desempeo con base en metas y planes, la deteccin de desviaciones respecto de las normas y la contribucin a la correccin de stas. El control deber considerarse como la ltima etapa del proceso. Se puede planear y crear una estructura de organizacin que en forma eficiente facilite el logro de los objetivos y los empleados puedan ser dirigidos y motivados; no obstante, no hay seguridad de que las actividades vayan conforme a lo planeado y de que las metas que buscan los administradores de hecho se estn logrando. Este estabn final en la cadena funcional de la Administracin, verifica las actividades para asegurar que se lleven a cabo conforme a lo planeado y cuando haya desviaciones significativas, tomar las medidas necesarias para corregirlas. El valor de la etapa control probablemente queda mejor entendido conectndolo a actividades de planeacin y control.Es significativo en Administracin porque:
100
1. Se aplica a todo, a las cosas, a las personas, y a los actos. 2. Reduce costos y ahorra tiempo al evitar errores. 3. Establece medidas para corregir las actividades, de tal forma que los planes se ejecuten con xito. 4. Proporciona informacin acerca de la situacin de la ejecucin de los planes. 5. Determina y analiza las causas que pueden originar desviaciones, para evitarlas en el futuro. 6. Su aplicacin es racional y contribuye al logro de la productividad de todos los recursos de la empresa. El concepto de Auditora El concepto es auditar, es controlar una determinada accin. Auditora es un examen de la informacin por terceras partes, distintas de quienes la generan y quienes la utilizan, con la intencin de establecer su suficiencia y adecuacin e informar de los resultados del examen con objeto de mejorar su utilidad. Auditora Informtica La auditora informtica comprende: la revisin, anlisis y evaluacin independiente y objetiva por parte de personas independientes y tcnicamente competentes de: un entorno informtico de una entidad, abarcando todas o algunas de sus reas. La siguiente es la definicin de Ron Weber en Auditing Conceptual Foundations and Practice sobre auditora informtica: Es una funcin que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organizacin de forma eficaz y eficiente. Mientras que la definicin de Mair William es la siguiente: Auditora en informtica es la verificacin de los controles en las siguientes tres reas de la organizacin (informtica): Aplicaciones (programa de produccin). Desarrollo de sistemas.
101
Instalacin del centro de proceso. Por tanto, se puede decir que auditora en informtica es la revisin y evaluacin de los controles, sistemas y procedimientos de la informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad; de la organizacin que participa en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente, confiable y segura de la informacin que servir para una adecuada toma de decisiones. La informacin contenida depende de la habilidad de reducir la incertidumbre alrededor de las decisiones. El valor de la reduccin de la incertidumbre depende del pago asociado con la decisin que se realiza. Importancia de la auditora en informtica Siempre ha existido la preocupacin por parte de las organizaciones por optimizar todos los recursos con que cuenta la entidad, sin embargo en lo que respecta a la tecnologa de informtica, es decir, software, hardware, sistemas de informacin, investigacin tecnolgica, redes locales, bases de datos, ingeniera de software, telecomunicaciones, etc., sta es una herramienta estratgica que representa rentabilidad y ventaja competitiva frente a sus similares en el mercado. En el mbito de los sistemas de informacin y tecnologa un alto porcentaje de las empresas tiene problemas en el manejo y control, tanto de los datos como de los elementos que almacena, procesa y distribuye. El propsito de la revisin de la auditora en informtica, es el verificar que los recursos, es decir, informacin, energa, dinero, equipo, personal, programas de cmputo y materiales son adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen. Durante aos se ha detectado el despilfarro de los recursos o uso inadecuado de los mismos, especialmente en informtica, mostrando inters por llegar a la meta sin importar el costo y los problemas de productividad.
102
Antecedentes de la auditora en informtica Si bien la auditora se ha llevado a cabo desde que el hombre hizo su aparicin, sta se lleva de manera emprica, siendo de gran ayuda para los pueblos conquistadores, ya que tenan que conocer y dar fe de los tributos que les rendan los pueblos conquistados. En Mxico los oidores de la corona espaola, que con el paso del tiempo se transformaran en auditores, vigilaban el pago del quinto real a los reyes de Espaa. La auditora en informtica es ms reciente, se tiene como antecedente ms cercano a los Estados Unidos de Amrica. En los aos cuarenta se empezaron a dar resultados relevantes en el campo de la computacin, con sistemas de apoyo para estrategias militares, sin embargo, la seguridad y el control slo se limitaba a dar custodia fsica a los equipos y a permitir el uso de los mismos solo a personal altamente calificado. Con el paso de los aos, la informtica y todos los elementos tecnolgicos que rodean, han ido creando necesidades en cada sector social y se han vuelto un requerimiento permanente para el logro de soluciones. Tipo de auditora informtica Para comenzar la implementacin del proceso de control, se efectuar el tipo de Auditoria Informtica Interna debido a que cuenta con algunas ventajas adicionales muy importantes respecto a la auditora externa, las cuales no son tan perceptibles como las auditoras convencionales. La Auditora Interna tiene la ventaja de que puede actuar peridicamente realizando revisiones globales, como parte de su plan anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las recomendaciones benefician su trabajo. El sistema de Auditora Informtica contemplar dos enfoques o reas de trabajo una vez hecha la migracin hacia nuevas plataformas: el rea tctica basada en las mejores prcticas y el rea estratgica basada en el control y monitoreo, establecidas en la propuesta metodolgica de este trabajo.
