You are on page 1of 91

1

UNIVERSIDAD NACIONAL TECNOLÓGICA DE LIMA SUR

FACULTAD DE INGENIERÍA Y GESTIÓN

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

“implementación DE UN SISTEMA BASADO EN LA METODOLOGÍA RUP

PARA LA AUTOMATIZACIÓN DE CIFRADO DEL FLUJO DE INFORMACIÓN

EN LA UNTELS”

TESIS

Para optar el Título Profesional de

INGENIERO DE SISTEMAS

PRESENTADO POR EL BACHILLER

Torres Silva Elard David

Villa El Salvador

2018
2

DEDICATORIA

A mis padres por guiarme y cuidarme a lo

largo de la vida, por su apoyo incondicional

en cada decisión tomada. A mi hermana por

transmitirme toda su fuerza, compañía y

amor.
3

AGRADECIMIENTO

- En esta parte del proyecto quiero agradecer a quienes colaboraron o

aportaron en el desarrollo de este trabajo.

- A mi alma mater, la Universidad Nacional Tecnológica de Lima Sur, por

acogerme en sus aulas y por permitir mi formación profesional.

- A los profesores, por aportar en el desarrollo de mis conocimientos y

habilidades a lo largo de estos años, y en especial al profesor Frank

Escobedo Bailón, por el asesoramiento que me brindo en este tiempo, el cual

significo un gran aporte para el desarrollo de la presente investigación.

- Y a todas las personas que de diferentes formas aportaron y facilitaron el

desarrollo de este trabajo.


4

CONTENIDO

INTRODUCCIÓN

CAPITULO I: PLANTEAMIENTO DEL PROBLEMA

1.1. Descripción de la Realidad Problemática

1.2. Justificación de la Investigación

1.3. Delimitación de la Investigación

1.4. Formulación del Problema

1.4.1. Problema General

1.4.2. Problema Específico

1.5. Objetivos

1.5.1. Objetivo General

1.5.2. Objetivos Específicos

1.6. Hipótesis

1.6.1. Hipótesis General

1.6.2. Hipótesis Específica

CAPITULO II: MARCO TEÓRICO

2.1. Antecedentes

2.1.1. Antecedentes Internacionales

2.1.2. Antecedentes Nacionales

2.2. Bases Teóricas

2.2.1. RUP

2.2.2. UML

2.2.3. PHP
5

2.2.4. HTML

2.2.5. MySQL

2.2.6. ISO 27001

2.3. Marco Conceptual

2.3.1. Generalidades

2.3.2. Definición de Conceptos

CAPITULO III: DESARROLLO DE LA METODOLOGÍA

3.1. Fase de Concepción

3.1.1. Definición del Alcance del Proyecto

3.1.2. Definición de los Casos de Uso del Proyecto

3.2. Fase de Elaboración

3.2.1. Planificación del Proyecto

3.2.2. Especificación de las Características

3.2.3. Definición de los Cimientos de la Arquitectura

3.3. Fase de Construcción

3.3.1. Análisis de Componentes

3.3.2. Análisis de Despliegue

3.4. Fase de Transición

3.4.1. Implementación del Sistema

3.4.2. Prueba del Sistema

3.4.3. Despliegue del Sistema

CONCLUSIONES

RECOMENDACIONES
6

REFERENCIAS BIBLIOGRÁFICAS

ANEXOS

OTRA HOJA

FIGURAS

Figura 1 Localización de la UNTELS.

Figura 2 Una escitala, uno de los primeros dispositivos de cifrado.

Figura 3 La máquina Enigma fue utilizada extensamente por la Alemania nazi; el

criptoanálisis aplicado por los aliados proporcionó una vital inteligencia Ultra.

Figura 4 SIGABA se describe en la Patente USPTO nº 6175625, registrada en 1944

pero no publicada hasta 2001.

Figura 5 A veces, el criptoanálisis moderno implica un gran número de circuitos

integrados. Esta placa es parte del crackeador DES de la EFF, que contenía más de

1800 chips y podía romper una clave DES por fuerza bruta en cuestión de días.

Figura 6 Una iteración RUP.

Figura 7 Ciclo de vida RUP.


7

MUCHO ESPACIO

INTRODUCCIÓN

En el entorno de una empresa los datos y/o información fluyen entre los empleados,

entre estos y la organización o entre la organización y sus clientes. En ciertas

ocasiones utilizamos flujos de información informales (no debidamente estructurados).

Otras veces, estos flujos son formales y están debidamente estructurados, brindando

de esta manera el soporte necesario a los procesos críticos en la organización. Una

correcta gestión de estos flujos de información facilita obtener a la organización una

ventaja competitiva, mejorando la eficiencia organizacional, la calidad de la información

y el servicio ofrecido a los receptores de estos importantes datos.


8

La evolución de las TIC’s a lo largo de los últimos tiempos nos ha permitido mejorar

dicha gestión. Esta importante evolución se ha podido lograr de manera gradual y se ha

permitido recorrer un largo camino donde cada paso se ha sumado al anterior

incrementando su factibilidad y obteniendo así de esta manera que la suma sea mucho

más que solamente las partes.

Los principales esfuerzos se deben centrar en la automatización de los flujos de

información asociados a los flujos información, desde el dato más insignificante hasta la

información más importante. En los años 90 aparecieron los sistemas de información

ERP (Enterprise Resource Planning) y CRM (Customer Relationship Management) que

ayudaban a tener un control de los recursos y manejo de estos de manera

automatizada siendo posible que en cada proceso se pudiera determinar futuros

resultados como parte de los procesos internos de la organización.

Asimismo, la proliferación de internet alrededor de los años 90, aceleró las

interacciones entre organizaciones, empresas y clientes, llegando a modificar en

algunos casos los paradigmas mismos de la organización tradicional. El esparcimiento

en los últimos años del uso de ordenadores personales y la innovación de nuevos

dispositivos cada vez más accesibles para las personas como por ejemplo las PDAs

(Personal Digital Assistant) han facilitado sustancialmente la integración de los

empleados en movimiento (ya sea en el campo de venta, en los procesos de


9

instalación y el mantenimiento de estos equipos, etc.) en los flujos de información de la

organización.

HABLAR DE LA ORGANIZACIÓN DEL TRABJO .QUE CAPITULOS CUENTA

OTRA HOJA

CAPÍTULO I:

PLANTEAMIENTO DEL PROBLEMA

EN DOS HOJAS

1.1. Descripción de la Realidad Problemática

LA Universidad Nacional Tecnológica de Lima Sur ES una institución de

formación profesional que se encuentra 12 años presente en Villa el Salvador y

se dedica a lanzar al mercado altamente calificados para el ámbito laboral y con


10

un amplio conocimiento en las nuevas tecnologías que abordan el mundo

desarrollado.

REVISAR REDACCION

Uno de los detalles que la UNTELS tiene y en el cual nos hemos centrado

para el desarrollo de la presente investigación, es el Flujo de Información de

persona a persona dentro del campus universitario.

Actualmente, la universidad tiene un sistema seguro para el envío ya sea de

documentos o mensajes, en lo que se va a basar nuestra investigación es en

como brindarle un nuevo punto de vista en base a la seguridad, la inviolabilidad

de la información que se envíe de manera local o remota para lo cual se tratará

en esta investigación es como se puede cifrar la información de manera segura,

de tal manera que no se pudiera conocer el contenido de la misma incluso si

hubiera una captura de esos datos, ya sea aplicando desencriptamiento por

fuerza bruta o conociendo la llave de desencriptación.

El tiempo promedio que involucra el cifrar o encriptar información o mensajes,

involucra dos procesos importantes: la forma en que se cifren estos datos y el

tiempo que demande el proceso de cifrado, por lo tanto, se le brindará a la

UNTELS un sistema ligero pero poderoso para que pueda enviar información (ya

sea documentos, mensajes, fotos, etc.) de manera completamente segura sin la

necesidad de contemplar la intercepción de la misma en el camino hacia el

destinatario final.
11

1.2. Justificación de la Investigación

La Universidad Nacional Tecnológica de Lima Sur, nuestra casa de estudios

superiores en sus años de trayectoria brindando a mi hermoso país

profesionales ejemplares en las carreras que dictan.

MUY LÍRICO, RETÓRICO, HISTRIONICO,

Focalizándome en el aspecto de la información que maneja mi alma mater

nos hemos dispuesto a brindarles una novedosa herramienta que por causas de

en mi criterio seguridad deben ser consideradas.

La gran parte de los docentes, alumnos y personal en general que emplean

los ambientes de los laboratorios y computadores de las oficinas por cuestiones

académicas, de trabajo, etc. En su gran mayoría no son conscientes de la

seguridad de la información que manipulan en dichos ordenadores, simplemente

utilizan los computadores por la facilidad de acceso a los mismos para el

desarrollo de sus clases (en caso a los docentes), finalizar algún trabajo (en el

caso de los alumnos) por lo cual nos hemos visto en la situación de que los

datos que usualmente portamos todos en una memoria USB pueden ser

deliberadamente vulnerados por algún usuario de los ordenadores que

intencionalmente dejó en los computadores un virus informático, el cual tiene por

objetivo dañar los archivos e información que el usuario actual tenga en algún
12

dispositivo móvil (ya sea memoria USB, micro USB, teléfono móvil,

etc.).REVISAR REDACCION

En esta investigación se va a tomar en consideración la información del

usuario, con este término hago referencia a todo archivos ya sea imágenes,

documentos, carpetas, etc. Cualquier elemento que pueda ser vulnerado, y en

vista de esto se le brindará una manera segura con la cual podrá cifrar su

información personal dentro de las instalaciones de la UNTELS con la cual

solamente el propietario de los archivos podrá visualizar los datos que haya

protegido.

