Professional Documents
Culture Documents
determinar que los riesgos se manejen de forma adecuada y verificar que los
recursos de la empresa se utilizan con responsabilidad. Gobierno de la
empresa y el gobierno de TI establecen los lmites globales para lo que es
factible dentro de seguridad de la informacin. Como tal, el gobierno se
encuentra fuera de, y toques, todos los aspectos del modelo BMIS. Gobierno de
la empresa, entre otras cosas, influye en la forma que toma una organizacin,
as como la forma en la tecnologa de los elementos personas, procesos y se
unen para apoyar la misin y estrategia de la organizacin. Por ello, el Consejo
de DI se traduce conceptos y medidas de gobierno existentes (a nivel del
elemento de organizacin), alentando a las organizaciones para cumplir con
sus misiones y objetivos y establecer lmites y controles de nivel de proceso.
Actuando como la conexin entre los elementos de Organizacin y Procesos, el
DI de Gobierno (figura 8) representa la accin de gobierno de poner en prctica
dentro de BMIS. Esto significa que la gestin del proceso, mientras que la
aplicacin del sentido de la orientacin establecida por la alta direccin.
Mientras que los dos elementos representan lo que hay que hacer y cmo
hacerlo, esto DI acta como un catalizador para realmente conseguir que se
haga. Administracin se logra a travs de la interconexin con el elemento de
proceso. Las normas y reglamentos-es decir, normas y directrices se reflejan en
el elemento de proceso a travs hocprocedures y prcticas definidas o de
anuncios.
El circuito de retroalimentacin que modifica activamente el DI de Gobierno
resultante de las otras DI de Cultura y Arquitectura, que acta sobre el diseo y
la estrategia. Por ejemplo, en la medida en que el elemento de tecnologa es
insuficiente para atender las necesidades de seguridad de la organizacin, la
Arquitectura DI va a crear "tensin", lo que distorsiona el modelo y lo que
resulta en la necesidad de cambios en el diseo que, a su vez, modificar la
estrategia que cambia la DI de Gobierno. Los cambios en el Consejo de DI
modificarn los procedimientos y prcticas en el elemento de proceso.
Objetivos
Los procesos deben servir a los objetivos de la organizacin a un nivel
aceptable de predictibilidad, el riesgo. La accin de gobierno debe establecer el
foco de lo que se debe lograr en los distintos procesos de la organizacin
(elemento de proceso) y al mismo tiempo establecer los lmites sobre las
actividades que mitiguen los riesgos suficientemente. Rige tambin debe
abordar cuestiones de conservacin de la organizacin, o la sostenibilidad, y
hacerlo sin limitar innecesariamente la capacidad de la organizacin para
prosperar y prosperar.
Enfoques
Administracin abarca todas las actividades tcticas necesarias para lograr la
estrategia de la organizacin en el contexto del diseo de la organizacin.
Cualquier actividad de gobierno que no cumple con estos criterios ser
contraproducente y crear tensiones excesivas '' que deben ser resueltos a
travs de cambios en el diseo y la estrategia o en el DI de Gobierno. El exceso
de gobernar ms all de lo necesario para alcanzar los objetivos de negocio y
limitar los riesgos a niveles aceptables se convierte en una burocracia de
constriccin, lo que reduce la capacidad de adaptacin de la organizacin y la
capacidad de recuperacin para hacer frente a situaciones de emergencia.
Las herramientas principales para gobernar son las normas y acciones que
guan demostrable cumplan intencin de la poltica. Normas que no presten el
conjunto adecuado de lmites y orientaciones darn lugar a una exposicin al
riesgo inaceptable para la organizacin. Normas que son demasiado
restrictivas innecesariamente limitan las opciones de procedimiento y un
impacto negativo en la capacidad de recuperacin de la organizacin,
adaptabilidad y eficacia. Del mismo modo, otras acciones que representangobierno en el sentido activo de la palabra-gua deben estar vinculados a la
estrategia de la organizacin y los objetivos resultantes. Cada accin tomada
en trminos de gobierno debe tener una justificacin y razn de ser clara, en
particular los que influyen y dar forma a los procesos de seguridad. Gobierno-y,
por lo tanto, el Consejo de DI-incluye, pero no se limita a:
Polticas
Los estndares, guas y otros documentos normativos
Normas de rendicin de cuentas
Asignacin de recursos y priorizacin
Arrisgalo
Principios de la OCDE para el gobierno corporativo
Sistemas de Gestin de Seguridad de la norma ISO 27000 serie de
Informacin
Marco de Gestin de Riesgos COSO Empresa
Controles de seguridad del NIST SP 800-53-Recomendado para
Sistemas de Informacin Federal, para ms temas relacionados con
las TI.