103
En el plano tctico, tendr como referente a la metodologa ITIL y en el plano estratgico a la metodologa COBIT. Metodologa ITIL: Provisin de Servicio y Soporte al Servicio Debido a que en todo ciclo de los productos TI, la fase de operaciones alcanza cerca del 70 80 % del total del tiempo y del costo, y el resto se invierte en el desarrollo de productos, se aplicar esta metodologa para controlar que los procesos sean ms eficaces y eficientes en la Gestin de Servicios TI, los que se convierten en esenciales para el xito del Depto. de Informtica o TI con la condicin de ser fiables, consistentes, de alta calidad y de costos aceptables. Hasta hace poco las infraestructuras informticas se limitaban a dar servicio de soporte y de alguna forma eran equiparables como otro material de oficina: algo importante e indispensable para el correcto funcionamiento de la organizacin, pero slo un poco ms. En la actualidad y en la importancia de los procesos de negocios, los servicios de TI representan generalmente una parte sustancial de ellos. ITIL nace como un cdigo de buenas prcticas mediante: Un enfoque sistemtico del servicio TI centrado en los procesos y procedimientos. El establecimiento de estrategias para la gestin operativa de la infraestructura TI. Este cdigo de buenas prcticas se aplica para cumplir los objetivos de una buena gestin de servicios TI: Proporcionar una adecuada gestin de la calidad. Aumentar la eficiencia. Alinear los procesos de negocios y la infraestructura TI. Reducir los riesgos asociados a los Servicios TI. Generar negocio. Las mejores prcticas aplicadas a los siguientes procesos ITIL son el marco de referencia para la Auditora Informtica de este nivel: Administracin de Incidentes y Service Desk.
104
Administracin de la Configuracin. Administracin de Problemas. Administracin de Cambios. Administracin de Release. Administracin de Disponibilidad. Administracin de Capacidad. Administracin Continua de Servicios TI. Administracin Financiera. Administracin Niveles de Servicios. ITIL es un conjunto de prcticas de administracin de los Servicios. Estas prcticas de dar soporte a la entrega de los servicios ayuda a la organizacin a documentar sus procesos de TI. ITIL proporciona las guas acerca de lo que debe hacerse para lograr la mejor prctica. Fortalece los procesos de entrega y soporte; describe como estructurar los procesos operativos siendo su debilidad los controles de seguridad. Es necesario que, una vez terminada la migracin y en pleno uso de las nuevas plataformas, exista un control sobre las operaciones, por lo que se comenzar con este tipo de Auditora Informtica, basada en la normativa de mejores prcticas de ITIL. Metodologa COBIT Una vez obtenido el control de los Servicios y su Soporte, se proceder a controlar el alineamiento de las metas de TI con las metas del negocio, tomando como referencia las medidas y modelos de madurez del COBIT para medir sus logros e identificar las responsabilidades asociadas de los dueos de los procesos de negocio y TI. Con el objeto de establecer un verdadero Gobierno Corporativo, se asegurar el valor de TI, la administracin de sus riesgos asociados como el incremento de los requerimientos para el control de la informacin. Debido a que el Gobierno de TI, cuyo objetivo es alinear las Tecnologas de Informacin y de Comunicacin (TIC) con la estrategia del negocio, es responsabilidad de los altos niveles de la organizacin, reviste un carcter
105
estratgico al ser responsabilidad de los ejecutivos, del consejo de directores y tiene que ver con el liderazgo, estructuras y procesos organizacionales. COBIT tiene como parte de la base de su modelo a ITIL, definiendo los objetivos de control de TI los cuales a su vez dan soporte a los procesos de negocios. Tiene ms que ver con probar y establecer un conjunto de objetivos para asegurar el control. Se puede decir que COBIT es como una herramienta de auditora y monitoreo para determinar si las cosas se han hecho bien. La documentacin de procesos mediante ITIL y los objetivos de control de COBIT son una combinacin muy poderosa que puede acelerar el cumplimiento de los negocios. COBIT se enfoca en controles y mtricas, hacindole falta tambin la seguridad, pero proporciona una visin ms global de los procesos de TI que la que proporciona ITIL. La Auditora Informtica de este nivel estratgico tendr como base el modelo de control y monitoreo de la metodologa COBIT, que subdivide las TI en 34 procesos de acuerdo a las reas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visin de punta a punta de la TI. Estos 34 procesos se distribuyen en los siguientes dominios de COBIT: PO: Planear y Organizar.- Cubre las necesidades y tcticas, se identifica con la forma en que TI puede contribuir mejor al logro de los objetivos del negocio, para lo cual se debe poseer una apropiada organizacin adems de una infraestructura tecnolgica. AI: Adquirir e Implementar.- Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas en los procesos de negocio. DS: Entregar y Dar Soporte.- Cubre la necesidad en s de los servicios adquiridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operativas.