Por lo tanto, se brindará una manera en la cual se hará el envío de

información dentro de la institución, donde el usuario que realiza esta acción

tenga la seguridad de que los datos de su pertenencia que ha visualizado o

posiblemente enviado mediante la red local de los laboratorios solo será

observado por solamente su persona o el receptor del mismo, contemplando que

no se pueda conocer el contenido transmitido por personas ajenas que puedan

interceptar el mensaje en su camino por la red.

PSAR A OTRA HOJA

1.3. Delimitación de la Investigación

1.3.1. Espacial
13

El desarrollo del presente trabajo se llevó a cabo en la Universidad

Nacional Tecnológica de Lima Sur, ubicado en la Avenida Central S/N

Villa el Salvador

Figura 1.
Localización de la UNTELS

Fuente: (Google Maps, 2018)

1.3.2. Temporal

Fecha de Inicio: Agosto de 2018

Fecha de Término: Diciembre de 2018

1.3.3. Conceptual
14

Será limitado a la información que es compartida dentro de la

universidad, ya sea por los departamentos, laboratorios, salones, etc.

1.4. Formulación del problema

1.4.1. Problema General

¿De qué manera la aplicación de un sistema basado en la metodología

RUP permite automatizar el cifrado del flujo de información en la

UNTELS?

1.4.2. Problemas Específicos

Corregir, y en tono de pregunta

¿De qué manera la aplicación de un sistema basado en la metodología

RUP permite mejorar los protocolos de seguridad de la UNTELS?

¿De qué manera la aplicación de un sistema basado en la metodología

RUP permite un mejor acceso a la información de la UNTELS?

1.5. Objetivos

1.5.1. Objetivo General

implementar un sistema basado en la metodología RUP para

automatizar el cifrado del flujo de información en la UNTELS


15

1.5.2. Objetivos Específicos

Imple,mentar un sistema basado en la metodología RUP para mejorar

los protocolos de seguridad de la UNTELS

implementar un sistema basado en la metodología RUP permite un

mejor acceso a la información de la UNTELS

1.6. Hipótesis

1.6.1. Hipótesis General

La implementación de un sistema basado en la metodología RUP

permite automatizar el cifrado del flujo de información en la UNTELS

1.6.2. Hipótesis Específica

La Imple,mentación de un sistema basado en la metodología RUP

permite mejorar los protocolos de seguridad de la UNTELS

iLa Imple,mentación un sistema basado en la metodología RUP permite

un mejor acceso a la información de la UNTELS


16

CAPITULO II

MARCO TEORICO

2.1. Antecedentes

2.1.1. Antecedentes Internacionales

Ernesto Heffel, Walter - 2016. Ciberseguridad industrial en la

distribución de energía eléctrica. INSTITUTO UNIVERSITARIO

AERONAÚTICO, FUERZA AÉREA ARGENTINA.

Para algunos la Tercera Revolución Industrial inició en 1969, cuando

apareció el primer controlador lógico programable. En 2006 el Parlamento

Europeo la declaró como tal, tomando las ideas impulsadas por Jeremy

Rifkin. Así como la Primera nació a partir del uso del vapor de agua y la

Segunda surgió desde el combustible líquido derivado del petróleo, en la

Tercera se funden estratégicamente tres elementos: inteligencia, ciencia y

tecnología. La mecánica dio paso a la electrificación masiva, mientras que

los cambios culturales y sociales impulsados por las transformaciones

abrieron el camino a la Sociedad del Conocimiento. El uso de sistemas

ciberfísicos está pariendo una Cuarta Revolución: la “Industria 4.0”.


17

¿Habrán imaginado los pioneros de la electricidad que ésta tendría un

rol preponderante en la existencia de las próximas generaciones?,

¿Podemos pensar hoy en un mundo sin energía eléctrica? El simple

resumen de una jornada típica en la vida de una persona implica

enumerar algunos ejemplos disímiles: agua caliente, afeitadora, teléfono

móvil, computadora portátil, electrodomésticos, alumbrado público,

carteles luminosos en la vía pública, edificios inteligentes, autos

eléctricos… la lista podría ser tan larga y detallada como para ocupar

varias páginas; lo cierto es que en un planeta urbanizado y globalizado la

electricidad es el fundamento que hace posible el acceso al desarrollo, las

comodidades y aplicaciones que dependen de los “electrones” para

funcionar. Cualquiera de los efectos producidos, sea luminoso, térmico o

magnético forma parte del cotidiano trajín humano en el siglo XXI. Carecer

de ellos supondría poco menos que retroceder a la época de las

cavernas.

Independientemente de la forma en que se produce y transporta el

fluido eléctrico, su distribución constituye una etapa extremadamente

sensible para la infraestructura que alimenta desde gigantescas fábricas

hasta un pequeño nebulizador. Los avances tecnológicos no son ajenos a

los servicios públicos. Debe resaltarse que el acceso al agua potable, el

gas y el transporte es altamente dependiente de la red eléctrica para

funcionar.
18

Esto sitúa a la misma en la capa más baja del circuito, por lo que es

clave su disponibilidad.

Resulta paradójico: los mismos avances tecnológicos que nutren un

teórico círculo virtuoso de innovación, automatización y evolución

constantes, sitúan a la distribución eléctrica ante riesgos que a primera

vista aparecen como puramente técnicos y exclusivos de los dominios de

las telecomunicaciones o la informática. Canales inseguros por definición,

protocolos obsoletos, ausencia de controles, carencia de sentido común,

accesos no autorizados, etc. son algunos de los temas que dan sustento a

este escrito, particularmente en relación a los ambientes SCI / SCADA y la

progresiva masificación de los medidores inteligentes. Ambas

aplicaciones constituyen casos representativos para describir, aprender y

obtener conclusiones desde el cristal de la Ciberseguridad Industrial.

Están darizar y guiones

Peña, Daniela - 2016. Diseño e implementación de una red

privada virtual (VPN-SSL) utilizando el método de autenticación

LDAP en una empresa privada. Universidad Central de Venezuela,

Escuela de Ingeniería Eléctrica.

La investigación tuvo como propósito diseñar e implementar una Red

Privada Virtual (VPN-SSL) utilizando el método de autenticación LDAP en


19

una empresa privada, con el objetivo de proteger las conexiones de

acceso remoto hacia la organización a través del contenido cifrado,

garantizando la integridad, confidencialidad y seguridad de los datos. En

su desarrollo, se abordaron aspectos teóricos de una VPN, seguridad y

documentación de los protocolos que se utilizan actualmente para las

conexiones seguras de acceso remoto. En relación a la metodología, se

desarrolló bajo el esquema de proyecto factible. Para la obtención de los

resultados, se empleó la técnica de observación documental y arqueo

bibliográfico, en base a ello se llevaron a cabo cada una de las fases

planificadas, logrando la implementación de una VPN-SSL integrada con

el protocolo LDAP. Se realizaron una serie de adecuaciones y

configuraciones en la empresa privada en el que se definió la política de

acceso remoto a la red, se comparó el protocolo SSL con respecto al

IPSec, se estudió el protocolo LDAP, se definió la arquitectura de

implementación de la VPN-SSL, se configuró e integró el firewall con el

directorio activo de la empresa, se establecieron las políticas de firewall

para la conectividad de los usuarios de la VPN, se verificó la redundancia

en la conectividad a través de pruebas de conexión a través de la VPN-

SSL, y por último se desarrolló un manual que permita gestionar la

conexión a través de la VPN. Entre las conclusiones más relevantes se

destacan: la arquitectura utilizada permite redundancia en la conexión vía

SSL-VPN, se garantiza la continuidad del negocio permitiendo establecer

conexión desde cualquier ubicación geográfica y al utilizar el protocolo


20

LDAP en la VPN-SSL, se garantiza el uso de las credenciales de inicio de

sesión de Windows a los usuarios VPN. Finalmente, se recomendó

actualizaciones, renovación de licenciamiento y auditorías de las

conexiones VPN. (apllido, año)

considerar la bibliografía en APA

García Asenjo, Javier Martín - 2016. Implantación de un

servidor de red para el acceso compartido a Internet en un entorno

mixto de red interna y pública inalámbrica. Universitat Oberta de

Catalunya (UOC) – España

En este proyecto trataremos la implantación de un servidor de red para

el control y gestión de un acceso a internet compartido en un entorno

mixto de red local privada y red pública inalámbrica.

El escenario de partida será una biblioteca pública de un municipio de

10000 habitantes, si bien la implementación es válida para multitud de

escenarios similares como colegios o universidades.

Se realizará un estudio de los diversos requerimientos y condicionantes

legales en un entorno de estas características, detallándose la

configuración de la solución propuesta con un nivel de detalle que facilite

su implantación en otras ubicaciones.


21

Tibaquira Cortés, Yesid Alberto - 2015. Metodología de

gestión de incidentes de seguridad de la información y gestión de

riesgos para la plataforma SIEM de una entidad financiera basada en

la norma ISO/IEC 27035 e ISO/IEC 27005. Universidad Nacional

Abierta y a Distancia, Bogotá – Colombia.

El trabajo desarrollado se basa en la definición de un modelo de

gestión de incidentes de seguridad de la información y de gestión de

riesgos sobre estos incidentes, que son detectados o derivados de la

implementación y operación de una herramienta SIEM (Correlacionador

de Eventos de Seguridad). La definición de los modelos de gestión se

realizó bajo las normas ISO 27035 para incidentes de seguridad y 27005

para la gestión de riesgos.

Inicialmente fueron identificaron los activos de información críticos que

se encuentran configurados en el SIEM para definir el alcance del diseño

en implementación de los modelos. Posterior, se definieron las políticas

de seguridad de la información, en donde son descritos los lineamientos

que se deben seguir para la gestión de incidentes y riesgos.

Por último, fueron definidos los modelos, junto con la implementación y

las herramientas que apoyarán su operación, basados en las


22

recomendaciones que expresa cada una de las normas para cada

modelo.