Cultura
Mientras que la tecnologa y la poltica siguen siendo elementos importantes en
la obtencin de informacin de la empresa, se ha hecho evidente que no son
suficientes por s solos. Cultura (figura 9) es uno de los DI que separa BMIS de
otros modelos de seguridad. Al abordar la cultura y su impacto en el
comportamiento BMIS proporciona una imagen ms completa de la empresa. El
impacto de la cultura en las personas es un tema clave en la seguridad de la
informacin ya que las personas son capaces de contribuir a la seguridad de la
informacin o, por el contrario, a comprometerla.
La cultura DI afecta y es afectado por, los elementos de las relaciones de
Organizacin y Personas-lgicos porque la cultura interna de la empresa puede
estar relacionado con las influencias culturales en el individuo. La sinergia
entre los recursos humanos y la organizacin es la base de la cultura
corporativa.
Qu es cultura?
Para mejorar el programa de seguridad de la informacin, los gerentes deben
examinar y entender la cultura que existe dentro de la empresa, y luego deben
ampliar las fortalezas de la cultura y reconocer o mejorar sus debilidades para
crear una cultura que es verdaderamente intencional en su enfoque de la
seguridad.
La cultura organizacional es un tema ampliamente documentado para los que
se han publicado muchas definiciones. La definicin que utiliza BMIS es: "La
cultura es un patrn de comportamientos, creencias, suposiciones, actitudes y
formas de hacer cosas. El patrn de la palabra es clave en esta definicin. Los
cultivos se componen de individuos, pero no representan necesariamente los
comportamientos individuales. Es la cultura la que influye en los
comportamientos individuales y grupales. En el uso de BMIS, hay dos capas de
la cultura que deben ser considerados. La cultura organizacional se forma con
el tiempo por la estrategia, diseo organizacional y comportamiento de las
personas en el trabajo. La segunda capa se encuentra en el cultivo individual
de las personas, que puede ser diversa y heterognea. Ambas capas se deben
tener en cuenta cuando se visualiza la cultura como DI que influye en la
seguridad.
Ejemplo
En una empresa asitica que provee servicios externalizados a muchas
empresas europeas y estadounidenses, la seguridad parece haber sido bien
comunicada, documentado y 'vivido'. Una inspeccin no planificado revela que
en el da antes de la auditora anunciado, la mayora de las normas de
seguridad se infringen abiertamente, y no hay una diferencia significativa entre
la situacin como se ha observado y como se ve en auditoras anteriores. En
las entrevistas de administracin, el auditor se entera de que "la visita no haba
sido anunciada y fue planeado para el da siguiente".
Desde una perspectiva BMIS, este ejemplo demuestra dos cosas. En primer
lugar, tal como se define la cultura y comunicada es algo que el personal y la
administracin local han entendido, pero no internalizado. Parece ser que las
expectativas de los clientes se cumplan en la medida de la capacidad de las
personas, pero slo cuando una auditora se lleva a cabo o algn otro
mecanismo de vigilancia est en su lugar. En todos los dems casos, las
expectativas de seguridad expresadas por el cliente son, en el mejor, visto
como extrao y cortsmente ignorado. En segundo lugar, la cultura individual
de las personas, y tal vez la cultura local en su conjunto, son, obviamente,
completamente diferente de la cultura que prevalece en los pases de origen
de los clientes. Esto crea una enorme tensin en el modelo de cultura DI.
Para resolver estas discrepancias culturales, BMIS indicara acciones en la
cultura DI, por ejemplo, a travs de la insercin de las personas expatriadas en
Ejemplo
En una empresa de fabricacin en Alemania, la gestin de la seguridad observa
ocurrencias frecuentes de las infecciones de virus, malware y aplicaciones no
autorizadas ser descargados a la red corporativa. Durante mucho tiempo, la
alta direccin ha mantenido una poltica de seguridad estricta, junto con una
cultura de orientacin detallada y de gran alcance que incluye la aplicacin de
medidas disciplinarias y el despido. Una auditora revela que, con el creciente
uso de la web y aplicaciones Web 2.0, los empleados inadvertidamente han
comenzado a tomar mayores riesgos. Como resultado, el nmero de incidentes
de seguridad se ha incrementado significativamente. Hay una tensin evidente
en la cultura DI.