106
ME: Monitorear y Evaluar.- Todos los procesos de TI deben evaluarse de forma regular en el tiempo, en cuanto a su calidad y cumplimiento de los requerimientos de control. COBIT est dirigido a auditores, administradores, personal del negocio, consultores, ingenieros y en general a todos los niveles de la organizacin donde se requiera implantar un Gobierno de TI, pero resulta til para gerentes generales y para junta de socios, porque COBIT suministra un lenguaje comn que le permite a los ejecutivos de negocios comunicar las metas, objetivos y resultados con auditores, IT y otros profesionales. COBIT fue creado para ser utilizado en tres tipos de audiencias, entre las cuales est la Auditora de Sistemas de Informacin, que est dirigida a la administracin de controles internos y adems de la seguridad y eficiencia de los recursos de las TI: Administracin, para ayudarles a lograr un balance entre los riesgos y las inversiones, en control en un ambiente de tecnologa de informacin frecuentemente impredecible.
Usuarios, para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes.
Auditores de Sistemas de Informacin, para dar soporte a las opiniones sobre controles internos mostradas a la administracin.
107
4.4 Resumen del estudio realizado 4.4.1 Informe de los escenarios considerados para cada nivel de la organizacin. Los escenarios considerados respecto de cada nivel de la organizacin son los siguientes:
1. Nivel Estratgico.
Ubicacin de la Informtica como un elemento de apoyo a gestiones operativas y no como un organismo estratgico o de staff, en el apoyo a la toma de decisiones del nivel estratgico.
Visin no sistmica de la empresa con un estilo de estancos separados, lo que no permite soluciones integrales.
Inexistencia de un plan informtico, afectando el aporte del rea a la toma de decisiones.
Debilidad en la estabilidad de la empresa por falencias en la informacin.
Niveles de seguridad no integrados siendo un importante punto de vulnerabilidad.
Manejo de informacin desde la plana directiva que afecta a todos los niveles.
2. Nivel Tctico.
La aplicacin y desarrollo de las diferentes capas tecnolgicas por separado no proporcionan el soporte informtico adecuado a la empresa.
Existencia de brecha tecnolgica que afecta al manejo de la ejecucin del planeamiento estratgico, afectando los productos esperados.
108
Confusin en la informacin que incide en la toma de decisiones para la supervisin en la ejecucin de los trabajos.
Instauracin de poderes en los mandos medios que afectan el funcionamiento de las unidades en general e Informtica en particular.
Inexistencia de un plan de desarrollo organizacional que al menos contemple la satisfaccin de necesidades de capacitacin.
3. Nivel Operativo
Manejo deficiente de las plataformas informticas, generados por la brecha tecnolgica.
Impacto de la brecha tecnolgica en el recurso humano ante sistemas no amigables que no puede manejar, afectando la satisfaccin en el cargo y el desempeo laboral.
Clima Laboral no favorable a la empresa, como consecuencias del desempeo de los trabajadores.
Concentracin de requerimientos susceptibles de solucionar a nivel de usuario, recargando el trabajo de la Unidad de Informtica. 4.4.2 Evaluacin de las debilidades y fortalezas de la unidad de informtica (Anlisis FODA). Fortalezas 1. La existencia de la Unidad de Informtica se funda, adems de ser una necesidad para la empresa, en la obligacin contractual de los clientes de contar con ella para el desarrollo de todo tipo de proyectos, exigencia especialmente de los contratos con empresas del Estado. 2. Obligacin de contar con asignacin presupuestaria para dicha Unidad. 3. Existencia de aplicaciones que requieren asistencia de soporte por parte de los usuarios.
109
4. Soporte de software de base para usuarios locales y de oficinas externas de propiedad de la empresa. 5. Parque computacional numeroso, que requiere mantencin y soporte especializado. 6. Necesidad de desarrollo de aplicaciones corporativas. 7. Percepcin de la empresa de implementar un desarrollo informtico.
Oportunidades 1. Amplia brecha de mercado a la que puede acceder la empresa en el rea de obras civiles, tanto en la minera como obras pblicas y otros, que por magnitud requieren apoyo informtico. 2. Exigencia de un Depto. de Informtica en las postulaciones va licitacin, por parte de la mayora de los clientes del estado especialmente, con el fin de contar con una buena base de informacin. 3. Empresa transnacional, con respaldo financiero que le permite soportar fluctuaciones del mercado. 4. Desarrollo del pas que permite el acceso y utilizacin de las tecnologas de informacin en la ejecucin de proyectos de envergadura. 5. Continua actualizacin tecnolgica en funcin de la ejecucin de proyectos en el tiempo, de acuerdo al momento de licitacin y el requisito de los clientes de contar con la ltima tecnologa.