Tesis, tesinas, papers, tesauros, investigaciones(revistas indexadas)

García Gómez, José Luis - 2015. Informe sobre el Peritaje

Informático. Universidad Carlos III de Madrid – España.

Este trabajo presenta una perspectiva jurídica de los elementos

característicos que intervienen actualmente en la realización de los

peritajes informáticos, tanto en los distintos órdenes jurisdiccionales como

en el ámbito extrajudicial, desde la identificación del motivo concreto que

da origen al peritaje hasta la presentación y defensa del dictamen pericial

en el acto del juicio ante el tribunal o ante la persona que lo ha solicitado.

Se incide en las especialidades normativas de las fuentes de prueba

utilizadas en las pericias informáticas y los pronunciamientos

jurisprudenciales al respecto. El planteamiento jurídico del informe no

pierde, sin embargo, de vista la perspectiva técnica que es necesaria para

facilitar su mejor comprensión.


23

Amparo, Johanny - 2015. Diseño e implantación de una red

privada virtual (VPN) a través de la infraestructura como servicio

(IAAS) para el acceso a una entidad bancaria mediante single sign on

(SSO). Universidad Central de Venezuela, Escuela de Ingeniería

Eléctrica.

El objetivo principal de este trabajo fue diseñar e implantar una red

privada virtual (VPN) a través de la Infraestructura como Servicio (IaaS)

para el acceso a una entidad bancaria mediante Single Sign On (SSO).

Con el fin de alcanzar este objetivo se realizaron diversos análisis sobre la

plataforma tecnológica.

Se llevó a cabo un estudio de la situación actual con la finalidad de

conocer el mejor escenario que se adaptara tanto a nivel técnico como al

retorno de inversión a mediano plazo. En el levantamiento de información

también se consideraron las bases teóricas sobre los aspectos

concernientes a la seguridad de los datos de acceso de los usuarios y

todas aquellas actividades necesarias para poder establecer políticas,

normas y procedimientos apropiados.

El diseño e implantación se logró de forma satisfactoria, solventando

así las innumerables llamadas al Help Desk por no contar una clave única
24

para el inicio de sesión en las diferentes aplicaciones que se tienen con

proveedores de servicio que se encuentran en la nube.

2.1.2. Antecedentes Nacionales

Gómez Fernando, Sheilla Etty - 2007. Seguridad de la

información. UNIVERSIDAD NACIONAL DE INGENIERÍA.

En el Capítulo I analizaremos de manera general la seguridad de la

información, se define la integridad, la disponibilidad y la confidencialidad

de la información. En el Capítulo II hacemos un análisis de los sistemas

de seguridad a nivel de red, se menciona sobre la criptología, se muestra

diseños típicos de firewall, Proxy, así como la seguridad de las VPN y el

Protocolo SSL. En el Capítulo III hacemos un análisis de los sistemas de

seguridad a nivel de comunicaciones, mencionando los servidores típicos

en un sistema, como el de correo, archivo, web. En el Capítulo IV se da

detalles sobre la auditoría de información que se debe de realizar en un

sistema, para la mejora del mismo.

Ángeles Ayala, Sócrates Luis - 2010. Sistema de Gestión de

Seguridad de Información ISO 27001 para un Data Center.

UNIVERSIDAD NACIONAL DE INGENIERÍA.


25

El objetivo del presente informe es dar a conocer los lineamientos

que se han seguido para implantar el Sistema de Seguridad de

Información (SGSI) en el Data Center de LA EMPRESA. La acreditación

del SGSI Data Center se logró mediante la certificación IS027001 en

mayo del 2008.

El principal negocio de LA EMPRESA es brindar servicios de

Telecomunicaciones a los diferentes segmentos del mercado:

Residencial, Pequeñas Empresas y Grandes Empresas. Un rubro

importante es la prestación de servicios Outsourcing y Data Center de TI

al segmento empresas.

Los principales servicios que se brinda en este ámbito son:

- OUTSOURCING Es la decisión estratégica mediante la cual

una empresa externaliza los procesos de su cadena de valor

que no representan el núcleo de su negocio, creando

relaciones estables y duraderas con proveedores

especializados cuyas actividades se integran a su modelo de

negocio.
26

- DATACENTER Brindar servicios tanto de infraestructura,

herramientas y gestión orientados a mejorar la disponibilidad,

calidad y costos de los servicios de TI de las empresas.

- WORKPLACE Proporciona de forma integrada todas las

herramientas para que los profesionales de la empresa puedan

realizar su trabajo diario; es una solución paquetizada y

personalizada que incluye provisión de; hardware (PCs,

Laptops, Impresoras, entre otros), aplicaciones informáticas y

soporte a usuarios, incluyendo la gestión integral de extremo a

extremo.

- SOFTWARE DE NEGOCIOS Diseñar, desarrollar e implantar

soluciones y servicios que permiten optimizar los procesos del

negocio de nuestros clientes, así como el intercambio de

información entre sus colaboradores (clientes, proveedores,

distribuidores, etc.) mediante el uso intensivo de las

herramientas tecnológicas de última generación. Nuestro

enfoque es ofrecer a nuestros clientes las mejores soluciones y

servicios sobre la base del conocimiento de sus negocios y del

sector al cual pertenecen y aplicando las mejores prácticas de

la industria de TI. Los retos más importantes de la empresa

son; Mantener un buen posicionamiento en el mercado TI para


27

el segmento empresarial Mejorar la satisfacción de los clientes,

brindando servicios de calidad Optimizar la implantación,

soporte, operación y entrega de los servicios que permita

mantener un clima laboral bueno y cumplir con los

compromisos acordados con nuestros clientes. El esquema de

implantación se ejecutó siguiendo el modelo PHVA (Planear,

Hacer, Verificar y Actuar).

- Revisar y poner el aporte de la tesis, el porque la mencionas

Ayala Bustamante, Giover Ergio - 2009. Seguridad de la

información en una institución financiera. UNIVERSIDAD NACIONAL

DE INGENIERÍA.

El presente informe contempla las principales actividades

necesarias para implementar la metodología de Seguridad de la

Información en una Institución Financiera. Comentamos las tendencias

actuales y las mejores prácticas. El informe se basa en mi experiencia

profesional en el área de Seguridad de la Información en un Banco local.

Contemplaremos los siguientes puntos: Sistemas Informáticos, Objetivos

y Procesos, Análisis de Riesgo, Estrategias en Seguridad de la

Información, Implementación de Controles, Monitoreo de la Seguridad y

Pruebas de Seguridad.
28

Vásquez Escalante, Jaime Fernando - 2018. Implementación

del sistema de gestión ISO 27001:2013, para proteger la información

en los procesos de TI. UNIVERSIDAD NACIONAL MAYOR DE SAN

MARCOS.

Se detallan las actividades para una correcta implementación del

sistema de gestión de seguridad de la información, asimismo recalca la

importancia de concienciar al personal en la importancia de salvaguardar

la información que manejan en sus actividades laborales.

El objetivo del presente trabajo es proteger la información en sus tres

dimensiones: confidencialidad, integridad y disponibilidad mediante la

implementación de una metodología de riesgos que permita identificar las

amenazas que atenten contra la seguridad de la información en los

procesos de TI de la organización GMD® que administra la plataforma

tecnológica y mesa de ayuda de su cliente “ONP”.

El presente trabajo es descriptiva aplicada y su diseño corresponde al

experimental la población es conformada por 56 personas que son la

totalidad de empleados que laboran en el proyecto, debido a su tamaño la

muestra es la totalidad de personas, a saber 56 personas, las técnicas

que se utilizan son las siguientes: encuestas, análisis documentario y


29

auditorías. Como conclusión la hipótesis general muestra que el sistema

de gestión de seguridad de la información ISO 27001:2013 permite

salvaguardar la información de diversas amenazas mediante el

cumplimiento de los objetivos de seguridad y el no contar con multas o

penalidades por perdida de la información en los procesos de tecnología

de la información (TI).

Poner en guiones

Seclén Arana, Javier Alfonso - 2016. Factores que afectan la

implementación del sistema de gestión de seguridad de la

información en las entidades públicas peruanas de acuerdo a la NTP-

ISO/IEC 27001. UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS.

Identifica las causas que restringen la implementación del sistema

gestión de seguridad de la información SGSI en las entidades públicas.

Realiza una investigación de tipo cualitativa que permite utilizar una

estrategia de recopilación de información de una manera organizada y

estructurada, a través de la realización de entrevistas, para identificar las

restricciones y facilidades que se encuentran en las entidades públicas y

que permitan obtener información de apoyo a la mejora en la

implementación de las políticas de seguridad de información de las

entidades integrantes del Sistema Nacional de Informática.


30

Realiza siete entrevistas a oficiales de seguridad de la información,

encargados de la implementación del SGSI en sus respectivas

instituciones públicas, de acuerdo a la NTP-ISO/IEC 27001.

Finalmente, establece las conclusiones y recomendaciones que

permitan encontrar un punto de equilibrio entre el alineamiento del

sistema con la estrategia de negocio de la organización y el control de

riesgos de seguridad de la información, que faciliten la evaluación del

nivel de complejidad de los factores que no permiten el desarrollo de la

implementación total de la NTP-ISO/IEC 27001 y cómo estos terminan

afectando a la gestión de los procesos de negocio de las organizaciones.

Considerar 7 antecedentes

2.2. Bases Teóricas

En esta parte del trabajo se busca analizar y exponer teorías para organizar y

ser un apoyo inicial para el objeto de estudio para este caso tendremos como

referente teórico los conceptos de sistemas, sistemas de información, php y

base de datos.

2.2.1. RUP
31

En el proyecto de investigación titulado “APLICACIÓN DE UN

SISTEMA BASADO EN LA METODOLOGÍA RUP PARA LA

AUTOMATIZACIÓN DE CIFRADO DEL FLUJO DE INFORMACIÓN EN

LA UNTELS” (2018), menciona resumidamente los fundamentos de la

metodología RUP.

El Proceso Unificado Racional (Rational Unified Process, por sus

siglas RUP) es un proceso de desarrollo de software y junto con el

Lenguaje Unificado de Modelado (Unified Modeling Language, por sus

siglas UML), compone el estándar metodológico más empleado para el

análisis, implementación y documentación de sistemas orientados a

objetos.

El RUP no se define como un sistema con instrucciones claramente

establecidas, sino un grupo de adaptables metodologías a la realidad y

requerimientos de una organización, ya sea esta, formal o informal.

También es conocido mediante este nombre al software desarrollado

por Rational, hoy propiedad de IBM, el cual incluye información

entrelazada de diversos componentes y descripciones de las distintas

actividades. Está dentro en el Rational Method Composer (RMC), que

facilita la personalización en favor de las necesidades requeridas.


32

Principalmente se diseñó un proceso genérico y de dominio

público, el Proceso Unificado, y una especificación más detallada, el

Rational Unified Process, que se vendiera como producto independiente.

a) Historia de la metodología RUP.

La Figura 6 ilustra la historia de RUP. El antecedente más importante

se ubica en 1967 con la Metodología Ericsson (Ericsson Approach)

elaborada por Ivar Jacobson, una aproximación de desarrollo basada en

componentes, que introdujo el concepto de Caso de Uso. Entre los años

de 1987 a 1995 Jacobson fundó la compañía Objectory AB y lanza el

proceso de desarrollo Objectory (abreviación de Object Factory).

Figura 6
Historia de RUP

Fuente: Propia

Posteriormente en 1995 Rational Software Corporation adquiere

Objectory AB y entre 1995 y 1997 se desarrolla Rational Objectory


33

Process (ROP) a partir de Objectory 3.8 y del Enfoque Rational (Rational

Approach) adoptando UML como lenguaje de modelado.

Desde ese entonces y a la dirección de Grady Booch, Ivar Jacobson y

James Rumbaugh, Rational Software desarrolló e incorporó diversos

elementos para expandir ROP, destacándose especialmente el flujo de

trabajo conocido como modelado del negocio. En junio del 1998 se lanza

Rational Unified Process.

b) Características esenciales del RUP.

Los autores de RUP destacan que el proceso de software propuesto

por RUP tiene tres características esenciales: está dirigido por los Casos

de Uso, está centrado en la arquitectura, y es iterativo e incremental.

Proceso dirigido por Casos de Uso.- Los Casos de Uso son una técnica

de captura de requisitos que fuerza a pensar en términos de importancia

para el usuario y no sólo en términos de funciones que sería bueno

contemplar. Se define un Caso de Uso como un fragmento de

funcionalidad del sistema que proporciona al usuario un valor añadido.

Los Casos de Uso representan los requisitos funcionales del sistema.


34

En RUP los Casos de Uso no son sólo una herramienta para

especificar los requisitos del sistema. También guían su diseño,

implementación y prueba. Los Casos de Uso constituyen un

elemento integrador y una guía del trabajo como se muestra en la Figura

7.

Lo que no veo es que no esta rewferenciado(APA) el texto, ojo, eso es

plagio

Figura 7
Los casos de uso que integran el trabajo

Fuente: Propia

Los Casos de Uso no sólo inician el proceso de desarrollo sino que

proporcionan un hilo conductor, permitiendo establecer trazabilidad

entre los artefactos que son generados en las diferentes actividades del

proceso de desarrollo.

Como se muestra en la Figura 8, basándose en los Casos de Uso se

crean los modelos de análisis y diseño, luego la implementación que los

lleva a cabo, y se verifica que efectivamente el producto implemente


35

adecuadamente cada Caso de Uso. Todos los modelos deben estar

sincronizados con el modelo de Casos de Uso.

Figura 8
Flujo a partir de los Casos de Uso

Fuente: Propia.

Proceso centrado en la arquitectura.- La arquitectura de un sistema es

la organización o estructura de sus partes más relevantes, lo que

permite tener una visión común entre todos los involucrados

(desarrolladores y usuarios) y una perspectiva clara del sistema

completo, necesaria para controlar el desarrollo.

La arquitectura involucra los aspectos estáticos y dinámicos más

significativos del sistema, está relacionada con la toma de decisiones que


36

indican cómo tiene que ser construido el sistema y ayuda a determinar en

qué orden.

Además la definición de la arquitectura debe tomar en consideración

elementos de calidad del sistema, rendimiento, reutilización y capacidad

de evolución por lo que debe ser flexible durante todo el proceso de

desarrollo.

La arquitectura se ve influenciada por la plataforma software, sistema

operativo, gestor de bases de datos, protocolos, consideraciones de

desarrollo como sistemas heredados. Muchas de estas restricciones

constituyen requisitos no funcionales del sistema.

En el caso de RUP además de utilizar los Casos de Uso para guiar el

proceso se presta especial atención al establecimiento temprano de una

buena arquitectura que no se vea fuertemente impactada ante cambios

posteriores durante la construcción y el mantenimiento.

Cada producto (documento, modelo, elemento del modelo) tiene tanto

una función como una forma. La función corresponde a la

funcionalidad reflejada en los Casos de Uso y la forma la proporciona la

arquitectura. Existe una interacción entre los Casos de Uso y la

arquitectura, los Casos de Uso deben encajar en la arquitectura cuando


37

se llevan a cabo y la arquitectura debe permitir el desarrollo de todos los

Casos de Uso requeridos, actualmente y en el futuro.

Esto provoca que tanto arquitectura como Casos de Uso deban

evolucionar en paralelo durante todo el proceso de desarrollo de software.

En la Figura 9 se ilustra la evolución de la arquitectura durante las

fases de RUP. Esta arquitectura, es una implementación parcial del

sistema, construida para demostrar algunas funciones y propiedades.

RUP establece refinamientos sucesivos de una arquitectura ejecutable,

construida como un prototipo evolutivo.

Figura 9
Evolución de la arquitectura del sistema.

Fuente: Propia.

Proceso iterativo e incremental.- El equilibrio correcto entre los Casos

de Uso y la arquitectura es algo muy parecido al equilibrio de la forma y la

función en el desarrollo del producto, lo cual se consigue con el tiempo.


38

Para esto, la estrategia que se propone en RUP es tener un proceso

iterativo e incremental en donde el trabajo se divide en partes más

pequeñas o mini proyectos. Permitiendo que el equilibrio entre Casos de

Uso y arquitectura se vaya logrando durante cada mini proyecto, así

durante todo el proceso de desarrollo.

Cada mini proyecto se puede ver como una iteración (un recorrido más

o menos completo a lo largo de todos los flujos de trabajo fundamentales)

del cual se obtiene un incremento que produce un crecimiento en el

producto.

Una iteración puede realizarse por medio de una cascada de etapas

como se muestra en la Figura 10. Se pasa por los flujos fundamentales

(Requisitos, Análisis, Diseño, Implementación y Pruebas), también existe

una planificación de la iteración, un análisis de la iteración y algunas

actividades específicas de la iteración. Al finalizar se realiza una

integración de los resultados con lo obtenido de las iteraciones anteriores.

Esto en otra hoja

Figura 10
Una iteración RUP
39

Fuente: Propia.

El proceso iterativo e incremental consta de una secuencia de

iteraciones. Cada iteración aborda una parte de la funcionalidad total,

pasando por todos los flujos de trabajo relevantes y refinando la

arquitectura. Cada iteración se analiza cuando termina. Se puede

determinar si han aparecido nuevos requisitos o han cambiado los

existentes, afectando a las iteraciones siguientes. Durante la planificación

de los detalles de la siguiente iteración, el equipo también examina cómo

afectarán los riesgos que aún quedan al trabajo en curso. Toda la

retroalimentación de la iteración pasada permite reajustar los objetivos

para las siguientes iteraciones. Se continúa con esta dinámica hasta que

se haya finalizado por completo con la versión actual del producto.

c) El RUP está basado en 3 principios clave, estos son:


40

- Adaptar el proceso.- El proceso deberá adaptarse a las

características propias del proyecto u organización. El tamaño del

mismo, así como su tipo o las regulaciones que lo condicionen, influirán

en su diseño específico. También se deberá tener en cuenta el alcance

del proyecto.

- Equilibrar prioridades.- Los requerimientos de los diversos

participantes pueden ser diferentes, contradictorios o disputarse

recursos limitados. Debe encontrarse un equilibrio que satisfaga los

deseos de todos. Gracias a este equilibrio se podrán corregir

desacuerdos que surjan en el futuro.

- Demostrar valor iterativamente.- Los proyectos se entregan, aunque

sea de un modo interno, en etapas iteradas. En cada iteración se

analiza la opinión de los inversores, la estabilidad y calidad del

producto, y se refina la dirección del proyecto así como también los

riesgos involucrados.

d) Ciclo de vida RUP

El ciclo de vida RUP es una implementación del Desarrollo en espiral.

Fue creado ensamblando los elementos en secuencias semi-

ordenadas. El ciclo de vida organiza las tareas en fases e iteraciones.


41

RUP divide el proceso en cuatro fases, dentro de las cuales se realizan

varias iteraciones en número variable según el proyecto y en las que se

hace un mayor o menor hincapié en las distintas actividades. En la

Figura 11 muestra cómo varía el esfuerzo asociado a las disciplinas

según la fase en la que se encuentre el proyecto RUP.

Figura 11
Ciclo de vida RUP

Fuente: Propia.

Las primeras iteraciones (en las fases de Inicio y Elaboración) se

enfocan hacia la comprensión del problema y la tecnología, la delimitación

del ámbito del proyecto, la eliminación de los riesgos críticos, y al


42

establecimiento de una primera aproximación o línea base de la

arquitectura.

Durante la fase de inicio las iteraciones hacen mayor énfasis en

actividades de modelado del negocio y de requerimientos.

En la fase de elaboración, las iteraciones se orientan al desarrollo de la

línea base de la arquitectura, abarcan más los flujos de trabajo de

requerimientos, modelo de negocios (refinamiento), análisis, diseño y una

parte de implementación orientado a la línea base de la arquitectura.

En la fase de construcción, se lleva a cabo la construcción del producto

por medio de una serie de iteraciones (implementación, pruebas y

muestra del sistema).

Para cada iteración se selecciona algunos Casos de Uso, se refina su

análisis y diseño y se procede a su implementación y pruebas. Se realiza

una pequeña cascada para cada ciclo. Se realizan tantas iteraciones

hasta que se termine la implementación deseada de la nueva versión del

producto.
43

En la fase de transición se pretende garantizar que se tiene un

producto preparado para su entrega a la comunidad de usuarios con el fin

de que la prueben.

Como se puede observar en cada fase participan todas las disciplinas,

pero que dependiendo de la fase el esfuerzo dedicado a una disciplina o

actividad varía.

e) Otras prácticas

RUP identifica 6 prácticas deseables con las que define una forma

efectiva de trabajar para los equipos de desarrollo de software.

- Gestión de requisitos.- RUP brinda una guía para encontrar,

organizar, documentar, y seguir los cambios de los requisitos

funcionales y restricciones. Utiliza una notación de Caso de Uso y

escenarios para representar los requisitos.

- Desarrollo de software iterativo.- Desarrollo del producto

mediante iteraciones con hitos bien definidos, en las cuales se repiten

las actividades pero con distinto énfasis, según la fase del proyecto.
44

- Desarrollo basado en componentes.- La creación de

sistemas intensivos en software requiere dividir el sistema en

componentes con interfaces bien definidas, que posteriormente serán

ensamblados para generar el sistema. Esta característica en un

proceso de desarrollo permite que el sistema se vaya creando a

medida que se obtienen o se desarrollan sus componentes.

- Modelado visual (usando UML).- UML es un lenguaje para visualizar,

especificar, construir y documentar los artefactos de un sistema

software. Es un estándar de la OMG (http://www.omg.org). Utilizar

herramientas de modelado visual facilita la gestión de dichos modelos,

permitiendo ocultar o exponer detalles cuando sea necesario. El

modelado visual también ayuda a mantener la consistencia entre los

artefactos del sistema: requisitos, diseños e implementaciones. En

resumen, el modelado visual ayuda a mejorar la capacidad del equipo

para gestionar la complejidad del software.

- Verificación continúa de la calidad.- Es importante que la calidad de

todos los artefactos se evalúe en varios puntos durante el proceso

de desarrollo, especialmente al final de cada iteración.

En esta verificación las pruebas juegan un papel fundamental y se

integran a lo largo de todo el proceso. Para todos los artefactos no


45

ejecutables las revisiones e inspecciones también deben ser

continuas.

- Gestión de los cambios.- Los cambios son un factor de riesgo crítico

en los proyectos de software. Los artefactos de software cambian no

sólo debido a acciones de mantenimiento posteriores a la entrega del

producto, sino que durante el proceso de desarrollo, especialmente

importantes por su posible impacto son los cambios en los requisitos.

Por otra parte, otro gran desafío que debe abordarse es la construcción

de software con la participación de múltiples desarrolladores,

posiblemente distribuidos geográficamente, trabajando a la vez en una

entrega y quizás en distintas plataformas.

Minomo una referencia bibliografica

La ausencia de una disciplina rápidamente conduciría al caos. La

Gestión de Cambios y de Configuración es la disciplina de RUP

encargada de este aspecto.

f) Estructura del proceso

El proceso puede ser descrito en dos dimensiones o ejes.


46

Eje horizontal.- Representa el tiempo y es considerado el eje de los

aspectos dinámicos del proceso. Indica las características del ciclo de

vida del proceso expresado en términos de fases, iteraciones e hitos. Se

puede observar en la Figura 12 que RUP consta de cuatro fases: Inicio,

Elaboración, Construcción y Transición. Como se mencionó anteriormente

cada fase se subdivide a la vez en iteraciones.

Eje vertical.- Representa los aspectos estáticos del proceso.

Describe el proceso en términos de componentes de proceso,

disciplinas, flujos de trabajo, actividades, artefactos y roles.

Los casos de uso integran el flujo o las actividades.

Otra hoja

Figura 12
Estructura de RUP
47

Fuente: Propia.

g) Estructura Dinámica del proceso. Fases e iteraciones

RUP se repite a lo largo de una serie de ciclos que constituyen la vida

de un producto. Cada ciclo concluye con una generación del producto

para los clientes. Cada ciclo consta de cuatro fases: Inicio,

Elaboración, Construcción y Transición. Cada fase se subdivide a la vez

en iteraciones, el número de iteraciones en cada fase es variable.

Figura 13
Ciclos, realeases, base line
48

Fuente: Propia.

Checar que los dibujos se vean

Cada fase se concluye con un hito (entregable) bien definido, un punto

en el tiempo en el cual se deben tomar ciertas decisiones críticas y

alcanzar las metas clave antes de pasar a la siguiente fase, ese hito

principal de cada fase se compone de hitos menores que podrían ser los

criterios aplicables a cada iteración. Los hitos para cada una de las fases

son: Inicio - Lifecycle Objectives, Elaboración - Lifecycle Architecture,

Construcción - Initial Operational Capability, Transición - Product Release.

Las fases y sus respectivos hitos se ilustran en la Figura 14.

Figura 14
Fases e Hitos en RUP

Fuente: Propia.
49

La duración y esfuerzo dedicado en cada fase es variable dependiendo

de las características del proyecto. Sin embargo, la Figura 15 ilustra

porcentajes frecuentes al respecto. Consecuente con el esfuerzo

señalado, la Figura 16 ilustra una distribución típica de recursos humanos

necesarios a lo largo del proyecto.

Figura 15.
Distribución típica de esfuerzo y tiempo.

Fuente: (ORINOCO, 2008)

Figura 16.
Distribución típica de recursos humanos.
50

Fuente: Propia

2.2.2. UML

Según los autores Xavier Ferré Grau y María Isabel Sánchez Segura,

en su trabajo de investigación titulado “Desarrollo Orientado a Objetos con

UML” (2011), menciona resumidamente que UML (Unified Modeling

Language) es un lenguaje que permite modelar, construir y documentar

los elementos que forman un sistema software orientado a objetos.

El UML se ha convertido en el estándar de facto de la industria,

debido a que ha sido concebido por los autores de los tres métodos más

usados de orientación a objetos: Grady Booch, Ivar Jacobson y Jim

Rumbaugh. Estos autores fueron contratados por la empresa Rational

Software Co. para crear una notación unificada en la que basar la

construcción de sus herramientas CASE. En el proceso de creación de

UML han participado, no obstante, otras empresas de gran peso en la


51

industria como Microsoft, Hewlett - Packard, Oracle o IBM, así como

grupos de analistas y desarrolladores.

Esta notación ha sido ampliamente aceptada debido al

prestigio de sus creadores y debido a que incorpora las principales

ventajas de cada uno de los métodos particulares en los que se basa:

Booch, OMT y OOSE.

UML ha puesto fin a las llamadas “guerras de métodos” que se han

mantenido a lo largo de los 90, en las que los principales métodos

sacaban nuevas versiones que incorporaban las técnicas de los demás.

Con UML se fusiona la notación de estas técnicas para formar una

herramienta compartida entre todos los ingenieros software que trabajan

en el desarrollo orientado a objetos.

Otra hoja

Figura 17
52

Historia del UML

Fuente: Propia

El objetivo principal cuando se empezó a gestar UML era posibilitar el

intercambio de modelos entre las distintas herramientas CASE orientadas

a objetos del mercado. Para ello era necesario definir una notación y

semántica común.

a) Diagrama de Estructura Estática

Con el nombre de Diagramas de Estructura Estática se engloba tanto

al Modelo Conceptual de la fase de Análisis como al Diagrama de

Clases de la fase de diseño. Ambos son distintos conceptualmente,

mientras el primero modela elementos del dominio el segundo presenta

los elementos de la solución software.


53

Sin embargo, ambos comparten la misma notación para los elementos

que los forman (clases y objetos) y las relaciones que existen entre los

mismos (asociaciones).

Figura 18
Ejemplo de Diagrama de Clases

Fuente: Propia.

b) Diagrama de caso de uso

Un Diagrama de Casos de Uso muestra la relación entre los actores y

los casos de uso del sistema. Representa la funcionalidad que ofrece el

sistema en lo que se refiere a su interacción externa.


54

Elementos.- Los elementos que pueden aparecer en un Diagrama de

Casos de Uso son: actores, casos de uso y relaciones entre casos de uso.

Actores.- Un actor es una entidad externa al sistema que realiza

algún tipo de interacción con el mismo. Se representa mediante una figura

humana dibujada con palotes. Esta representación sirve tanto para

actores que son personas como para otro tipo de actores (otros sistemas,

sensores, etc.).

Casos de uso.- Un caso de uso es una descripción de la secuencia

de interacciones que se producen entre un actor y el sistema, cuando el

actor usa el sistema para llevar a cabo una tarea específica. Expresa una

unidad coherente de funcionalidad, y se representa en el Diagrama de

Casos de Uso mediante una elipse con el nombre del caso de uso en su

interior.

El nombre del caso de uso debe reflejar la tarea específica que el actor

desea llevar a cabo usando el sistema.

Relaciones entre Casos de Uso.- Entre dos casos de uso puede

haber las siguientes relaciones:


55

- Extiende: Cuando un caso de uso especializa a otro extendiendo

su funcionalidad.

- Usa: Cuando un caso de uso utiliza a otro.

Se representan como una línea que une a los dos casos de uso

relacionados, con una flecha en forma de triángulo y con una etiqueta

<<extiende>> o <<usa>> según sea el tipo de relación.

En el diagrama de casos de uso se representa también el sistema

como una caja rectangular con el nombre en su interior. Los casos

de uso están en el interior de la caja del sistema, y los actores fuera, y

cada actor está unido a los casos de uso en los que participa mediante

una línea. En la Figura 19 se muestra un ejemplo de Diagrama de Casos

de Uso para un cajero automático.

Figura 19
Diagrama de Casos de Uso
56

Fuente: Propia.

c) Diagrama de secuencia

Un diagrama de Secuencia muestra una interacción ordenada según la

secuencia temporal de eventos.

En particular, muestra los objetos participantes en la

interacción y los mensajes que intercambian ordenados según su

secuencia en el tiempo.

El eje vertical representa el tiempo, y en el eje horizontal se colocan los

objetos y actores participantes en la interacción, sin un orden prefijado.

Cada objeto o actor tiene una línea vertical, y los mensajes se


57

representan mediante flechas entre los distintos objetos. El tiempo fluye

de arriba abajo.

Se pueden colocar etiquetas (como restricciones de tiempo,

descripciones de acciones, etc.) bien en el margen izquierdo o bien junto

a las transiciones o activaciones a las que se refieren.

Figura 20
Diagrama de Secuencia

Fuente: Propia.
58

d) Diagrama de actividades

El diagrama de actividades sirve para representar el sistema desde otra

perspectiva, y de este modo complementa a los anteriores diagramas

vistos. Gráficamente un diagrama de actividades será un conjunto de

arcos y nodos.

Desde un punto de vista conceptual, el diagrama de

actividades muestra cómo fluye el control de unas clases a otras con la

finalidad de culminar con un flujo de control total que se corresponde con

la consecución de un proceso más complejo.

Por este motivo, en un diagrama de actividades aparecerán acciones y

actividades correspondientes a distintas clases. Colaborando todas ellas

para conseguir un mismo fin.

Ejemplo: Abrir Caja Chica.

Figura 21
59

Diagrama de Actividades

Fuente: Propia.

e) Diagrama de Componentes

Los componentes pertenecen al mundo físico, es decir, representa un

bloque de construcción al modelar aspectos físicos de un sistema.

Cada componente debe tener un nombre que lo distinga de los demás.

Al igual que las clases los componentes pueden enriquecerse con

compartimientos adicionales que muestran sus detalles.

2.2.3. PHP
60

PHP es definida por los autores Cobo Ángel, Gómez Patricia, Pérez

Daniel y Rocha Roció. (2005, Pág. 99), en su libro titulado PHP y MySql

Tecnologías para el desarrollo de aplicaciones web, como un lenguaje

interpretado del lado del servidor que se caracteriza por su potencia,

versatilidad, robustez y modularidad. Los programas escritos en PHP son

embebidos directamente en el código HTML y ejecutados por el servidor

web a través de un intérprete antes de transferir al cliente que lo ha

solicitado un resultado en forma de código HTML puro.

Al ser un lenguaje que sigue las corrientes open source, tanto el

intérprete como su código fuente son totalmente accesibles de forma

gratuita en la red.

En concreto, la dirección oficial en la que puede descargarse es:

http://www.php.net/ por su flexibilidad, PHP resulta un lenguaje muy

sencillo de aprender; especialmente para programadores familiarizados

con lenguajes como C, Perl o Java, debido a las similitudes de sintaxis

entre ellos.

Por supuesto, es un lenguaje multiplataforma; los programas

funcionales igual sobre diferentes plataformas, trabajando sobre la

mayoría de servidores web y estando preparado para interactuar con más

de 20 tipos de bases de datos.


61

En comparación con otro tipo de tecnologías similares, PHP resulta

más rápido, independiente de la plataforma y más sencillo de aprender y

utilizar.

Inicialmente diseñado para realizar poco más de contadores y libros de

visita de páginas, en la actualidad PHP permite realizar una multitud de

tareas útiles para el desarrollo web. Por ejemplo, dispone, entre otras, de:

- Funciones de administración y gestión de base de datos

específicos para la mayoría de gestores comerciales y funciones para

conexiones ODBC con base de datos en sistemas Microsoft.

- Funciones de generación y lectura de cookies.

- Funciones de gestión de direcciones y ficheros, incluso para la

transferencia mediante FTP.

- Funciones de tratamiento de imágenes y librerías de funciones

gráficas.

- Funciones de correo electrónico que pueden ser utilizadas para

programar completos sistemas de correos electrónicos vía web.

- Funciones para la generación de documentos PDF.

A la innumerable cantidad de funciones predefinidas en PHP deben

añadirse, por supuesto, todas aquellas funciones propias de cada


62

programador, y que pueden ser reutilizadas e intercambiadas a través de

foros específicos con otros programadores.

2.2.4. HTML

Según los autores Cobo Ángel, Gómez Patricia, Pérez Daniel y Rocha

Roció. (2005, pág. 57), en su libro titulado PHP y MySql Tecnologías para

el desarrollo de aplicaciones web, definen HTML como un lenguaje de

descripción de hipertexto compuesto por una serie de comandos,

marcas, o etiquetas, también denominadas “Tags” que permiten definir

la estructura lógica de un documento web y establecer los atributos del

mismo (Color del texto, contenidos multimedia, hipervínculos, etc.).

En resumen, es un lenguaje que permite crear páginas web y para ello

utiliza unos comandos o etiquetas que indican o marcan que se debe

mostrar y de qué forma.

Los comandos siempre van incluidos entre los signos < > e insertadas

en el propio texto que compone el contenido de la página.

Especificar su estructura (Las distintas partes de la página) y formato.

Además, permiten la inserción de contenidos especiales como imágenes,

videos, sonidos, etc.


63

2.2.5. MySQL

MySQL es un sistema gestor de bases de datos. Pero la virtud

fundamental y la clave de su éxito es que se trata de un sistema de libre

distribución y de código abierto.

Lo primero significa que se puede descargar libremente de Internet (por

ejemplo de la dirección (www.mysql.com); lo segundo (código abierto)

significa que cualquier programador puede remodelar el código de la

aplicación para mejorarlo.

Esa es también la base del funcionamiento del sistema Linux, por eso

MySQL se distribuye fundamentalmente para Linux, aunque también hay

versiones para Windows.

Existen cuatro versiones de MySQL:

- Estándar. Incluye el motor estándar y la posibilidad de usar bases de

datos InnoDB. Todo el potencial de MySQL, pero sin soporte completo

para utilizar transacciones.

- Max. Para usuarios que quieran MySQL con herramientas de prueba

para realizar opciones avanzadas de base de datos.

- Pro. Versión comercial del MySQL estándar.


64

- Classic. Igual que la estándar pero no dispone de soporte para

InnoDB.

El uso de MySQL (excepto en la versión Pro) está sujeto a licencia

GNU public license (llamada GPL). Está licencia admite el uso de MySQL

para crear cualquier tipo de aplicación. Se pueden distribuir copias de los

archivos de MySQL, salvo esas copias se cobren a un tercer usuario. Se

prohíbe cobrar por incluir MySQL. Se puede modificar el código fuente de

MySQL, pero si se distribuye la aplicación con el código modificado, habrá

que obtener una copia comercial y consultar sobre el cobro de la licencia.

Al distribuir copias, se tiene que poder obtener información sobre las

licencias GNU (más información en

http://dev.mysql.com/doc/mysql/en/GPL_license.html.

Se puede también obtener una licencia comercial que permitiría cobrar

las instalaciones MySQL, incluir la base de datos en ordenadores y cobrar

por ello, y otras situaciones no reflejadas en la licencia GNU.


65

2.2.6. ISO 27001

a) Introducción

ISO 27001 es una norma internacional emitida por la Organización

Internacional de Normalización (ISO) y describe cómo gestionar la

seguridad de la información en una empresa. La revisión más reciente de

esta norma fue publicada en 2013 y ahora su nombre completo es

ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue

desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización,

con o sin fines de lucro, privada o pública, pequeña o grande. Está

redactada por los mejores especialistas del mundo en el tema y

proporciona una metodología para implementar la gestión de la seguridad

de la información en una organización. También permite que una empresa

sea certificada; esto significa que una entidad de certificación

independiente confirma que la seguridad de la información ha sido

implementada en esa organización en cumplimiento con la norma ISO

27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para

la seguridad de la información y muchas empresas han certificado su


66

cumplimiento; aquí se puede ver la cantidad de certificados en los últimos

años:

Fuente: Encuesta ISO sobre certificaciones de la norma para sistemas

de gestión

b) ¿Cómo funciona?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y

disponibilidad de la información en una empresa. Esto lo hace

investigando cuáles son los potenciales problemas que podrían afectar la

información (es decir, la evaluación de riesgos) y luego definiendo lo que

es necesario hacer para evitar que estos problemas se produzcan (es

decir, mitigación o tratamiento del riesgo).


67

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la

gestión de riesgos: investigar dónde están los riesgos y luego tratarlos

sistemáticamente.

Las medidas de seguridad (o controles) que se van a implementar se

presentan, por lo general, bajo la forma de políticas, procedimientos e

implementación técnica (por ejemplo, software y equipos). Sin embargo,

en la mayoría de los casos, las empresas ya tienen todo el hardware y

software pero utilizan de una forma no segura; por lo tanto, la mayor parte

de la implementación de ISO 27001 estará relacionada con determinar las

reglas organizacionales (por ejemplo, redacción de documentos)

necesarias para prevenir violaciones de la seguridad.

Como este tipo de implementación demandará la gestión de múltiples

políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado

cómo amalgamar todos estos elementos dentro del sistema de gestión de

seguridad de la información (SGSI).


68

Por eso, la gestión de la seguridad de la información no se acota

solamente a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.),

sino que también tiene que ver con la gestión de procesos, de los

recursos humanos, con la protección jurídica, la protección física, etc.

c) ¿Por qué es importante para una empresa?

Hay 4 ventajas comerciales esenciales que una empresa puede

obtener con la implementación de esta norma para la seguridad de la

información:

Cumplir con los requerimientos legales – cada vez hay más y más

leyes, normativas y requerimientos contractuales relacionados con la

seguridad de la información. La buena noticia es que la mayoría de ellos

se pueden resolver implementando ISO 27001 ya que esta norma le

proporciona una metodología perfecta para cumplir con todos ellos.

Obtener una ventaja comercial – si su empresa obtiene la

certificación y sus competidores no, es posible que usted obtenga una

ventaja sobre ellos ante los ojos de los clientes a los que les interesa

mantener en forma segura su información.


69

Menores costos – la filosofía principal de ISO 27001 es evitar que se

produzcan incidentes de seguridad, y cada incidente, ya sea grande o

pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar

mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es

mucho menor que el ahorro que obtendrá.

Una mejor organización – en general, las empresas de rápido

crecimiento no tienen tiempo para hacer una pausa y definir sus procesos

y procedimientos; como consecuencia, muchas veces los empleados no

saben qué hay que hacer, cuándo y quién debe hacerlo. La

implementación de ISO 27001 ayuda a resolver este tipo de situaciones

ya que alienta a las empresas a escribir sus principales procesos (incluso

los que no están relacionados con la seguridad), lo que les permite reducir

el tiempo perdido de sus empleados.

d) ¿Dónde interviene la gestión de seguridad de la información en una

empresa?

Básicamente, la seguridad de la información es parte de la gestión

global del riesgo en una empresa, hay aspectos que se superponen con la

ciberseguridad, con la gestión de la continuidad del negocio y con la

tecnología de la información:
70

e) ¿Cómo es realmente la ISO 27001?

ISO/IEC 27001 se divide en 11 secciones más el anexo A; las

secciones 0 a 3 son introductorias (y no son obligatorias para la

implementación), mientras que las secciones 4 a 10 son obligatorias, lo

que implica que una organización debe implementar todos sus

requerimientos si quiere cumplir con la norma. Los controles del Anexo A

deben implementarse sólo si se determina que corresponden en la

Declaración de aplicabilidad.

De acuerdo con el Anexo SL de las Directivas ISO/IEC de la

Organización Internacional para la Normalización, los títulos de las

secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la


71

nueva ISO 9001:2015 y en otras normas de gestión, lo que permite

integrar más fácilmente estas normas.

Sección 0 – Introducción – explica el objetivo de ISO 27001 y su

compatibilidad con otras normas de gestión.

Sección 1 – Alcance – explica que esta norma es aplicable a cualquier

tipo de organización.

Sección 2 – Referencias normativas – hace referencia a la norma

ISO/IEC 27000 como estándar en el que se proporcionan términos y

definiciones.

Sección 3 – Términos y definiciones – de nuevo, hace referencia a la

norma ISO/IEC 27000.

Sección 4 – Contexto de la organización – esta sección es parte de la

fase de Planificación del ciclo PDCA y define los requerimientos para

comprender cuestiones externas e internas, también define las partes

interesadas, sus requisitos y el alcance del SGSI.

Sección 5 – Liderazgo – esta sección es parte de la fase de

Planificación del ciclo PDCA y define las responsabilidades de la


72

dirección, el establecimiento de roles y responsabilidades y el contenido

de la política de alto nivel sobre seguridad de la información.

Sección 6 – Planificación – esta sección es parte de la fase de

Planificación del ciclo PDCA y define los requerimientos para la

evaluación de riesgos, el tratamiento de riesgos, la Declaración de

aplicabilidad, el plan de tratamiento de riesgos y la determinación de los

objetivos de seguridad de la información.

Sección 7 – Apoyo – esta sección es parte de la fase de Planificación

del ciclo PDCA y define los requerimientos sobre disponibilidad de

recursos, competencias, concienciación, comunicación y control de

documentos y registros.

Sección 8 – Funcionamiento – esta sección es parte de la fase de

Planificación del ciclo PDCA y define la implementación de la evaluación y

el tratamiento de riesgos, como también los controles y demás procesos

necesarios para cumplir los objetivos de seguridad de la información.

Sección 9 – Evaluación del desempeño – esta sección forma parte de

la fase de Revisión del ciclo PDCA y define los requerimientos para

monitoreo, medición, análisis, evaluación, auditoría interna y revisión por

parte de la dirección.
73

Sección 10 – Mejora – esta sección forma parte de la fase de Mejora

del ciclo PDCA y define los requerimientos para el tratamiento de no

conformidades, correcciones, medidas correctivas y mejora continua.

Anexo A – este anexo proporciona un catálogo de 114 controles

(medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a

A.18).

f) ¿Cómo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa, usted tiene

que seguir estos 16 pasos:

1) Obtener el apoyo de la dirección

2) Utilizar una metodología para gestión de proyectos

3) Definir el alcance del SGSI

4) Redactar una política de alto nivel sobre seguridad de la información

5) Definir la metodología de evaluación de riesgos

6) Realizar la evaluación y el tratamiento de riesgos

7) Redactar la Declaración de aplicabilidad

8) Redactar el Plan de tratamiento de riesgos


74

9) Definir la forma de medir la efectividad de sus controles y de su

SGSI

10) Implementar todos los controles y procedimientos necesarios

11) Implementar programas de capacitación y concienciación

12) Realizar todas las operaciones diarias establecidas en la

documentación de su SGSI

13) Monitorear y medir su SGSI

14) Realizar la auditoría interna

15) Realizar la revisión por parte de la dirección

16) Implementar medidas correctivas

g) Documentación obligatoria

ISO 27001 requiere que se confeccione la siguiente documentación:


75

- Alcance del SGSI (punto 4.3)

- Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)

- Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)

- Declaración de aplicabilidad (punto 6.1.3 d)

- Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)

- Informe de evaluación de riesgos (punto 8.2)

- Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y

A.13.2.4)

- Inventario de activos (punto A.8.1.1)

- Uso aceptable de los activos (punto A.8.1.3)

- Política de control de acceso (punto A.9.1.1)

- Procedimientos operativos para gestión de TI (punto A.12.1.1)

- Principios de ingeniería para sistema seguro (punto A.14.2.5)

- Política de seguridad para proveedores (punto A.15.1.1)

- Procedimiento para gestión de incidentes (punto A.16.1.5)

- Procedimientos para continuidad del negocio (punto A.17.1.2)

- Requisitos legales, normativos y contractuales (punto A.18.1.1)

- Y estos son los registros obligatorios:


76

- Registros de capacitación, habilidades, experiencia y calificaciones

(punto 7.2)

- Monitoreo y resultados de medición (punto 9.1)

- Programa de auditoría interna (punto 9.2)

- Resultados de auditorías internas (punto 9.2)

- Resultados de la revisión por parte de la dirección (punto 9.3)

- Resultados de medidas correctivas (punto 10.1)

- Registros sobre actividades de los usuarios, excepciones y eventos de

seguridad (puntos A.12.4.1 y A.12.4.3)

Por supuesto que una empresa puede decidir confeccionar otros

documentos de seguridad adicionales si lo considera necesario.

g) ¿Cómo obtener la certificación?

Existen dos tipos de certificados ISO 27001: (a) para las

organizaciones y (b) para las personas. Las organizaciones pueden

obtener la certificación para demostrar que cumplen con todos los puntos

obligatorios de la norma; las personas pueden hacer el curso y aprobar el

examen para obtener el certificado.


77

Para obtener la certificación como organización, se debe implementar

la norma tal como se explicó en las secciones anteriores y luego se debe

aprobar la auditoría que realiza la entidad de certificación. La auditoría de

certificación se realiza siguiendo estos pasos:

- 1° paso de la auditoría (revisión de documentación): los auditores

revisarán toda la documentación.

- 2° paso de la auditoría (auditoría principal): los auditores realizarán la

auditoría in situ para comprobar si todas las actividades de una

empresa cumplen con ISO 27001 y con la documentación del SGSI.

- Visitas de supervisión: después de que se emitió el certificado, y

durante su vigencia de 3 años, los auditores verificarán si la empresa

mantiene su SGSI.

Las personas pueden asistir a diversos cursos para obtener

certificados. Los más populares son:


78

- Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará

cómo realizar auditorías de certificación y está orientado a auditores y

consultores.

- Curso de Implementador Principal de ISO 27001: este curso de 5 días

le enseñará cómo implementar la norma y está orientado a

profesionales y consultores en seguridad de la información.

- Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le

enseñará los conceptos básicos de la norma y cómo llevar a cabo una

auditoría interna; está orientado a principiantes en este tema y a

auditores internos.

h) Revisiones 2005 y 2013 de ISO 27001

Como se mencionó anteriormente, la norma ISO 27001 fue publicada

por primera vez en 2005 y luego fue revisada en 2013; por lo tanto, la

versión válida actual es la ISO/IEC 27001:2013.

Los cambios más importantes de la revisión 2013 están relacionados

con la estructura de la parte principal de la norma, las partes interesadas,

los objetivos, el monitoreo y la medición; asimismo, el Anexo A ha

disminuido la cantidad de controles (de 133 a 114) y ha incrementado la

cantidad de secciones (de 11 a 14). En la revisión 2013 se eliminaron


79

algunos requerimientos como las medidas preventivas y la necesidad de

documentar determinados procedimientos.

Sin embargo, todos estos cambios en realidad no modificaron mucho la

norma en su conjunto, su filosofía principal sigue centrándose en la

evaluación y tratamiento de riesgos y se mantienen las mismas fases del

ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA,

por sus siglas en inglés). Esta nueva revisión de la norma es más fácil de

leer y comprender y es mucho más sencilla de integrar con otras normas

de gestión como ISO 9001, ISO 22301, etc.

Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben

hacer la transición a la nueva revisión 2013 hasta septiembre de 2015 si

quieren mantener la validez de su certificación.

i) Otras normas relacionadas con seguridad de la información

ISO/IEC 27002 proporciona directrices para la implementación de los

controles indicados en ISO 27001. ISO 27001 especifica 114 controles

que pueden ser utilizados para disminuir los riesgos de seguridad, y la

norma ISO 27002 puede ser bastante útil ya que proporciona más

información sobre cómo implementar esos controles. A la ISO 27002


80

anteriormente se la conocía como ISO/IEC 17799 y surgió de la norma

británica BS 7799-1.

ISO/IEC 27004 proporciona directrices para la medición de la seguridad

de la información; se acopla bien con ISO 27001 ya que explica cómo

determinar si el SGSI ha alcanzado los objetivos.

ISO/IEC 27005 proporciona directrices para la gestión de riesgos de

seguridad de información. Es un muy buen complemento para ISO 27001

ya que brinda más información sobre cómo llevar a cabo la evaluación y el

tratamiento de riesgos, probablemente la etapa más difícil de la

implementación. ISO 27005 ha surgido de la norma británica BS 7799-3.

ISO 22301 define los requerimientos para los sistemas de gestión de

continuidad del negocio, se adapta muy bien con ISO 27001 porque el

punto A.17 de esta última requiere la implementación de la continuidad del

negocio aunque no proporciona demasiada información.

ISO 9001 define los requerimientos para los sistemas de gestión de

calidad. Aunque a primera vista la gestión de calidad y la gestión de

seguridad de la información no tienen mucho en común, lo cierto es que

aproximadamente el 25% de los requisitos de ISO 27001 y de ISO 9001

son los mismos: control de documentos, auditoría interna , revisión por


81

parte de la dirección, medidas correctivas, definición de objetivos y

gestión de competencias. Esto quiere decir que si una empresa ha

implementado ISO 9001 le resultará mucho más sencillo implementar ISO

27001.

2.3. Marco Conceptual

2.3.1. Generalidades

El marco conceptual está compuesto de referencias a sucesos y

situaciones pertinentes a resultados de investigación incluye por lo tanto un

marco de antecedentes, definiciones, supuestos, etc.

El marco conceptual es un conjunto de definiciones, teorías, conceptos

sobre los temas que estructuran el desarrollo de la investigación y que sirven

para interpretar los resultados que se obtengan del trabajo realizado en campo.

Es cardinal subrayar que el marco conceptual no debe convertirse en un retazo

delo que dice una u otra persona que habla sobre el tema, todo aquello que se

utiliza en el marco conceptual, deberá conceptualizarse y señalar por qué es

importante en la investigación retomar esto.

2.3.2. Definición de conceptos

Poner en guionoes
82

2.3.2.1. Seguridad – Permite asegurarse que los recursos del

sistema se utilizan de la manera en la que se espera y que quienes

puedan acceder a la información que en él se encuentran sean las

personas acreditadas para hacerlo

2.3.2.2. Información – Es un conjunto organizado de datos

procesados, que constituyen un mensaje que cambia el estado de

conocimiento del sujeto o sistema que recibe dicho mensaje.

2.3.2.3. Criptografía – es la ciencia y arte de escribir mensajes en

forma cifrada o en código. Es parte de un campo de estudios que

trata las comunicaciones secretas, usadas, entre otras finalidades,

para:

- Autentificar la identidad de usuarios

- Autentificar y proteger el sigilo de comunicaciones personales y

de transacciones comerciales y bancarias

- Proteger la integridad de transferencias electrónicas de fondos

2.3.2.4. IBM – es una empresa multinacional estadounidense de

tecnología y consultoría con sede en Armonk, Nueva York. IBM

fabrica y comercializa hardware y software para computadoras, y

ofrece servicios de infraestructura, alojamiento de Internet, y


83

consultoría en una amplia gama de áreas relacionadas con la

informática, desde computadoras centrales hasta nanotecnología

2.3.2.5. RMC (Rational Method Composer) – Es la herramienta de

autoría de método de última generación de IBM Rational para la

autoría, gestión y publicación en web de la guía del método.

2.3.2.6. Proceso – Es la sucesión de actos o acciones realizados

con cierto orden, que se dirigen a un punto o finalidad, así como

también al conjunto de fenómenos activos y organizados en el

tiempo.

2.3.2.7. Proyecto – Es una intervención deliberada y planificada por

parte de una persona o ente que desea generar cambios favorables

en una situación determinada.

2.3.2.8. Calidad – Es aquella cualidad de las cosas que son de

excelente creación, fabricación o procedencia.

2.3.2.9. Arquitectura – Es el diseño conceptual y la estructura

operacional fundamental de un sistema. Es decir, es un modelo y

una descripción funcional de los requerimientos y las

implementaciones de diseño para varias partes de una


84

computadora, con especial interés en la forma en que la unidad

central de proceso (CPU) trabaja internamente y accede a las

direcciones de memoria.

2.3.2.10. Iterativo – Es la propiedad de repetirse o reiterarse.

2.3.2.11. Incremental – Se considera incremental cuando se crea un

valor sobre un producto que ya existe, añadiéndole nuevas

mejoras.

2.3.2.12. Casos de Uso – Es una descripción de los pasos o las

actividades que deberán realizarse para llevar a cabo algún

proceso.

2.3.2.13. Requisitos – Es

2.3.2.14. Análisis y Diseño – Es es un enfoque de la ingeniería de

software que modela un sistema como un grupo de elementos que

interactúan entre sí.

2.3.2.15. Implementación – Permite expresar la acción de poner en

práctica, medidas y métodos, entre otros, para concretar alguna

actividad, plan, o misión.


85

2.3.2.16. Pruebas – Es

2.3.2.17. Validar Casos de Uso – Es

2.3.2.18. Traza (en casos de uso) – Es

2.3.2.19. Proceso centrado en la arquitectura – Es

2.3.2.20. Aspectos estáticos y dinámicos (dentro de la

arquitectura) – Es

2.3.2.21. Calidad del Sistema – Es

2.3.2.22. Rendimiento – Es

2.3.2.23. Reutilización – Es

2.3.2.24. Capacidad de Evolución (Escalabilidad) – Es

2.3.2.25. Plataforma Software – Es

En guioes y en orden alfabetico


86

2.3.2.26. Sistema Operativo – Es conjunto de órdenes y programas

que controlan los procesos básicos de una computadora y permiten

el funcionamiento de otros programas.

2.3.2.27. Gestor de base de datos – Es un sistema de software que

permite la definición de bases de datos; así como la elección de las

estructuras de datos necesarios para el almacenamiento y

búsqueda de los datos, ya sea de forma interactiva o a través de un

lenguaje de programación.

2.3.2.28. Protocolos – Es un conjunto de reglas usadas por

computadoras para comunicarse unas con otras a través de una

red. Un protocolo es una convención o estándar que controla o

permite la conexión, comunicación, y transferencia de datos entre

dos puntos finales.

2.3.2.29. Sistemas heredados – Es un sistema informático (equipos

informáticos o aplicaciones) que ha quedado anticuado pero que

sigue siendo utilizado por el usuario (generalmente, una

organización o empresa) y no se quiere o no se puede reemplazar

o actualizar de forma sencilla.


87

2.3.2.30. Requerimientos funcionales – Son declaraciones de los

servicios que proveerá el sistema, de la manera en que éste

reaccionará a entradas particulares. En algunos casos, los

requerimientos funcionales de los sistemas también declaran

explícitamente lo que el sistema no debe hacer.

2.3.2.31. Requerimientos no funcionales – Son los que especifican

criterios para evaluar la operación de un servicio de tecnología de

información, en contraste con los requerimientos funcionales que

especifican los comportamientos específicos.

2.3.2.32. Flujo de trabajo – Consiste en el estudio de aspectos

operacionales de una actividad de trabajo, esto es, cómo se

realizan y estructuran las tareas, cuál es su orden correlativo, cómo

se sincronizan, cómo fluye la información y cómo se hace su

seguimiento.

2.3.2.33. Estabilidad del producto – Es

2.3.2.34. Riesgos – Es

2.3.2.35. Gestión del proyecto – Es


88

2.3.2.36. Entorno – Es

2.3.2.37. Desarrollo iterativo – Es

2.3.2.38. Orientación a objetos – Es

2.3.2.39. FTP – Es

2.3.2.40. Conexión ODBC – Es

2.3.2.41. Funciones reutilizables – Es

2.3.2.42. Html – Es

2.3.2.43. Gestor de base de datos – Es

2.3.2.44. Código abierto – Es

2.3.2.45. Programador – Es

2.3.2.46. Licencia GNU public license (llamada GLP) – Es

2.3.2.47. ISO – Es
89

2.3.2.48. SGSI – Es

2.3.2.49. Ciberseguridad – Es el conjunto de herramientas, políticas,

conceptos de seguridad, salvaguardas de seguridad, directrices,

métodos de gestión de riesgos, acciones, formación, prácticas

idóneas, seguros y tecnologías que pueden utilizarse para proteger

los activos de la organización y los usuarios en el ciberentorno.

2.3.2.50. Criptografía – Es

2.3.2.51. Encriptar – Es

2.3.2.52. Desencriptar – Es

2.3.2.53. Negocio (según rup) – Es

CAPÍTULO III: DESARROLLO DE LA METODOLOGÍA

3.1. Fase de Concepción

3.1.1. Definición del Alcance del Proyecto


90

3.1.2. Definición de los Casos de Uso del Proyecto

3.2. Fase de Elaboración

3.2.1. Planificación del Proyecto

3.2.2. Especificación de las Características

3.2.3. Definición de los Cimientos de la Arquitectura

3.3. Fase de Construcción

3.3.1. Análisis de componentes

3.3.2. Análisis de despliegue

3.4. Fase de transición

3.4.1. Implementación del Sistema

3.4.2. Prueba del Sistema


91

3.4.3. Despliegue del Sistema

CONCLUSIONES

RECOMENDACIONES

REFERENCIAS BIBLIOGRAFICAS

ANEXOS