Un anlisis desde la perspectiva BMIS muestra que existe una cultura de
seguridad "viejo" que no es infrecuente en las empresas de fabricacin:
estricta seguridad es parte del modelo de negocio y todos los secretos
comerciales estn bien protegidos. Este cultivo de proteccin es, obviamente,
bien entendida y aceptada por los empleados ya que el problema parece estar
centrada en l y no los otros procesos de negocio. La "nueva" cultura de la
seguridad, por el contrario, an no ha formado y los empleados parecen estar
utilizando la web en un sentido no guiado sin vigilancia-y. Ellos han sido
entrenados para trabajar de acuerdo con un estricto conjunto de reglas, y que
no estn tan bien equipados para ejercer precaucin cuando no hay reglas.
Esto es confirmado por los empleados por considerar que "no lo hicieron a
propsito '.
En este ejemplo, el problema de las violaciones de seguridad de la informacin
se resuelve ms adelante mediante la incorporacin de un consultor externo
que entrena a los empleados 'en el trabajo'. Una red encapsulada se estableci
que simula el uso tpico de la web y aplicaciones Web 2.0. Los empleados se
dan demostraciones prcticas de cmo implementar un virus, cmo insertar
malware, etc. Despus de algunas sesiones, que demuestran ser enorme
diversin a los empleados entrenados, el nmero total de incidentes de
seguridad disminuye bruscamente.
Mientras que las culturas empresariales son nicas, que caen en ciertas
categoras. Cada una de estas categoras tiene caractersticas que describen la
forma en que las personas relacionadas con la interaccin entre la empresa, la
priorizacin de la creatividad y la innovacin en la forma en que la empresa
opera, la capacidad de la empresa para hacer frente a la ambigedad, y su
tolerancia y flexibilidad en lo que se refiere al cambio. Estas caractersticas
forman la base de la cultura de la organizacin y son a menudo parte de los
valores fundamentales de la empresa.
Ejemplo
En una cultura jerrquica o militarista, la idea dominante es uno de mando y
control. La adhesin estricta a las rdenes es un hecho, y las decisiones se
toman de forma estrictamente jerrquica y de acuerdo con su rango. La
direccin ejecutiva empuja hacia abajo sus creencias y preferencias y dirige el
negocio de acuerdo con esas creencias. Estos tipos de organizaciones han
definido las estructuras y pueden dejar poco espacio para la opinin de los
empleados o la innovacin. La ventaja percibida de estas culturas rgidas es el
funcionamiento predecible de grandes grupos de personas a un nivel definido.
Las fuerzas militares, en particular en tiempos de paz, se ven a menudo como
burocrtico, lento e ineficiente. Sin embargo, su objetivo principal es eficiente y
completamente predecible que funciona en tiempo de guerra para que no haya
sorpresas y se garantiza as una fiabilidad total.
Otras culturas son ms igualitaria en la naturaleza, la visualizacin de todo el
personal como iguales y teniendo en cuenta las reglas como menos importante
que la productividad. En estos casos puede haber una falta de estructura y la
gente a menudo se dejan a su suerte en cuanto a la forma de entregar. Los
problemas de seguridad son a menudo evidente, porque la gente elige para
eludir los controles o procedimientos existentes para producir una salida
rpida. La seguridad no se puede cumplir de manera consistente, por lo que los
comportamientos se convierten en normas de seguridad y se evita
generalmente.
Los problemas existen en ambos tipos de ambientes. Por ejemplo, dentro de
una cultura jerrquica de la distancia de alimentacin es alta. En esta direccin
ejecutiva situacin tiende a ser autorizada y exige la adhesin de los
empleados a normas estrictas. Los empleados pueden seguir las polticas de
seguridad por temor a las consecuencias. Esta cultura no ayuda a los
empleados aprecian o entienden la seguridad. La percepcin de que puede
surgir de seguridad hace las cosas ms difciles o acta como un obstculo
para la realizacin del trabajo.