Debilidades 1. Ubicacin no estratgica de la Unidad de Informtica al interior de la empresa. 2. Presupuestos movibles y generalmente recortados, que no satisfacen las necesidades de la Unidad. 3. Cultura organizacional no tecnolgica de la empresa, con tendencia al mnimo esfuerzo. 4. Poco personal calificado para las necesidades de la empresa. 5. La planta de personal de la Unidad no alcanza a cubrir las necesidades de la empresa, con las consecuencias que ello significa. 6. Segmentacin y discriminacin de la informacin en todos los niveles de la empresa, pero especialmente en el nivel estratgico, afectando las decisiones de la Unidad de Informtica.
110
Amenazas 1. Fuerte competencia en el mercado. 2. Exigente control tanto de organismos pblicos y privados, respecto de normas informticas. 3. Fuerte lobby efectuado por la competencia. 4. Heterogeneidad en la calidad de los servicios prestados por la competencia en funcin de costos. 5. Inexistencia de estudios de mercado laboral informtico, que determine el nivel de las recompensas en uso. 6. Falta de una cultura informtica, ya que no son aprovechadas adecuadamente las nuevas teoras de la comunicacin y de la informacin, as como el conocimiento sobre sus aplicaciones y capacitacin pertinente. 7. El avance de la tecnologa cuyo impacto incide en un mayor trfico de datos e informacin, as como la utilizacin de equipos cada vez ms poderosos, aunados a su uso intensivo, hace necesaria la implementacin de proyectos de mantenimiento y modernizacin. 8. Mantener y mejorar los instrumentos computacionales y de telecomunicaciones al contexto de proyectos, para optimizar el proceso de atencin al cliente. 4.4.3 Evaluacin de alternativas de software y de sus proveedores segn bases de los proyectos adjudicados Al momento de realizar una evaluacin respecto a software que se requiera, existen dos maneras para desarrollarlo. Por una parte, se toman como referencia las bases tcnicas en cuanto a los requerimientos que posee la empresa y su ordenamiento lgico necesario para llevar a cabo el software a implementar. Software, que puede ser desarrollado por el Departamento de Informtica de Cygsa, o en su contraparte realizar los estudios necesarios del software a implementar y entregarlos al mejor oferente del software en el mercado.
111
4.4.4 Evaluacin de alternativas de equipamientos y de sus proveedores segn pautas de los proyectos adjudicados. En los procedimientos de evaluacin en cuanto a hardware se refiere, Cygsa toma como base los requerimientos que solicitan los clientes en los proyectos que deben poner en marcha, debido a que stos son ofertas pblicas que realizan los oferentes. Se debe considerar que dentro de cada proyecto, existe un apartado asignado a la implementacin informtica que se debe contemplar. Se toman las bases tcnicas y se realiza el procedimiento de cotizaciones hacia los proveedores de hardware con los cuales se cuenta. El proceso de seleccin en el cual se incurre, toma en cuenta los siguientes aspectos: costos, garantas, servicios post- venta, etc.
112
V. Conclusiones y recomendaciones La prdida de relevancia de la Informtica en cuanto a su ubicacin al interior de la empresa y especialmente dentro de su estructura, se observa comnmente en las organizaciones en general, debido a que la gente de Informtica por falta de metodologa y otras competencias en el mbito de la administracin y, particularmente en el de las relaciones humanas, nunca pudo enfrentar de lleno el problema del cambio organizacional asociado a las aplicaciones computacionales debido a que su enfoque consisti en concentrarse en los aspectos tcnicos de los sistemas de informacin. Debido a que la Reingeniera de Procesos de Negocios, por ejemplo, se desarroll en ese nicho vaco creado por los especialistas en Sistemas de Informacin e Informtica, esta ltima ha sido desplazada del papel que debiera cumplir en la gestin de la empresa desde el punto de vista estratgico y en los procesos desde el punto de vista tctico, minimizando su importancia a niveles meramente operativos y slo para cumplir algunas especificaciones. Cygsa Chile S.A. no es la excepcin en esta caso. Tal es as que en el organigrama se observa en el ltimo casillero de Equipos de Apoyo , como Unidad de Informtica , debiendo ubicarse en un lugar de dependencia directa del Gerente General, como corresponde a su importancia estratgica. La magnitud de los clientes de Cygsa Chile S.A. es de alto nivel como: Codelco, MOP, EFE, Intendencias, Aguas Andinas, SERVIU, ENAP, etc., con lo que la exigencia en cuanto a los servicios contratados son elevadas. Es as como estas empresas exigen contractualmente la existencia de un Departamento de Informtica, en apoyo a la gestin de negocios y gestin de la informacin. En este plano, la funcin informtica es supervisada por inspecciones dependientes de los mismos clientes. La cultura organizacional imperante en Cygsa no ha permitido el desarrollo de las TI y los beneficios que ello significa, manteniendo una unidad operativa de bajo nivel, con recursos en funcin del desconocimiento de las TI, implicando tambin la inexistencia de Planes Informticos, poniendo en riesgo la fidelidad de los clientes y finalmente la existencia de Cygsa Chile S.A. como empresa, al cumplir solamente con las exigencias mnimas operativas de los clientes en el rea informtica.
113
La propuesta de esta tesis pretende desarrollar una metodologa que explote las TI de bajo costo, confiables y en continuo desarrollo. Como resultado de esta propuesta, se puede concluir lo siguiente: 1.- El Plan Informtico de acuerdo a la metodologa a utilizar fue aprobado por la empresa, caracterizndose por: 1.1.- Sistema Operativo de Red ( Open Source ).- Esta tecnologa releva el sistema en uso con un equipo de personas formado por la direccin de un profesional ya contratado y con apoyo de personal del Depto. de Informtica de la misma empresa, el cual ser fortalecido con un proceso de capacitacin continuo, basado en franquicia tributaria sin costo para la empresa. Esto permite la captacin y renovacin constante de nueva tecnologa a un bajo costo, para su aplicacin a la empresa, evitando el outsourcing e iniciando un proceso de cambios por va de la implantacin de una cultura tecnolgica. 1.2.- Equipamiento.- En la forma de trabajo de Cygsa, cada proyecto contempla en sus costos el equipamiento de ltima generacin como exigencia de los clientes, por lo que no es necesario proveer al Departamento de Informtica de exigencias fuera de norma, como consecuencia de la aplicacin de la Metodologa propuesta. Si el proyecto no exigiera el equipamiento por lo que no lo financiara, Cygsa cuenta con un parque actualizado. 1.3.- Buenas Prcticas y Estndares.- La transformacin de la Unidad de Informtica en Departamento de Informtica, contempla la formacin de un equipo profesional necesario, a cargo del Jefe del Departamento de Informtica para la aplicacin de buenas prcticas y estndares. Esta instancia tambin contempla una capacitacin constante con uso de franquicia tributaria, sin costo para la empresa. 2.- La aceptacin del Plan Informtico tuvo como consecuencia la transformacin de la Unidad en Departamento de Informtica, ubicndose en un nivel estratgico dentro de la organizacin, con dependencia directa de la Gerencia General.
114
Referencias Bibliogrficas Tallado Jimnez Monica, PMI Member ID 1352929 Libro Gua de los Fundamentos para la Direccin de Proyectos (Gua del PMBOK, 4ta Edicin Project Management Institute, Inc. 14 Campus Boulevard Estados Unidos Ao 2008 393 Pginas
Bailey Cristian Libro ITIL Conjunto de Mejores Prcticas, Gestin Servicios TI, Versin 3 Ao 2010 322 Pginas
Niemann Vizcarra Karen Apunte Conceptos Bsicos sobre un Plan Informtico
IT Governance Institute Libro COBIT , Versin 4.1 Ao 2007 211 Pginas Sitio web www.itgi.org
Software Libre www.gnu.org
Open Source opensource.org
Norma de calidad ISO/IEC 27001 Estndar para la seguridad de la informacin www.iso27000.es www.iso27001standard.com
115
Norma Chilena Oficial NCh- ISO 27002 . Of2009 www.entidadacreditadora.gob.cl
GNU / Linux es.wikipedia.org/wiki/GNU/Linux
Gua Metodolgica 2011 www.dipres.gob.cl
116
Terminologa 1. Metodologa Conjunto de procedimientos racionales utilizados para alcanzar una gama de objetivos que rigen en una investigacin cientfica o tareas que requieran habilidades, conocimientos o cuidados especficos. Se puede definir tambin como el estudio o eleccin de un mtodo pertinente para un determinado objetivo.
2. Tecnologas de la Informacin (TI) Las TI agrupan los elementos y las tcnicas usadas en el tratamiento y transmisin de la informacin, principalmente la informtica, Internet y las telecomunicaciones. El uso de las tecnologas de la informacin y la comunicacin ayudara a disminuir la brecha digital, aumentando el conglomerado de usuarios que las utilicen como medio tecnolgico para el desarrollo de sus actividades. 3. Reingeniera La reingeniera de procesos es el rediseo radical y la reconcepcin fundamental de los procesos de negocios para lograr mejoras dramticas en medidas de desempeo tales como en costos, servicio y rapidez. Es la actividad destinada a incrementar las capacidades de gestin de nivel operativo y complementarias de las apuestas estratgicas y polticas de una organizacin.
4. Monitoreo de Servicios El servicio de monitoreo de servicios de red permite visualizar grficamente el estado de sus dispositivos, previniendo errores de la plataforma TI de la empresa y permitiendo tomar decisiones correctas a tiempo. La visualizacin es en lnea, desde cualquier computador que se disponga y desde cualquier lugar con acceso a su red o internet.
117
5. Firewall Un firewall (cortafuegos) es una parte de un sistema o una red que est diseado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y criterios. 6. Dominio
Un dominio es una red de identificacin asociada a un grupo de dispositivos o equipos conectados a la red. El propsito principal conjuntamente con el Sistema de Nombres de Dominio (DNS), es traducir las direcciones IP de cada nodo activo en la red, a trminos memorizables y fciles de encontrar en palabras.
7. Controlador de dominio Un controlador de dominio es una entidad administrativa, no es un ordenador en concreto, sino un conjunto de ordenadores agrupados que se cien a unas reglas de seguridad y autenticacin comunes. Para regular un dominio, se precisa de al menos un equipo que sea el controlador principal, la fuente primaria donde se almacenan las reglas del dominio y donde sern consultadas esas reglas en ltima instancia. 8. Antivirus Los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informticos.
9. Anti-spam Es un mtodo para prevenir correo basura. Tanto los usuarios finales como los administradores de sistemas de correo electrnico utilizan diversas tcnicas contra ello. Algunas de stas tcnicas han sido incorporadas en productos, servicios y software para alivianar la carga que cae sobre los usuarios y administradores. Las tcnicas antispam se pueden diferenciar en cuatro categoras: las que requieren acciones por parte humana, las que de manera automtica son los mismos correos
118
electrnicos los administradores; las que se automatizan por parte de los remitentes de correos electrnicos; las empleadas por los administradores y funcionarios encargados de hacer cumplir las leyes.
10. VPN Una red privada virtual (VPN) de las siglas en ingls Virtual Private Network, es una tecnologa de red que permite la extensin segura de la red local sobre una red pblica o no controlada. Un ejemplo claro es la posibilidad de interconectar dos o ms sucursales de una empresa utilizando como vnculo internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo desde un sitio remoto.
11. Terminal Server Los servicios de escritorio remoto, antiguamente conocidos como servicios de terminal (terminal services), son un componente de los sistemas operativos que permite a un usuario acceder a las aplicaciones y datos almacenados en otro ordenador mediante un acceso por red.
12. ISP Un proveedor de servicios de internet (ISP) es una empresa que brinda conexin a internet a sus clientes. Un ISP conecta a sus usuarios a internet a travs de diferentes tecnologas.
13. Filesystem
Los sistemas de archivos (Filesystem) estructuran la informacin guardada en una unidad de almacenamiento (disco duro, pendrive, etc.) que luego ser representada ya sea textual o grficamente utilizando un gestor de archivos. La mayora de los sistemas operativos manejan su propio sistema de archivos.
119
14. GNU La licencia pblica general (GNU) es una licencia orientada principalmente a proteger la libre distribucin, modificacin y uso de software. Su propsito es declarar que el software cubierto por esta licencia es software libre y protegerlo de intentos de apropiacin que restrinjan esas libertades a los usuarios.
15. Open Office Libre Office Open Office o Libre Office es una suite ofimtica libre y gratuita compatible con diversos sistemas operativos (Windows, Mac, Linux). Cuenta con un procesador de textos, un editor de hojas de clculos, un creador de presentaciones, un gestor de bases de datos, un editor de grficos vectoriales y un editor de frmulas matemticas. Est disponible bajo una licencia pblica y es una alternativa al software privativo de Microsoft.
16. Cdigo fuente El cdigo fuente de un programa informtico (o software), es un conjunto de lneas de texto que son las instrucciones que debe seguir el computador para ejecutar dicho programa. Por tanto, en el cdigo fuente de un programa est descrito por completo su funcionamiento.
17. Unix Es un sistema operativo portable, multitarea y multiusuario desarrollado a principios de 1969. El objetivo del proyecto era desarrollar un gran sistema operativo interactivo que contase con muchas innovaciones y dentro de la ms importante las mejoras en las polticas de seguridad.
18. PMI El Project Management Institute (PMI) es una organizacin internacional sin fines de lucro que asocia a profesionales relacionados con la Gestin de Proyectos. Desde principios del ao 2011, es la ms grande en el mundo en su rubro, dado que se encuentra integrada por ms de 380.000 miembros en cerca de 170 pases. Sus principales objetivos son: formular estndares profesionales en gestin de proyectos, generar conocimiento a
120
travs de la investigacin, promover la gestin de proyectos como profesin a travs de sus programas de certificacin.
19. Balanced Scorecard El concepto de Cuadro de Mando Integral CMI (Balanced Scorecard BSC) plantea que el CMI es un sistema de administracin o sistema administrativo (management system), que va ms all de la perspectiva financiera con la que los gerentes acostumbran evaluar la marcha de una empresa. Es un mtodo para medir las actividades de una compaa en trminos de su visin y estrategia. Proporciona a los gerentes una mirada global del desempeo del negocio.
20. Framework El marco de trabajo (Framework) define un conjunto estandarizado de conceptos, prcticas y criterios para enfocar un tipo de problemtica en particular que sirve como referencia, para enfrentar y resolver nuevos problemas de ndole particular.
21. VAL TI Es un framework de gobernabilidad que se puede utilizar para crear valor de negocio de las inversiones TI. Consiste en un conjunto de principios rectores y una serie de procesos y mejores prcticas, que se los define como un conjunto de prcticas de gestin claves para apoyar y ayudar a la gerencia ejecutiva y juntas a nivel empresarial.
22. Stackeholders Estos grupos o individuos son los pblicos interesados o el entorno interesado (Stackeholders) que deben ser considerados como un elemento esencial en la planificacin estratgica de los negocios. Se puede definir como cualquier persona o entidad que es afectada por las actividades o la marcha de la organizacin, por ejemplo los trabajadores de la organizacin, sus accionistas, los sindicatos, etc.
121
23. COSO C.O.S.O. es un comit (Comit de Organizaciones Patrocinadoras de la Comisin Treadway) que redact un informe que orienta a las organizaciones y gobiernos sobre control interno, gestin de riesgo, fraudes, tica empresarial, entre otras. Dicho documento es conocido como informe C.O.S.O y ha establecido un modelo comn de control interno con el cual las organizaciones pueden evaluar sus sistemas de control.
24. Service Desk La tecnologa de mesa de ayuda (Service Desk) es un conjunto de servicios que ofrece la posibilidad de gestionar y solucionar todas las incidencias de manera integral, junto con la atencin de requerimientos relacionados con las TICS (Tecnologas de Informacin y Comunicaciones). Es un servicio de mesa de ayuda, donde se ofrecen los servicios de soporte tcnico.
25. Clusters El trmino cluster hace referencia a un conjunto o conglomerado de computadores enlazados mediante la utilizacin de hardware comunes y que se comportan como si fuese un solo computador.
26. Cableado Estructurado El cableado estructurado es una infraestructura de cable destinada a transportar las seales que emite un emisor de algn tipo de seal, hasta el correspondiente receptor. Es fsicamente una red de cable nica y completa, con combinaciones de alambre de cobre (pares trenzados), cables de fibra ptica, bloques de conexin, cables terminados en diferentes tipos de conectores y adaptadores. Para poder definir un cableado estructurado se debe llevar a la prctica lo estipulado en las normas y estndares internacionales.
122
27. BIA El anlisis de impacto sobre el negocio, conocido comnmente como BIA (Business Impact Anlisis) es determinar y entender qu procesos son esenciales para la continuidad de las operaciones y calcular su posible impacto. Este proceso es fundamental dentro de la elaboracin de un Plan de Continuidad de Negocio.
28. BCP El Plan de Continuidad de Negocios es el resultado de la aplicacin de una metodologa interdisciplinaria, llamada cultura BCP, usada para crear y validar planes logsticos para la prctica de cmo una organizacin debe recuperar y restaurar sus funciones crticas parcial o totalmente interrumpidas, dentro de un tiempo predeterminado despus de una interrupcin no deseada o desastre.
29. RPO El Punto Objetivo de Recuperacin, es cuando la infraestructura, ya recomenzada, volver a hacerse evidente. Bsicamente significa lo que la organizacin est dispuesta a perder en cantidad de datos. Para reducir un RPO es necesario aumentar el sincronismo de rplica de datos.
30. RTO El Tiempo Objetivo de Recuperacin, es el tiempo que pasar una infraestructura antes de estar disponible. Para reducir el RTO, se requiere que la infraestructura (tecnolgica, logstica, fsica) est disponible en el menor tiempo posible pasado el evento de interrupcin.
31. Enlaces Dedicados Es un servicio que permite establecer un acceso permanente a internet de alta capacidad, con un costo fijo, independientemente del tiempo de conexin y del volumen de informacin transmitida.
123
32. Switch Un conmutador (switch) es un dispositivo digital lgico de interconexin de redes de computadores que opera en la capa de enlace de datos del modelo OSI. Su funcin es interconectar dos o ms segmentos de red, pasando de un segmento a otro de acuerdo a la direccin MAC de destino de las tramas en la red, dado que funcionan como filtro en la red, mejoran el rendimiento y la seguridad de las redes de rea local.
33. PFSense Es una distribucin personalizada del Sistema Operativo de red FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una variedad de equipos y adems posee una interfaz web para su configuracin.
34. HTTP El protocolo de transferencia de hipertexto (HTTP) es el protocolo usado en cada transaccin de la world wide web (www). Define la sintaxis y la semntica que utilizan los elementos de software de la arquitectura web (clientes, servidores, proxies) para comunicarse.
35. HTTPS El protocolo seguro de transferencia de hipertexto (HTTPS) , es un protocolo de aplicacin basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir es la versin segura de HTTP.
36. DNS Sistema de Nombres de Dominio (DNS) es un sistema de nomenclatura jerrquica para computadores, servicios o cualquier recurso conectado a internet o a una red privada. Traduce nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, con el fin de localizar y direccionar estos equipos mundialmente.
124
37. SMTP Protocolo para la transferencia simple de correo electrnico (SMTP), es un protocolo de la capa de aplicacin del modelo OSI. Protocolo de red basado en texto, utilizado para el intercambio de mensajes de correo electrnico entre computadores u otros dispositivos (Pda, telfonos mviles, etc). Est definido en el RFC 2821 y es un estndar oficial de internet.
38. POP3 Protocolo de Oficina Postal (POP3) nos permite poder recepcionar los mensajes de correos electrnicos almacenados en un servidor remoto. Es un protocolo de nivel de aplicacin en el Modelo OSI.
39. NAT Traduccin de Direccin de Red (NAT), es un mecanismo utilizado para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados. 40. Proxy Squid Es un programa de software libre que implementa un servidor proxy y un dominio para cach de pginas web. Dentro de sus caractersticas puede acelerar un servidor web, guardando el cach las peticiones repetidas a DNS, cach de web, adems de aadir seguridad filtrando el trfico.
41. MS-RDP Es un protocolo desarrollado por Microsoft que permite la comunicacin durante la ejecucin de una aplicacin entre un terminal, mostrando la informacin procesada que muestra el servidor y un servidor Windows, recibiendo la informacin dada por el usuario en el terminal mediante ratn y teclado.
125
42. FTP El Protocolo de Transferencia de Archivos (FTP), es un protocolo de red para la transferencia de archivos entre sistemas conectados entre una red TCP (Protocolo de Transmisin y Control), basado en la arquitectura Cliente y Servidor. 43. SFP Tipo de puerto que se utiliza para conectar la fibra ptica, intercambiando informacin entre la red de cobre y la de fibra. 44. LACP Es un protocolo de red definido en el estndar 802.1ad y que puede agrupar puertos por su velocidad, modo dplex, troncales, VLan nativas, etc.
45. IEEE 802 Es un conjunto de estndares elaborado por el Instituto de Ingenieros Elctricos y Electrnicos (IEEE) que acta sobre redes de computadores. Tambin se usa el nombre IEEE 802 para referirse a los estndares que proponen, como por ejemplo Ethernet (IEEE 802.3), Wifi (IEEE 802.11).
46. ACL Una lista de acceso (ACL) es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto. Las ACLs permiten controlar el flujo de trfico en equipos de redes. 47. MAC El Control de Acceso al Medio (MAC) es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma nica a una tarjeta o dispositivo de red. Se conoce tambin como direccin fsica, y es nica para cada dispositivo. Est determinada y configurada por el IEEE.
126
48. IP Una direccin IP es una etiqueta numrica que identifica, de manera lgica y jerrquica, a una interfaz (elemento de comunicacin, conexin al exterior) de un dispositivo dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del Modelo OSI.
49. VOIP Voz sobre Protocolo de Internet, es un grupo de recursos que hacen posible que la seal de la voz viaje a travs de internet empleando un protocolo IP (Protocolo de Internet). Esto significa que se enva la seal de voz en forma digital, en paquetes de datos, en lugar de enviarla en forma analgica a travs de circuitos utilizables slo por telefona convencional. 50. Spanning-Tree Protocol Es un protocolo de red de nivel 2 del modelo OSI (nivel de enlace de datos). Su funcin es la de gestionar la presencia de bucles en topologas de red debido a la existencia de enlaces redundantes. El protocolo permite a los dispositivos de interconexin activar o desactivar automticamente los enlaces de conexin.
51. RSTP Es un protocolo de red de nivel 2 del modelo OSI (nivel de enlace de datos), que gestiona enlaces redundantes, especificado en IEEE 802.1w. Es una evolucin del Spanning Tree Protocol (STP). Reduce significativamente el tiempo de convergencia de la topologa de red, cuando ocurre un cambio en la topologa.
52. MSTP Son mltiples STP (Spannig Tree Protocol). 53. Tramas Jumbo Son tramas Ethernet mayores a 1518 bytes. Se pueden utilizar para reducir la utilizacin de la CPU e incrementar el flujo, esto puede significar que se cree ms latencia. El tamao mximo de una trama jumbo es de 16,128 bytes.
127
54. IGMP Es un protocolo de red que se utiliza para intercambiar informacin acerca del estado de pertenencia entre enrutadores IP, que admiten la multidifusin, y miembros de grupo de multidifusin.
55. Snooping Es una tcnica que tiene como objetivo obtener informacin de una red a la que estn conectados los computadores sin modificarla, similar al sniffing (packet sniffer). Adems de interceptar el trfico de red, el atacante accede a documentos, mensajes de correo electrnico y otra informacin privada existente en el sistema, guardando en la mayora de los casos esta informacin en su equipo.
56. Multicast Multidifusin, es el envo de la informacin en una red a mltiples destinos simultneamente.
57. Router Enrutador o encaminador de paquetes, es un dispositivo que proporciona conectividad a nivel de red o nivel tres del modelo OSI. Su funcin principal consiste en enviar o encaminar paquetes de datos de una red a otra.
58. DHCP Protocolo de configuracin dinmica de host, es un protocolo de red que permite a los clientes de una red IP, obtener sus parmetros de configuracin automticamente. Se trata de un protocolo de tipo cliente / servidor en el que generalmente un servidor posee una lista de direcciones IP dinmicas y las va asignando a los clientes conforme stas van estando libres. 59. WPA2 Acceso Protegido Wi-Fi 2, es un sistema para proteger las redes inalmbricas (WIFI); creado para corregir las vulnerabilidades detectadas en WPA. Est basado en el nuevo estndar 802.11i. Versin certificada del estndar 802.11i.
128
60. Hosts Bastiones Un bastin host es una aplicacin que se localiza en un server con el fin de ofrecer seguridad a la red interna, por lo que ha sido especialmente configurado para la recepcin de ataques, generalmente provee un solo servicio (como por ejemplo un servidor proxy). 61. Backups Una copia de seguridad (backup) en tecnologa de informacin o informtica es el proceso de copia de seguridad, con el fin de que estas copias adicionales puedan utilizarse para restaurar el original despus de una eventual prdida de datos.