Del mismo modo, una empresa en la que la gestin es el laissez-faireand
centrado principalmente en la productividad a una distancia menor consumo
de energa, que puede carecer de estructura y polticas bien definidas o puede
tener polticas que no se hacen cumplir. La percepcin es que la seguridad es
opcional o es secundaria a la realizacin del trabajo.
Como puede verse, ni tipo de entorno lo convierte en un "mejor" cultura de la
seguridad. De hecho, ambos dan lugar a problemas potencialmente graves. En
el primer ejemplo (un cultivo con una alta distancia de poder), los empleados
pueden estar tan atados a la poltica por temor a la falta de cumplimiento que
pueden no ser capaces de reconocer un problema emergente o la amenaza
indocumentado como un posible riesgo para los activos de informacin
empresarial. Con tal de que han seguido las reglas, se sienten seguros sin
tener que pensar "fuera de la caja". Del mismo modo, en una cultura con una
distancia de baja potencia, las personas pueden ignorar o evitar los
procedimientos de controles para realizar su trabajo ms rpido, creando
deben ser vistos en una base de todo el sistema. En otras palabras, la mejora
de la cultura no sucede simplemente mediante el establecimiento de una
conciencia slida y programa de entrenamiento, conseguir la aceptacin de los
ejecutivos o cambiar procedimientos para incorporar prcticas seguras. Todas
estas medidas, y ms, son necesarios para cambiar efectivamente una cultura
a travs del tiempo.
Algunos primeros pasos para la mejora de la cultura para ser ms favorable a
la seguridad pueden incluir los siguientes:
Trabajar para establecer un programa de seguridad de la
informacin slida que incluye la entrada de la direccin de la
empresa y los lderes de unidades de negocio funcionales.
Encuentra lderes influyentes en toda la empresa para ayudar
a entregar mensajes clave.
Establecer, comunicar y hacer cumplir las polticas de
seguridad claras.
Fomentar la colaboracin entre las unidades de negocio,
reduciendo as la gestin de silos.
Trabajar para tener responsabilidades de seguridad incluidas
en las descripciones de trabajo y los exmenes anuales de
rendimiento para todos.
Lograr la concurrencia en las metas y objetivos claros.
Proporcionar los conocimientos, herramientas y habilidades
que las personas necesitan para manejar eficazmente los
activos de informacin.
Desarrollar procesos consistentes para el manejo de
informacin y el intercambio.
Desarrollar la formacin de escenarios para influir en el
cambio en las creencias y actitudes.
Trabajar para cambiar las percepciones negativas de
seguridad.
Comunicar, comunicar, comunicar.
Como se indica anteriormente, el cambio de una cultura requiere de muchas
actividades que son constante y coherente y afectar a personas de todos los
niveles de la empresa. La consistencia ayudar a asegurar que las actividades
comienzan a evocar el comportamiento deseable que las transiciones en las
normas no escritas (y ms tarde por escrito). Pequeos cambios intencionados
pueden tener efectos en cascada en toda la empresa. El aumento de la
colaboracin entre los grupos puede aumentar la confianza y unir a las
personas con un objetivo comn. Una vez que las personas comienzan a
trabajar juntos, pueden empezar a compartir las experiencias, lo que ayudar a
mejorar las relaciones y actitudes y demostrar en comn.
La cultura de la seguridad madura como los patrones de comportamiento se
ajustan para que la seguridad se convierte en arraigado en las actividades
diarias. A medida que se expanden formacin y la sensibilizacin, la conciencia
se ve reforzada y unidades de negocios individuales o grupos comienzan a
El nivel
ms alto (contextual) define la relacin de una estructura a su entorno. En
trminos de un edificio, esto sera equivalente a una representacin del edificio
en su entorno con las carreteras, aparcamientos, rboles, etc. La misma idea
se aplica a la seguridad de la informacin. Reside en el contexto de la
organizacin, y la arquitectura contextual describir su relacin con la
organizacin: en donde en la estructura que existe, su relacin con otras
entidades orgnicas tales como finanzas, legal, marketing y/o operaciones.
En este nivel, la Arquitectura DI existe para asegurarse de que la seguridad de
la informacin, adems de cumplir con las leyes y reglamentos del pas, as
como caractersticas especficas del sector de la industria, incluyendo las
expectativas y requerimientos de los clientes o socios. Adems, los estndares
de seguridad de la informacin que se consideran las mejores prcticas pueden
ser considerados. La Arquitectura DI tambin es compatible con la estrategia
de la organizacin en el reconocimiento de los objetivos estratgicos y sus
implicaciones para la arquitectura y la tecnologa de las soluciones de
seguridad de la informacin.
El siguiente nivel inferior, por debajo de la arquitectura contextual, es el nivel
conceptual, que es el edificio equivalente del exterior de un edificio, desde
diversas perspectivas que se hace referencia como elevaciones. Para seguridad
de la informacin, esto va a definir lo que la funcin general se parece, sus
dimensiones y alcance. Se indicar los puntos de entrada y salida (puertas) y
los puntos de visibilidad (ventanas).
El nivel conceptual para la seguridad de la informacin asegura que la
tecnologa (fsico y lgico) no slo ayuda, pero permiten de forma activa, los
objetivos de seguridad. Este nivel tiene un conjunto de actividades y
tecnologas que trabajan en la consecucin de un objetivo comn de seguridad
de seguridad relacionado entre s, cooperativo e integrado.
El siguiente nivel (lgico) de la arquitectura de seguridad es similar a la planta
de un edificio. Muestra las relaciones internas y la actividad fluye entre ellos.
El nivel lgico especifica el diseo ms detallado de los componentes de
seguridad, el uso de la tecnologa para asegurarse de que se alcanzan los
objetivos definidos, podran ser resistentes a los ataques e incluso sostiene
prdidas. En el plano lgico, el plan general de arquitectura se crea que le da
Habilitacin y Soporte
La habilitacin y de apoyo DI conecta los elementos de proceso y de
tecnologa. En trminos de BMIS, es la interconexin dinmica a travs de la
que la tecnologa permite proceso, y el proceso a su vez soporta la
implementacin y el funcionamiento de la tecnologa, como se muestra en la
figura 12.
El bucle permite volver a los pasos anteriores segn sea necesario para
adaptarse sistmicamente cualquiera de las etapas del ciclo. Por ejemplo, si la
solucin tecnolgica parece poco claro o poco definido, la solucin de negocio
se revisa para asegurar la alineacin. Si la solucin de negocio no es clara o
plantea preguntas, puede que sea necesario volver a los requisitos de servicio
originales formulados o incluso a los requisitos de negocio globales. Sin
embargo, esto no es una secuencia paso a paso como se muestra en la figura
13. Es sistmica en que ningn paso en el bucle est siempre 'completado',
pero todas las medidas interactuar en el ciclo global y puede cambiar las
soluciones de tecnologa y su despliegue.
Cuando la seleccin y la implementacin de la tecnologa son parte de la
implementacin de una solucin de negocio, hay un proceso cclico que
permite a los componentes de la solucin adecuados para desempear un
papel. BMIS ayuda a asegurar una visin integral y equilibrada de la
habilitacin de la tecnologa. El modelo no aboga por la tecnologa del estado
de la tcnica o la automatizacin completa, sino que se centra en la
habilitacin de la empresa mediante el uso de la tecnologa.
Los procesos son formas de lograr los objetivos. Sin objetivos, procesos no son
medibles y son de poca utilidad. Lo mismo se aplica a la tecnologa (el objeto),
que no tiene valor si no permite a la organizacin a alcanzar sus objetivos en la
aplicacin de su estrategia (incluso si esta estrategia evoluciona).
De ello se desprende que existe una co-dependencia entre la tecnologa de los
elementos de proceso y que hace que sea difcil aislar una de la otra. La
habilitacin y de apoyo DI es una relacin bidireccional estrechamente
acoplado que puede ser entendido slo cuando se aplican los tres
componentes bsicos de los sistemas de pensamiento (retroalimentacin, el
equilibrio y el retraso), como se describe ms adelante en esta seccin.
TI dentro de una empresa
En su artculo Integracin de la informacin del sistema, Wilhelm Hasselbring
describe la fragmentacin de los sistemas de informacin dentro de las
empresas. Segn los investigadores, la mayora de los fallos de seguridad no
son consecuencia de la falta de normas y tecnologas, sino de una falta de
enfoque en la utilizacin de manera adecuada para el beneficio de toda la
organizacin. Tras el descubrimiento de un fallo de seguridad, debido a un
incidente o como el resultado de una auditora en las organizaciones correr
para arreglar la falla, a veces sin entender la causa raz o correlacionarla con
defectos similares descubiertos antes.
Ejemplo
Si un archivo que contiene los nmeros de EE.UU. Seguro Social (SSN) se enva
sin cifrar y en contra de la poltica de la organizacin, lo ms probable es que la
organizacin va a establecer una nueva prctica y pide a sus empleados para
cifrar los archivos, porque esa es la prctica comn hoy en da.
Si bien esto puede funcionar en algunos casos, tiene sus propios defectos ya
que las personas no siempre siguen el proceso y la posibilidad de que los
nmeros de seguro social podran ser enviados en el claro que seguira
existiendo. Adems, puede haber otros modos de transferencia de datos,
cuando se transmiten en texto claro. Obviamente, la cuestin ser entonces
mucho ms amplio que la seguridad del correo electrnico. Por lo tanto, las
organizaciones deben tener en cuenta un enfoque diferente para resolver
problemas y desarrollar soluciones, que BMIS proporciona.
En el ejemplo anterior, el enfoque de los sistemas de BMIS har que la
organizacin a tomar en cuenta otros factores antes de decidirse por 'la
solucin'. Por ejemplo, una organizacin que se adhiere a los conceptos de
BMIS puede considerar las siguientes preguntas:
Los
componentes clave de la infraestructura DI habilitacin y de apoyo
son:
mejorar a travs de un acuerdo tcito de las personas sobre cmo manejar los
nuevos sistemas o aplicaciones. La forma en que las personas (como un
elemento BMIS) interactan con los procesos a menudo se caracteriza por la
aparicin, por lo que es una muy poderosa DI. Es un rea que se ocupa de la
ambigedad y la evolucin y, si se gestiona bien, puede mejorar la capacidad
de la empresa para adaptarse a los cambios, sobrevivir un acontecimiento
imprevisto e innovar.
Aparici
n comprensin
La naturaleza humana dicta que la ejecucin de procesos por personas dentro
de una empresa vara en el tiempo y cada vez que se ejecuta un proceso. Un
proceso en s mismo puede estar bien definida, pero su resultado puede ser
diferente cada vez que se ejecuta. Esto significa que slo parte del proceso es
predecible, mientras que otras partes pueden tener un elemento de
coincidencia. Para poder entender el impacto de este hecho en la seguridad de
la informacin, la ejecucin de un proceso por la gente se subdivide en las
siguientes categoras:
Procedimiento escrito-basado en la ejecucin de tareas basado en el
flujo especfico de las acciones definidas en un procedimiento oficial.
Basado en polticas, la ejecucin de tareas basado en la traduccin
de las reglas de la poltica de seguridad de la empresa.
Ad hoc-La ejecucin de las tareas de una manera aleatoria, no
cubierta por una regla de procedimiento o poltica.
Cada categora de ejecucin contiene diferentes elementos de
incertidumbre introducida por las caractersticas bsicas de la naturalezahumana la capacidad de pensar, decidir y reaccionar en diferentes
situaciones:
Factores
Humanos DI tambin incluye el estudio de cmo los seres humanos interactan
con la tecnologa y el desarrollo de herramientas que faciliten la consecucin
de los objetivos especficos-en este caso, los objetivos de seguridad de la
informacin. Dentro BMIS, factores humanos DI interacta con las personas y
elementos de tecnologa. Esta relacin se deduce del hecho de que las
deficiencias en materia de seguridad pueden ocurrir fcilmente debido a la
forma en que las personas usan la tecnologa y su comprensin de la necesidad
y la adhesin a los conceptos de seguridad. Del mismo modo, la tecnologa
como un elemento puede mejorar enormemente la calidad del trabajo y la
manera en que las personas a realizar sus tareas.
En general, los tres objetivos principales dentro del DI factores humanos se
relacionan con el operador humano (cuerpo y mente) y los sistemas
circundantes que interactan con el usuario humano. Para entender y manejar
la tensin en este DI, el primer paso es diagnosticar o identificar los problemas
y las deficiencias en la interaccin hombre-sistema de un sistema de seguridad
existente. Posteriormente, hay cinco enfoques diferentes que pueden ser
utilizados para introducir mejoras: