Reingenieria

CONFIABILIDAD
Y GARANTA DE SERVICIOS
Anexo C.1
CONFIABILIDAD Y
G A RAN T A D E S E R V I C I O S
1.1
INTRODUCCIN
Como ya es conocido, las empresas son cada vez ms dependientes de su tecnologa de

procesamiento de informacin, para lo cual los gestores deben estar en capacidad de
brindar confiabilidad y garanta en los servicios que brinda. Para poder tener
confiabilidad hay que manejar los conceptos de disponibilidad y redundancia, sin
embargo los costos tienen que ser muy considerados en la medida se requieran un
mayor nivel de seguridad de operacin.
Aun cuando lo anterior es muy importante, de nada sirve si no se implementan medidas
de seguridad en el amplio abanico que conlleva el concepto, como lo es en primer lugar
la de crear polticas de seguridad y un plan para la implementacin de un sistema de
gestin de seguridad informtica, que no requiere implementar una herramienta, sino
gestionar todos los conceptos.
Pero para poder tomar acciones, hay que determinar los riesgos existentes, priorizarlos
y mitigar aquellos que exponen a la empresa a detener su operacin, mediante
proteccin fsica y lgica, protegiendo la informacin de sus usuarios, que dependiendo
de su criticidad lo puede realizar con herramientas de inscripcin, herramientas de
control de contenido y antivirus.
RE ING ENIER A, ES TRAT E GIA
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Adicional a las medidas indicadas se debe tener en cuenta una adecuada proteccin en
el permetro tanto interno as como externo, de su centro de procesamiento de
informacin, mediante la implantacin de firewall, deteccin de intrusos y otros
elementos necesarios.
El tema de seguridad de informacin, no debe ser considerado esttico, debe ser
evolutivo y dinmico, con las medidas que se tomen solo se minimizar el riesgo, pero
nunca se lo erradicar.
Para comprobar los conceptos, analizaremos un proyecto de seguridad implementado no
hace mucho tiempo en una institucin bancaria de la localidad.
1.2
SERVICIOS DE TIC CONFIABLES Y DE GARANTA
La tendencia actual de los servicios empresariales es utilizar el Internet como medio de

enlace entre las empresas y los clientes; as mismo garantizar su disponibilidad de los
mismos ininterrumpidamente o muy cercano a un sistema on line (Sistema On line, es
un sistema que est disponible las 24 horas los 7 das de la semana), esto se debe a la
globalizacin que prcticamente ha borrado fronteras y horarios, cada vez es ms
comn que los clientes deseen acceder a los servicios desde cualquier punto del
planeta.
Para poder cumplir con el nivel del servicio exigidos por los clientes, es necesario tener
toda una infraestructura confiable y segura, lo cual se debe interpretar como
redundancia de algunos aspectos: aplicaciones, seguridad, hardware y comunicaciones.
Otro aspecto a considerar son planes de contingencias y de continuidad de negocio, que
mitiguen en el menor tiempo alguna situacin no considerada; sin embargo previamente
se requiere una planificacin y un diseo acorde a las necesidades de la empresa,
dependiendo de la lnea de negocios. Todo lo anterior implica un incremento de gestin,
inversin y gastos costos operacionales.
Definitivamente los sistemas redundantes requieren mayor gestin porque son ms
complejos. El complemento es la definicin de polticas en rijan y prioricen todos los
aspectos operacionales del sistema.
Los gestores deben estar atentos permanentemente a amenazas mal intencionadas, y
en muchos ms casos por ignorancia de los usuarios, contra las infraestructuras. De
acuerdo a estadsticas mundiales son mucho ms frecuentes los problemas ocasionados
internamente en las empresas que aquellas que provienen del exterior.
REINGENIERA, ESTRATEGIA
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Es muy difcil cuantificar las prdidas econmicas y efectos derivados de estos ataques
que ocasionan paralizaciones no planificadas o esperadas.
1.2.1
DISPONIBILIDAD
En forma conceptual disponibilidad es todo aquello que est listo para utilizarse o
usarse, aplicado a TIC, es tener a disposicin de los usuarios la informacin disponible
para su uso, ello conlleva grandes esfuerzos en la infraestructura, accesos,
aplicaciones, etc.
En el mundo globalizado actual, no se conciben empresas con servicios limitados a
horarios, la cultura tecnolgica y las necesidades de los clientes estn forzando a las
empresas, ya sea de una o otra forma, a atender va electrnica implementando portales
o en Centros de atencin personalizada (Call Center) o Centros de soporte (help desk)
que atienden las 24 horas del da.
El grado de fiabilidad es una decisin que depende de numerosos factores, pero
principalmente relacionados con la cadena de valor de las empresas; el costo de
interrupcin de un servicio para una empresa no lo es para otra o el costo real de dinero
perdido no es equivalente al grado de confianza que se pierde por no tener disponible el
servicio. Hay ocasiones que los costos son difciles de estimar -cuantificar y sobre todo
cuando existen intangibles.
Pero cmo encontramos un balance adecuado para esta problemtica? La solucin se
basa principalmente en un concepto matemtico, las probabilidades.
La accesibilidad de las infraestructuras se las puede medir en trminos de la
disponibilidad de un servicio. Por lo general se negocian o se comprometen niveles de
servicio en porcentaje, pero hay que tener presente cual es el periodo a medir; no es lo
mismo indicar que un servicio est disponible un 99.5% en un periodo de un mes que el
mismo porcentaje diario, en el primer caso son 28 minutos 48 segundos y en el
segundo 5 minutos 12 segundos; tambin esta medida es dependiente del tipo de
negocio o criticidad del servicio a brindar, pero en todos los casos en la medida que un
sistema sea confiable ganar cada vez ms adeptos, el por esta razn que los gestores
d e t e c n o l o g a d e b e n d i r i g i r t o d o s s us e s f u e r z o s p a r a t e n e r s u s s i s t e m a s
permanentemente disponibles a sus usuarios, sobre todo si tienen servicios WEB.
Por lo general empresas que no han adoptado medidas para brindar confiabilidad de sus
servicios, tienen sus componentes en serie, es decir uno detrs de otro. En estos casos
el clculo de la disponibilidad es la multiplicacin de la probabilidad de falla de cada uno
de los componentes; si por ejemplo si solo para fines demostrativos cada uno de ellos
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
tiene una confiabilidad del 90% y est compuesto por 5 elementos, entonces la
confiabilidad final ser 0.95 y se reduce al 60%. Entonces hay que tener mucha
atencin en este concepto, ya que en la medida que agreguemos elementos a la cadena
se tiene un grado menor de fiabilidad.
Los equipos fsicos por lo general se los mide o tienen un rubro denominado tiempo
promedio entre fallas (MTBF), este es un porcentaje que por lo general tienen muchos
nueves, mientras mas nueves tengan ms confiables son, sin embargo esta
caracterstica implica costos, los proveedores incorporan elementos mucho ms seguros
dentro de sus equipos para poder garantizar que alcanzarn la media de falla, es decir no
tendrn fallas en determinado tiempo.
Sin embargo para gestores experimentados esta situacin es excesivamente riesgosa,
por lo que se tienen que incorporar elementos iguales en paralelo, este concepto se
llama redundancia.
1.2.2
REDUNDANCIA
La clave para obtener mayor fiabilidad es la redundancia, que no es otra cosa que tener
en forma repetida algunos o todos los elementos que componen determinado servicio
considerado vital para la operacin de las empresas.
En el mismo ejemplo anterior si en vez de tenerlos conectados en serie, los conectamos
en paralelo, entonces para que el servicio falle todos los equipos debern haber fallado;
entonces calculemos la confiabilidad, la probabilidad de falla ser igual a la
multiplicacin de la ocurrencia de cada uno de los elementos en este caso 0.15 estos es
0.00001 o lo que es lo mismo 99.999% es decir que a diferencia del caso de
componentes en serie, la confiabilidad aumenta.
Obviamente este nivel de confiabilidad tiene su costo adicional, porque en equipos
implica tener disponibles: doble fuente de poder, doble procesador, doble interfase de
red, backplane particionado, doble ventilacin, etc.
En almacenamiento de informacin tenemos espejamiento y RAID en varios niveles.
En software aplicacional, para darle disponibilidad hay caractersticas especiales que se
complementan que se deben implementar en combinacin con hardware, estas son
WEB FARM y Cluster.
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Sin embargo mientras mayor sea la redundancia mayor gestin que hay que realizar, ya
que implica administrar muchos ms equipos, sincronizar sus sistemas operativos,
administracin de aplicaciones, etc.
1.2.2.1 Redundancia N+ 1 y N + N
El criterio ms comn aplicado para mantener un nivel de redundancia adecuado en los
elementos crticos de los centros de procesamientos de informacin es el denominado N
+ 1, esto significa que por cada elemento calificado como crtico debe existir una
unidad en reserva.
Hay empresas que por su nivel de confiabilidad requieren aplicar un redundancia N + N,
esto significa que hay que tener duplicadas todas las componentes crticas que
funcionan en su operacin normal.
TIPOS DE REDUNDANCIA PARA CENTROS DE

PROCESAMIENTO
Tabla 1.1.
Nivel del centro

de
procesamiento
de informacin
Desde
Hasta
Tipo de
redundancia
utilizada
99%
99.9%
N+1
99.9%
99.99%
Combinan N+1
con N+N
99.99%
99.999%
99.999%
99.9999%
N+N
Tipos de redundancia para centros de procesamiento.
Mientras mayor es el nivel requerido por las empresas en su confiabilidad bastante

mayor es la inversin a realizar, es dependiente de las caractersticas o del compromiso
de servicios que brinda.
La suma de los dos conceptos, disponibilidad y redundancia, nos da confiabilidad a los
servicios que brindamos. Mientras mayor sea el nivel requerido mayores costos de
inversin y gestin se requieren, sin embargo esto debe ser complementado por una
infraestructura de seguridad de informacin confiable.
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
1.2.3
SEGURIDAD
El tema de seguridad es bastante amplio y nos podemos extender muchsimo en este

tema, sin embargo por definicin seguridad es la cualidad de estar seguro, siendo este
concepto el estar libre o exento de peligro, dao o riesgo; sin embargo aplicado a
tecnologa este trmino es muy difcil alcanzarlo o realizarlo; podemos minimizar el
riesgo pero no eliminarlo, ya que somos dependientes de muchsimos factores como
colaboradores, aplicaciones desarrolladas interna y externamente, infraestructura,
equipos, entorno fsico, entre las principales.
Sabemos que los Sistemas de Informacin son elementos de gestin cada vez ms
importantes, en la medida que la empresa incrementa su dependencia de ellos; estn
compuestos por los Recursos Informticos, considerados como soporte informtico y
los Activos de Informacin.
No debera confundirse la Seguridad Informtica con otras reas de la Seguridad, como
son las relativas a la seguridad de las personas o de los bienes. La Seguridad Informtica
se debe ocupar de aspectos fsicos, pero slo en lo relativo a zonas en las que haya
Recursos Informticos; de los accesos a estas zonas y de aspectos relativos a las
personas pero slo en lo relacionado con la proteccin de los Activos de Informacin y
sus accesos a ellos.
Teniendo en mente que la informacin es un activo, que tiene valor par las empresas y
en consecuencia requiere ser protegido adecuadamente. La seguridad de informacin
debe proteger la informacin en un rango amplio de amenazas para poder asegurar la
continuidad comercial, minimizar el dao empresarial y maximizar el retorno de las
inversiones.
La Seguridad Informtica permite compartir los Sistemas de Informacin de la empresa
entre sus empleados e incluso con terceros, pero garantizando su proteccin. La
Seguridad tiene tres aspectos bsicos que son esenciales para el crecimiento del
negocio, el cumplimiento de la legalidad vigente y la imagen de la propia empresa:
1. CONFIDENCIALIDAD: Protege los Activos de Informacin contra accesos o
divulgacin no autorizados.
2. INTEGRIDAD: Garantiza la exactitud de los Activos de Informacin contra
alteracin, prdida o destruccin, ya sea de forma accidental o fraudulenta.
3. DISPONIBILIDAD: Asegura que los Recursos Informticos y los Activos de
informacin pueden ser utilizados en la forma y tiempo requeridos. Bajo el
punto de vista de Seguridad, la disponibilidad se refiere a su posible
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
recuperacin en caso de desastre, y no al concepto de Nivel de Servicio

empleado en otras reas.
Una lista efectiva de objetivos para la gestin de seguridad informtica en empresas
debera incorporar algunos de los siguientes conceptos:
- Definir polticas y normas de Seguridad;
- Desarrollar procedimientos y mtodos de Seguridad;
- Divulgar la proteccin requerida e involucrando en ella a todos los empleados;
- Valorar los riesgos de la instalacin;
- Crear planes de implantacin de las medidas de proteccin;
- Instaurar controles e indicadores para el mantenimiento del adecuado nivel de
proteccin;
- Revisar peridicamente el cumplimiento de estos objetivos.
Ciertas tareas o reas de responsabilidad no deben ser realizadas por la misma persona,
a fin de reducir riesgos de alteracin no autorizada o mal uso de los Sistemas de
Informacin. Para ello es fundamental la segregacin de responsabilidades, que
minimiza el riesgo de mal uso accidental o deliberado del Sistema de Informacin. En
organizaciones pequeas, este control puede ser difcil de lograr, pero tiene que ser
aplicado en la medida que sea factible y se visualice el riesgo involucrado.
Este control es particularmente importante para Sistemas que soporten aplicaciones que
sean susceptibles de fraude o cualquier evento que tenga, o pueda tener como
resultado la interrupcin de los servicios suministrados por un Sistema de Informacin
y/o prdidas fsicas o financieras para la empresa.
Algunos ejemplos a tener en cuenta, son los siguientes:
- Un acto intencionado o aparentemente intencionado, cuyo objetivo sea la
utilizacin, manipulacin, destruccin o revelacin no autorizadas de cualquier
Activo de Informacin;
- La trasgresin, accidental o deliberada, de los controles de proteccin de los
Recursos Informticos o Activos de Informacin que pueda ocasionar perjuicios
a la empresa;
- Divulgar alguna deficiencia en los controles de seguridad existentes;
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
- Cualquier acto que, sin ocasionar dao o prdida material, sea una clara
infraccin de las polticas, normas o procedimientos de Seguridad definidos en la
empresa.
Tiene que formalizarse un procedimiento disciplinario para tratar los incidentes de
Seguridad, debe ser elaborado conjuntamente por los departamentos de Organizacin &
Mtodos (si existiese esa funcin en la empresa), Recursos Humanos y Sistemas de
Informacin; y divulgado a todos los empleados, para su conocimiento.
1.2.3.1 Polticas y organizacin de seguridad

Se deben establecer las Polticas y Normas de Seguridad Informtica, definiendo los
responsables de su desarrollo, implantacin y gestin; tambin se deben analizar los
riesgos existentes sobre los Sistemas de Informacin y establecer las acciones
necesarias para su mitigacin.
En los actuales momentos existe una tendencia en las empresas para certificar procesos
informticos bajo normas ISO 17799 o normas britnicas BS 7799; ambas
certificaciones son casi equivalentes y tratan del sistema de gestin de seguridad de la
informacin (SGSI)
La necesidad de certificacin de esta naturaleza y adopcin de un SGSI debe provenir
de una decisin estratgica de la organizacin. Su diseo est influenciado por las
necesidades y objetivos comerciales, requerimientos de seguridad, tamao y estructura
de la organizacin.
Sin embargo si no se desea registrar la certificacin, el seguimiento de estas normas
nos gua en todo lo relacionado a informtica, ya que abarcan temas como:
- Enunciados de polticas de seguridad.
-
Seguridad organizacional.
- Clasificacin y control de activos.

- Seguridad del personal.
- Seguridad fsica y ambiental.
- Gestin de comunicaciones y operaciones.
- Control de accesos.
- Desarrollo y mantenimiento de sistemas.
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
- Gestin de continuidad los negocios.

- Cumplimiento con reglamentos, derechos y leyes.
Los responsables del ms alto nivel deben aprobar y publicar un documento que
contenga la poltica de seguridad y comunicarlo a todos los empleados, segn
corresponda. ste debe poner de manifiesto su compromiso y establecer el enfoque de
la organizacin con respecto a la gestin de la seguridad de la informacin.
Como mnimo, deben incluirse las siguientes pautas:
1. Definicin de la seguridad de la informacin, sus objetivos y alcance generales y
la importancia de la seguridad como un mecanismo que permite la distribucin
de la informacin;
2. Una declaracin del propsito de los responsables del nivel gerencial, apoyando
los objetivos y principios de la seguridad de la informacin;
3. Una breve explicacin de las polticas, principios, normas y requisitos de
cumplimiento en materia de seguridad, que son especialmente importantes para
la organizacin, por ejemplo:
a) Cumplimiento de requisitos legales y contractuales;
b) Requisitos de instruccin en materia de seguridad;
c) Prevencin y deteccin de virus y dems software malicioso;
d) Administracin de la continuidad comercial;
e) Consecuencias de las violaciones a la poltica de seguridad;
Esta poltica debe ser comunicada a todos los usuarios de la organizacin de manera
pertinente, accesible y comprensible.
Un modelo prctico que podemos aplicar para implementar el sistema de gestin de
seguridad de informacin es el que se muestra a continuacin:
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Figura 1.1:
Modelo para implementacin de Sistema de Gestin de SI.
Es un proceso de mejoramiento continuo que toma como insumos los requerimientos y

expectativas de la seguridad de las partes interesadas y a travs de acciones y procesos
necesarios produce resultados de seguridad de informacin que satisface
requerimientos y expectativas.
Los procesos de Planear y Hacer, requieren inicialmente de documentar, formalizar el
enfoque de la gestin de riesgo, determinar el mtodo revisin y asignar recursos.
Los procesos de Chequear y Actuar, sirven para reforzar, enmendar y mejorar las
soluciones identificadas e implementadas. Las revisiones pueden ser en cualquier
momento y frecuencia.
1.2.3.2 Anlisis de riesgos

La Seguridad Informtica tiene como objetivo el mantenimiento de la Confidencialidad,
Integridad y Disponibilidad de los Sistemas de Informacin. Es necesario identificar y
controlar cualquier evento que pueda afectar negativamente a cualquiera de estos tres
aspectos, as como definir e implantar las defensas necesarias para eliminar o reducir
sus posibles consecuencias. Para ello, deben utilizarse mtodos formales de anlisis de
riesgos que lo garanticen.
10
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
En un proceso de Anlisis de riesgos se pueden establecer los siguientes componentes:

Sistema de Informacin. Son los Recursos Informticos y Activos de Informacin
de que dispone la empresa para su correcto funcionamiento y la consecucin de los
objetivos propuestos por la Direccin.
Amenaza. Cualquier evento que, pueda provocar daos en los Sistemas de
Informacin, produciendo a la empresa prdidas materiales o financieras.
Vulnerabilidad. Cualquier debilidad en los Sistemas de Informacin que pueda
permitir a las amenazas para causarles dao y producir prdidas a la empresa.
Impacto. Es la medicin (y valoracin) del dao que podra producir a la empresa la
materializacin de una amenaza sobre los Sistemas de Informacin. La valoracin
global se obtendr sumando el coste de reposicin de los daos tangibles y la
estimacin, que siempre ser subjetiva, de los daos intangibles.
Riesgo. Es la probabilidad de que una amenaza se materialice sobre una
vulnerabilidad del Sistema de Informacin, causando un impacto en la empresa.
Defensa. Cualquier medio, fsico o lgico, empleado para eliminar o reducir un
riesgo. Debe realizarse una valoracin cuantitativa de su coste.
La Direccin de la empresa es responsable de definir y publicar las Polticas de
Seguridad como una firme declaracin de intenciones, as como de divulgarlas en todo
el mbito de la empresa. El conjunto de las Polticas de Seguridad debe establecer los
criterios de proteccin en el mbito de la empresa y servir de gua para la creacin de
las Normas de Seguridad.
La responsabilidad del cumplimiento de las Normas es de todos los empleados, pero
especialmente del personal directivo que acumula a su responsabilidad como empleado,
la de todos los empleados a los que dirige, coordina o supervisa.
Basndose en las Normas de Seguridad, como por ejemplo la Norma ISO 17799 y
dependiendo del mbito de aplicacin, el responsable deber crear los Procedimientos
de Seguridad, en los que se describir cmo proteger lo definido en las Normas y las
personas o grupos responsables de la implantacin, mantenimiento y el seguimiento de
su nivel de cumplimiento.
Siguiendo con los criterios de calidad, los procesos deben ser revisados peridicamente,
como mejora continua, para la eliminacin de defectos y la reduccin del ciclo; teniendo
como objetivo:
Incrementar la fiabilidad de los controles y sus indicadores, proporcionando
alertas automticas;
DIRECCIN
DE
SISTEMAS
TIC
11
CONFIABILIDAD
Disminuir la intervencin humana, con una reduccin adicional del coste de

personal;
Reducir el ciclo de los procesos, permitiendo obtener informacin ms
actualizada.
Para tener unas mnimas garantas de xito, en la implantacin de la Seguridad
Informtica en las empresas, la experiencia ha demostrado que son crticos, al menos,
los siguientes factores:
- El compromiso y apoyo visible de la Alta Direccin.
- Los objetivos y actividades de Seguridad deben estar basados en las
necesidades de la empresa y liderados por el responsable de la Seguridad
Informtica.
- El anlisis de riesgos potenciales para evitarlos o minimizarais.
- La implantacin de controles para la deteccin de riesgos potenciales y su
comunicacin en todo el mbito de la empresa.
- La rapidez en la actuacin para proteger los Sistemas de Informacin, con lo que
los riesgos sern menores y se reducir sustancialmente el coste de la Seguridad
Informtica, a medio y largo plazo.
No existe un nico modelo predefinido, siempre variar en funcin del tamao de la
empresa, del volumen y tipo de recursos, activos a proteger y del nivel tecnolgico
alcanzado.
La informacin adopta muchas formas, tanto en los sistemas como fuera de ellos,
puede ser:
- Almacenada, en los sistemas o en medios portables;
- Transmitida, a travs de redes o entre sistemas;
- Impresa o escrita, en papel y o hablada, en conversaciones.
Bajo el punto de vista de Seguridad, la proteccin adecuada debe ser aplicada a todas y
cada una de las formas relacionadas con un Sistema de Informacin, para lo cual se
debe definir un mtodo de clasificacin de los Activos de Informacin de la empresa,
para su proteccin frente a prdida, divulgacin no autorizada o cualquier otra forma de
uso indebido, ya sea de modo accidental o intencionado. Previa a su clasificacin,
debera realizarse un inventario de Activos de Informacin asociados a cada Sistema de
Informacin.
12
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
La informacin podra ser clasificada de acuerdo a los siguientes criterios:

Sin Clasificar o ninguna. Informacin que podra ser conocida y utilizada sin
autorizacin por cualquier persona, sea empleado de la empresa o no.
Uso interno. Es aquella que, sin poder ser publicada, puede ser conocida y utilizada
por todos los empleados y algunos colaboradores externos autorizados, y cuya
divulgacin o uso no autorizados podra ocasionar prdidas leves y asumibles por la
empresa.
Confidencial. Es la que slo puede ser conocida y utilizada por un grupo de
empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no
autorizados podra ocasionar prdidas significativas, materiales o de imagen.
Secreta o reservada. Aquella que slo puede ser conocida y utilizada por un grupo
muy reducido de empleados, generalmente pertenecen a la Alta Direccin de la
empresa y que su divulgacin o uso no autorizados podra ocasionar graves
prdidas materiales o de imagen.
El nivel de clasificacin, tiene que estar marcado en cada una de las pginas de los
Impresos o en las diferentes consultas (pantallas) que contengan informacin
clasificada.
La principal regla de proteccin es que la informacin clasificada sea conocida o
utilizada, slo por personas autorizadas y siempre por razones del negocio de la
empresa.
Todos los empleados tienen que tener suscrita con la empresa o ser requeridos para
ello, una Clusula de Confidencialidad en la que firmen el compromiso de proteccin y
no divulgacin de la informacin clasificada que manejen por motivos de trabajo.
La informacin clasificada debera permanecer, en todo momento, lejos del alcance de
empleados y personas que no tengan necesidad de conocer la informacin por motivo
de su trabajo. La informacin con clasificacin Confidencial, debe guardarse bajo llave
permanentemente y durante su uso debe evitarse que pueda ser leda por nadie que no
tenga necesidad de conocerla.
La informacin con el ms alto nivel de clasificacin tiene que permanecer guardada en
una caja de seguridad y su utilizacin tiene que estar restringida a los momentos en los
que nadie, que no est autorizado, pueda verla o leerla.
La divulgacin de informacin clasificada debe realizarse siempre sobre la base de la
necesidad de conocerla por motivos de trabajo o tiene que ser autorizada. Cualquier
divulgacin a terceros, tiene que estar amparada por un Acuerdo de No Divulgacin
DIRECCIN
DE
SISTEMAS
TIC
13
CONFIABILIDAD
firmado y con un perodo de validez que al expirar tiene que ser renovado o suspendida
la divulgacin de la informacin clasificada.
1.2.3.3 Proteccin fsica

El objetivo de la proteccin fsica es evitar riesgos potenciales de ataque, prdida, robo
o dao a los Sistemas de Informacin de la empresa, accidentales o intencionados, que
puedan ocasionar la interrupcin, total o parcial, de las actividades de negocio.
Es muy importante que las caractersticas de las edificaciones e instalaciones de la
empresa, el sitio especfico donde estn o vayan a estar situados sus Sistemas de
Informacin, sean lo suficientemente seguros. El responsable de la Seguridad en
coordinacin con el responsable de Tecnologa y la Administracin deben tener en
cuenta algunos de los siguientes puntos, obviamente dependen de la capacidad y el
tamao de la misma:
La posibilidad de daos por fuego, inundacin, explosin, disturbios civiles,
amenazas de vecindad, cercana de instalaciones peligrosas.
Cualquier otra forma de desastre natural o provocado.
Los elementos constructivos (puertas, paredes, tumbado, suelo, canalizaciones,
instalaciones elctricas y comunicaciones, aire acondicionado, deteccin de
incendios, etc.) deben cumplir el mximo nivel de proteccin posible.
Las instalaciones deben estar diseadas de forma que no se faciliten indicaciones de su
propsito ni se pueda identificar la localizacin de los Recursos informticos.
Suministro de energa elctrica alternativa, como UPSs (Uninterruptible Power Supply)
y generador de emergencia.
1.2.3.4 Proteccin lgica

Proteger los Activos de Informacin de la empresa para que sean siempre utilizados de
forma autorizada, slo por razones de negocio y evitar acciones que puedan provocar su
alteracin, borrado o divulgacin no autorizados, de forma accidental o intencionada.
El acceso de un usuario a los Sistemas de Informacin de la empresa tiene que estar
basado, en cada caso, en una vigente necesidad de uso por razones del negocio de la
propia la empresa.
14
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Los usuarios siempre tienen que estar informados de los aspectos siguientes:
Los Sistemas de la empresa slo pueden ser usados para fines del negocio de la
propia empresa.
El uso de los Sistemas para cualquier otro fin, no de negocio o personal, debe ser
previamente aprobado por la Direccin.
El uso no autorizado de los Sistemas es una violacin de los derechos de la
empresa y se considera un abuso de confianza que debe ser sancionado.
Para ello, en la pantalla inicial de conexin debe aparecer una leyenda advirtiendo que
Los sistemas slo pueden ser usados por razones de negocio u otros fines aprobados
por la Direccin, o cualquier otra equivalente.
Deben quedar sujetos a revisin en todo momento, por parte de la Direccin de la
empresa, las actividades realizadas por los usuarios en los Sistemas de la propia
empresa u otros ajenos a ella para los que tenga autorizacin de uso y la utilizacin en
ambos casos de los medios de almacenamiento correspondientes.
Los usuarios de sistemas de informacin deben estar plenamente identificados y
autorizados accediendo a los mismos mediante un usuario y una clave conocido
nicamente por l, sta no debera ser compartida con nadie en absoluto, sin embargo
es prctica comn el realizarlo, de detectarse estos casos el responsable de seguridad
debe tomar las acciones que son de su responsabilidad como informar al inmediato
superior o al responsable funcional de la persona que cometi la incorreccin.
Para minimizar el riesgo del mal uso de accesos, es posible tomar algunas de las
siguientes medidas (son recomendaciones de mejores prcticas de compaas reaseguradoras):
Definir y utilizar una nomenclatura estndar en la creacin de identificadores, de
forma que un usuario tenga el mismo identificador en todos los Sistemas que
necesite utilizar;
Instalar un Sistema de Control de Accesos capaz de gestionar ms de un Sistema
de Informacin, con lo que el identificador de usuario (y la contrasea asociada)
seran nicos y vlidos para todos los Sistemas;
Utilizar un mtodo de Identificacin nica, que permita al usuario realizar los
procesos de identificacin y autenticacin una sola vez, en la primera conexin al
sistema, pudiendo acceder posteriormente a cualquier otro Sistema o servicio por
propagacin o conversin a los distintos identificador de usuario y contrasea
necesarios.
DIRECCIN
DE
SISTEMAS
TIC
15
CONFIABILIDAD
La contrasea tiene que:

- Ser secreta y no compartida con nadie,
- No puede ser visualizada en pantalla mientras se teclea, y
- No puede ser almacenada en claro (sin cifrar), en ningn tipo de Activo de
Informacin.
- Tener una longitud mnima de 6 caracteres;
- O tener al menos un carcter numrico y uno alfabtico;
- No empezar ni terminar con un nmero;
- O no tener mas de tres caracteres consecutivos idnticos, en cualquier posicin,
a los de una contrasea usada anteriormente;
- No tener mas de dos caracteres iguales consecutivos;
- Ser cambiada, al menos, cada 60 das para usuarios generales y cada 30 das
para usuarios que tengan algn tipo de privilegio o autoridad.
- Tiene que haber instalado un control que informe a los usuarios cuando su
contrasea tiene que ser cambiada; no ser reutilizada hasta despus de, al
menos, 12 cambios;
- No contener el identificador de usuario, como parte de la contrasea.
1.2.3.5 Proteccin de informacin de usuario

La proteccin de Informacin generados o procesados por una aplicacin, debe
comenzar a planificarse durante el anlisis y el desarrollo (o modificacin) y consolidarse
durante las pruebas previas a su paso al sistema de produccin.
Estos requerimientos son aplicables a los desarrollos realizados en la propia empresa o
encargados a terceras partes y deben permanecer vigentes en las posteriores
modificaciones por mantenimiento de la aplicacin. Simultneamente con el desarrollo o
modificaciones de mantenimiento, deben crearse datos de prueba que verifiquen todas
las alternativas de cada uno de los programas que componen la aplicacin.
Nunca deben ser utilizados datos reales en pruebas, porque no se comprobarn todas
las condiciones existentes en los programas y porque su utilizacin puede comprometer
la confidencialidad, integridad y disponibilidad de los Activos reales de produccin.
Estos datos de prueba deben ser guardados durante la vida de la aplicacin y
actualizados cada vez que se realice alguna modificacin en la aplicacin que as lo
aconseje.
16
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Una buena medida es la separacin de los Sistemas de Desarrollo y Produccin, las

actividades de desarrollo y prueba pueden causar cambios no deseados en la
informacin de produccin si comparten el mismo sistema o entorno operativo.
Para evitarlo, o al menos minimizarlo, hay que aislar, tanto como sea posible, los
sistemas de desarrollo y prueba de los operacionales o de produccin. Todos los
desarrollos de aplicaciones, y sus posteriores modificaciones por mantenimiento, tienen
que realizarse al margen del entorno operacional o de produccin.
Dentro del rea de gestin de cambios, el paso de aplicaciones desde el entorno de
desarrollo y prueba al entorno operacional o de produccin, no puede ser realizada por
las mismas personas que desarrollan o mantienen las aplicaciones.
1.2.3.6 Cifrado o criptografiado

Cuando el acceso fsico o lgico a los Activos de Informacin no pueda ser controlado
o, por su especial sensibilidad o confidencialidad, requieran medidas adicionales de
Seguridad, la informacin tiene que cifrarse de forma que quede ilegible y no pueda ser
procesado por ningn usuario o persona no autorizada. (Artculo 400 del nuevo Cdigo
Penal respecto a la falsedad documental).
Un Activo de Informacin cifrado, para su almacenamiento o envo, mantiene el mismo
nivel de clasificacin y tiene que ser protegido como el Activo original.
Claves de Cifrado. La Clave de Cifrado (y descifrado) es una serie de caracteres usados
para la codificacin de informacin, sin la cual no sern legibles ni podrn ser
procesados.
Para la proteccin de las claves de cifrado tienen que haber definidos e implantados los
controles siguientes:
- El uso de las claves debe estar restringido a personas,
- Usuarios con necesidad de conocerlas por motivos de trabajo; o la gestin y
distribucin de las claves debe estar restringido a las personas o usuarios
autorizados a realizar las funciones de cifrado;
- La autorizacin de uso de las claves debe ser aprobada por el propietario de la
informacin que se va a cifrar o descifrar;
- El propietario de esta informacin puede delegar formalmente en el responsable
del servicio de cifrado, si lo hubiera, la gestin y aprobacin de las claves; el
DIRECCIN
DE
SISTEMAS
TIC
17
CONFIABILIDAD
mtodo usado para distribucin de las claves tiene que poder asegurar que son
recibidas por el destinatario, y slo por l;
- La clave de cifrado tiene que ser transmitida por un conducto distinto al del
Activo, cuando ste se transmita cifrado;
- Cuando el cifrado y descifrado no se realice por medio de programas, los
Recursos Informticos tienen que estar protegidos en un rea de Acceso
Restringido.
1.2.3.7 Virus informticos y otros cdigos dainos

Son aquellos programas, rutinas o instrucciones desarrollados para provocar la
destruccin o alteracin de informacin, en las aplicaciones o estaciones de trabajo.
Existen distintos tipos de cdigo daino y que, dependiendo de la caracterstica que lo
diferencia:
Virus Informticos, el cdigo que es capaz de generar copias de si mismo en
programas distintos al que ocupa.
Gusanos (Worms), el cdigo que absorbe recursos del Sistema, de forma creciente,
hasta que lo bloquea por saturacin.
Caballos de Troya (Trojan Horses), el programa de uso autorizado que contiene
cdigo daino. Cuando este programa comienza a ejecutarse, el cdigo daino
toma el control.
Bombas Lgicas (Logic Bombs), el cdigo que se ejecuta al producirse un hecho
predeterminado, ej.: una determinada fecha, un nmero de encendidos del sistema,
determinada secuencia de teclas, etc.
Existen, en el mercado, programas Antivirus que detectan la presencia de virus y
pueden eliminarlos; estos programas van siendo actualizados de forma peridica,
incorporando proteccin contra nuevos virus aparecidos. No obstante, siempre se estar
expuesto a los virus que no hayan sido incluidos en los programas antivirus, pero el
riesgo ser mucho mayor si no utilizamos ningn mtodo de prevencin y/o eliminacin.
La Infeccin por virus se produce por la ejecucin de un programa contaminado o el
arranque del sistema desde un disco removible contaminado.
18
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Se pueden dividir en dos grandes grupos:

Virus de programa, que infectan a ficheros ejecutables (extensiones EXE, COM,
SYS, OVL, OVR, entre las principales);
Virus de sector de arranque, que contaminan el sector de arranque de discos
removibles y discos duros.
Para eliminar, o al menos minimizar, la infeccin por virus deben tenerse en cuenta las
siguientes consideraciones:
- Establecer la prohibicin de uso de productos sin licencia, no autorizados por la
empresa o adquiridos de fuentes sin garanta;
- Verificar con programas antivirus, antes de ser utilizado en el sistema, cualquier
disco removible o fichero recibido que provenga de otro usuario, ya sea de la
empresa o del exterior;
- Mantener un producto antivirus residente de forma permanente en el sistema;
actualizar el producto antivirus utilizado, cada vez que se sepa que existe una
versin ms moderna que la que se est usando;
- Realizar peridicamente copias de respaldo;
- Proteger contra escritura todos los discos removibles.
- Compartir permanentemente carpetas.
Cualquier infeccin detectada en el transcurso de las verificaciones o revisiones
descritas, tiene que ser notificada al responsable de seguridad informtica, para el
aislamiento de los sistemas afectados, el anlisis del virus y, si fuera necesario, su
posterior inclusin en el antivirus.
Debe comunicarse que est prohibido, y severamente sancionado en caso de
comprobarse, el propagar conscientemente programas o datos infectados por virus
dentro de, o desde, la empresa.
La responsabilidad de la utilizacin de antivirus y la salvaguarda de las estaciones de
trabajo es del usuario final, pero el departamento de Sistemas de Informacin debe darle
soporte para poder actualizar los programas antivirus y canalizar las notificaciones de
existencia de virus.
DIRECCIN
DE
SISTEMAS
TIC
19
CONFIABILIDAD
1.2.3.8 Conexiones externas / accesos

Se trata de brindar los niveles de proteccin a Sistemas de Informacin cuando de
forma autorizada, sean accedidos por usuarios ajenos a la empresa o por empleados en
conexin desde puntos no controlados por la empresa. Esto es general y ampliamente
utilizado en la actualidad por la masificacin del uso del Internet como herramienta de
acceso a informacin desde redes externas pblicas.
Las empresas van estableciendo acuerdos de colaboracin que implican la autorizacin
de acceso y utilizacin de Recursos Informticos y de Informacin, bajo determinadas
condiciones y en los que la conectividad es imprescindible.
Por todo lo anterior, se deduce que, al utilizar una red de comunicaciones externa y no
controlada por la empresa, se estn utilizando facilidades que pueden representar un
riesgo para los Sistemas de Informacin de la empresa.
Un usuario no debera conectarse simultneamente a la red interna de la empresa y a
otra red externa (no de la empresa). Esta conexin simultnea slo puede ser utilizada
excepcionalmente por razones de negocio y con la previa aprobacin, para evitar que
personas ajenas a la empresa puedan acceder a la red interna a travs de la conexin del
usuario.
Un usuario, para conectarse a la red interna desde locales no controlados por la empresa
o a una red externa desde locales controlados por la empresa, tiene que:
- Tener la aprobacin previa;
- Conectarse por un 'gateway' seguro y aprobado; o estar registrado en una
Conexin Externa; o ser revalidada su participacin.
Cualquier usuario al conectarse a una red que sea, o se presuma que pueda ser,
insegura para su simple uso o para comunicarse con organizaciones ajenas a la
empresa, tiene que tener en cuenta que puede ser usada por usuarios ajenos a la
empresa, en algunos casos de todo el mundo y por tanto la informacin transmitida
podr ser leda, y posteriormente divulgada sin autorizacin, por muchos desconocidos
y no todos desearn el beneficio de la empresa.
No todos los usuarios utilizan estas conexiones para los fines previstos. Por ello,
cualquier acceso desde o hacia una red externa puede representar un riesgo significativo
para los Activos de Informacin de la empresa, debido a la posible:
20
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
- Prdida de integridad, por corrupcin de Informacin, como consecuencia del

acceso no autorizado de usuarios a travs de un punto de conexin a la red
externa sin los controles adecuados.
- Interceptacin de informacin clasificada mientras transita por la red externa,
pudiendo ser modificada o robada sin ser detectada por el emisor o el receptor.
- Contaminacin por virus, como consecuencia de la obtencin de productos
infectados procedentes de la red externa.
- No observancia de las normas de Seguridad por parte de los usuarios
correspondientes a algn acuerdo con terceros.
La proteccin contra estos riesgos exige una combinacin de medidas de proteccin
basadas en normas y procedimientos que los prevengan y en controles que los detecten
y eviten, ejemplo: un Sistema que tenga implementado Firewall.
Como medida de prevencin para conectarse a cualquier red calificada de insegura
desde un punto controlado por la empresa, un usuario tiene que cumplir con unas
elementales normas de tica y con las normas de Seguridad, que deben ser definidas
por la empresa, entre las que cabe destacar las siguientes:
- Utilizar siempre su propia identidad, nunca una ajena;
- No enviar ni almacenar informacin clasificada, a menos que est cifrada;
- No introducir ningn producto sin haber verificado previamente que cumple los
requisitos legales de licencia y autorizacin del fabricante;
- Cualquier producto obtenido de redes externas no puede ser incorporado a los
Sistemas de la empresa sin verificar previamente que no contiene ningn tipo de
cdigo daino (virus).
1.2.3.9 Firewall
Una empresa que tiene implementado un Firewall, trata de proteger las comunicaciones
entre sus instalaciones internas de informtica y las redes externas, de la forma ms
transparente posible para el usuario, facilitndole al mximo los servicios que dicha red
ofrece.
La mayora de los firewall estn diseados para asegurar el trfico con la red Internet,
debido a que representa la mayor fuente de informacin y de medios de comunicacin
con terceros, incluyendo: clientes, suministradores y cualquier otro tipo de personas
que comparten intereses comunes. Este consta de un conjunto de mecanismos, filtros
DIRECCIN
DE
SISTEMAS
TIC
21
CONFIABILIDAD
de protocolo y dispositivos de control de accesos que manejan de forma segura la

conexin entre una red protegida y una red insegura, tales como Internet o cualquier
otra, incluyendo posibles sub redes inseguras de la propia red interna de la empresa.
Un Sistema Firewall est compuesto por:
Un Sistema de Filtro de Paquetes (Packet Filter System) y
Un Sistema de Servicios (Services System).
El sistema de Filtro de Paquetes, constituye el frente primario entre la red propia y la red
externa. Examina todos los paquetes de informacin intercambiados entre las dos redes
y acta segn el tipo de paquete y las reglas configuradas por el administrador del
sistema.
Incluye una zona aislada de la red, llamada Zona Desmilitarizada (ZDM), que contiene
informacin especficamente diseada para ser compartida por usuarios de redes
externas y es usada por:
- Servidores WEB externos,
- Servidores de FTP annimo y
- Cualquier otro servidor que contenga informacin pblica.
Los servicios de la propia red interna no pueden ser visibles a usuarios de redes
externas, en cambio, los servicios que se facilitan al exterior (peticiones de informacin)
son manejados por un servidor conectado a la zona aislada (ZDM).
El sistema de servicios procesa:
- El correo electrnico (MAIL),
- Las noticias (NEWS),
- Las peticiones de transferencia de Activos (FTP),
- Las peticiones de Telnet (conexin a un servidor Internet).
Todo ello es manejado por un servidor de autenticacin antes de que sea permitido el
proceso.
Es recomendable que el Correo Electrnico sea manejado por un servidor de correo
situado en la zona aislada (ZDM) y que dicho servidor no mantenga conexin con otro
correo electrnico.
22
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Las direcciones IP de la red interna tienen que cambiarse a direcciones IP del Firewall,
antes de su salida al exterior, de forma que no sean visibles en el trfico originado por el
Firewall.
1.2.3.10 Deteccin de intrusos y vigilancia de la red

Es muy frecuentes los ataques de red cuando se tiene servicios en la WEB, por tanto
hay utilitarios que combinan hardware y software, para realizar automticamente este
anlisis y dependiendo de las reglas que se vayan definiendo se pueden detectar
tempranamente intrusos que desean introducirse en la red sea para hacer dao o por el
simple hecho de vulnerar las defensas. Al introducir esta tecnologa se gana en
confiabilidad en el sistema de seguridad de las empresas.
1.2.3.11 Evaluaciones de penetracin (Ethical Hacking)

Para poder comprobar la efectividad del esquema de seguridad, es importante contratar
expertos que realicen evaluaciones peridicas para determinar la efectividad o las
deficiencias no registradas o no previstas en el diseo y operacin del esquema.
Por lo general este tipo de evaluaciones en la actualidad son exigidas por compaas de
seguros a empresas que manejan informacin y que es considerada vital para su
operacin.
1.2.4
CASO: IMPLANTACIN DE UNA PLATAFORMA DE SEGURIDAD DE ACCESOS
A continuacin se expone un caso real de cmo mejorar la seguridad de acceso a una

empresa de la localidad, en la cual la exposicin al riesgo era bastante alta. Se
describir como manejar, organizar y coordinar un proyecto de esta naturaleza en la
cual se mezclan conceptos de confiabilidad redundancia y seguridad.
PROYECTO
DE MEJORAMIENTO DE LAS ARQUITECTURA DE SEGURIDAD
DE CONEXIN A INTERNET Y REDES EXTERNAS

La empresa lo primero que debe realizar es definir una visin del proyecto de seguridad
informtica, como por ejemplo para el caso a analizar es el siguiente:
DIRECCIN
DE
SISTEMAS
TIC
23
CONFIABILIDAD
Crear una infraestructura de seguridades que garantice que todos los accesos a la red,
desde cualquier red externa sea Internet o subsidiarias/empresas afines -sean
controlados y auditables1.
Luego se define un alcance: A fin de permitir una adecuada planeacin del proyecto y
los resultados especficos que se deben alcanzar es necesario definir en detalle los
objetivos de bajo nivel que se desean alcanzar; esto nos permite definir el diseo
conceptual, fsico y lgico de la solucin as como establecer el esfuerzo que se
demandar a cada recurso y un plan de pruebas consistente y completo de la solucin
final.
Para este caso se definieron los siguientes alcances:
Controlar y centralizar el acceso desde y hacia Internet para los usuarios de la
empresa en la ciudad de Guayaquil, as como controlar la comunicacin e
intercambio de informacin con redes externas.
Creacin de dos redes desmilitarizadas (DMZ1, Demilitarized Zone y DMZ2 en la
figura 1.2) las cuales controlaran toda la comunicacin con redes externas e
Internet.
Preveer la implementacin de una tercera DMZ3, la cual permitir controlar el modo
de acceso de los servicios de las subsidiarias; las cuales en este momento disponen
de accesos propios e independientes a Internet y firewalls que controlan el flujo de
informacin de la empresa hacia ellos; pero no existe un control de los accesos
desde las redes de estas subsidiarias a los servicios de la red de la empresa,
plantendose la posibilidad de accesos indebidos o la transmisin de virus usando
esas redes como puente.
1. Se debe entender que controlados y auditables significa: poder definir quin y cundo tiene acceso a
Internet desde la red del Banco y los servicios y destinos que puede alcanzar.
24
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Figura 1.2:
Diseo Conceptual de la Estructura de Acceso a Internet y Redes Externas. (Caso a analizar)
En la figura 1.2 se muestra un diagrama global de lo que se espera conseguir a la

finalizacin del presente proyecto. De este diagrama se puede apreciar que a la red de la
empresa se conectan varias redes externas que se conoce tienen conectividad hacia
Internet, lo que presupone un potencial riesgo para la empresa.
1.2.4.1 Funcionalidades del Firewall

Creacin de la Red Desmilitarizada para los servicios que tienen interaccin con
Internet: esta red incluir los servicios actuales. A futuro se espera que estos servicios
se consoliden en un solo servicio y sean el portal financiero de la empresa en el Internet;
sin embargo hay que dejar en claro que en la actualidad existen ciertas debilidades en la
seguridad que deberan ser resueltos a la brevedad posible.
Esta red desmilitarizada debera permitir el flujo de informacin slo de los puertos TCP/
IP que se requieran para acceder a estos servicios, bajo las reglas que la empresa
determine, desde el Internet. Adems desde esta red se podr invocar las reglas de
negocio (componentes de Transaction Server). Obviamente estos flujos tambin sern
controlados y solo se permitir aquellos puertos que sean requeridos para las
transacciones que sean necesarias y que sern definidas por la empresa.
DIRECCIN
DE
SISTEMAS
TIC
25
CONFIABILIDAD
Las polticas de seguridad del Firewall se definir nicamente para direcciones IP y

puertos TCP/IP, obvindose la administracin de usuarios en el Firewall, a excepcin de
las cuentas de administracin del propias del firewall. La definicin de estas polticas
ser responsabilidad de la empresa y el proveedor del Firewall
1. En un principio, se ha establecido que los puertos que se habilitarn en el firewall
son:
- HTTP, HTTPS (TCP 443)
-
FTP
SMTP
DNS (53 UDP)
- RPC (137,138,139 en TCP y UDP para invocar componentes)

- SQL TCP/IP Sockets (1433 TCP)
- ICMP hacia la Internet
- TELNET hacia los cajeros automticos
2. Creacin de la Red Desmilitarizada (DMZ1) para los servicios que NO tienen
interaccin con Internet. En la actualidad la empresa, por requerimientos de
negocio, debe conectarse con otras redes. Los servicios de esta sub red
desmilitarizada nicamente interactuarn con la capa de reglas de negocio que
se encuentran en la Intranet de la empresa y para esto solo se habilitarn los
puertos TCP/IP que sean necesarios de acuerdo a las reglas que se defina.
3. Es necesario contar con las facilidades para administrarlo centralizadamente.
4. Se deber definir la configuracin de hardware del equipo o los equipos
necesarios para manejar toda la carga transaccional y de usuarios que tiene la
empresa en la actualidad; adicionalmente, se deber establecer una
configuracin adecuada para brindar un servicio 24x7 con un nivel de
confiabilidad del 99.9% (9 horas de paralizacin del servicio en el ao). De ser
necesario se debern definir mecanismos y procedimientos para alcanzar este
nivel de disponibilidad por procedimientos manuales, que garanticen una fcil y
rpida recuperacin del servicio.
5. Configuracin del firewall para integracin con ISA Server, e-Trust e Inoculate
IPO, a fin de garantizar un correcto funcionamiento de todos los componentes
de la plataforma de seguridades.
6. Se generar, al menos los siguientes documentos necesarios para la instalacin
y configuracin del firewall de acuerdo a los parmetros especficos:
Capacity Planning con las especificaciones para plataformas Intel y Sparc
para manejar la carga esperada, sta se distribuye de la siguiente manera:
26
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
a) Los usuarios de salida desde la Intranet al Internet son 550

b) Los hits desde el Internet a los servicios suministrados en la actualidad
son 4000 diarios con un crecimiento de hasta 10000 transacciones
diarias.
c) El nmero de transacciones CDPD y switch desde la DMZ2 a la Intranet
es: 8000 y esperamos un crecimiento 10%.
- La configuracin planteada debe ser diseada para alcanzar el nivel de
disponibilidad del 99.9%.
- Los procedimientos de recuperacin del servicio para el esquema de tolerancia a
fallas que se ha decidido (un equipo trabajando con toda la carga y un equipo en
stand-by).
- Los procedimientos de instalacin y configuracin del firewall, de acuerdo a las
particularidades, los procedimientos de instalacin y configuracin del equipo
hasta la instalacin del sistema operativo bsico de acuerdo a los estndares
actuales ser de responsabilidad de la empresa.
- Adicionalmente, los documentos de operacin y monitoreo diarios, semanales y/
o mensuales que faciliten las tareas de administracin.
7. Se deber definir cmo se puede crear la DMZ3 que servir para la conexin de
sus subsidiarias, sin embargo por limitaciones en el equipo actual esto no
quedar implementado.
8. Finalmente, se deber realizar una recomendacin del perfil de conocimientos
de las personas que operarn el sistema y los roles y funciones que deberan
desempear.
1.2.4.2 Funcionalidades del ISA Server

Para complementar el trabajo realizado por el firewall se utilizar los servicios de Web
Caching de ISA Server.
Las funciones que se utilizarn del ISA Server sern:
1. Se crear un nuevo dominio para el ISA Server que tendr una relacin de
confianza unidireccional que mejorar el nivel de seguridad de las polticas de
conexin a Internet. En este nuevo domino se crearn los grupos locales de
Windows 2000 tipo Domain Local necesarios para la asignacin de permisos.
2. Control de la salida a Internet de los usuarios de la red, mediante la creacin de
grupos de Windows 2000 tipo Domain Global con fines especficos, basados
en las cuentas y grupos de los dominios actuales en NT. Solo para excepciones
se usaran las cuentas especficas existentes.
DIRECCIN
DE
SISTEMAS
TIC
27
CONFIABILIDAD
3. Los protocolos de salida a Internet que se permitirn bsicamente son: http,

https y ftp. Esto significa que slo usar el servicio Web Caching (Se utilizar la
misma direccin del Proxy actual); con lo que no se requerir hacer una
implantacin masiva del cliente de ISA en todas las estaciones.
4. Se configurar ISA WinSock Client solo para ciertos clientes autorizados.
5. Los permisos de salida podrn asignarse por grupos y tambin debern poder
asignarse ms de un protocolo a una persona o grupo.
6. Se deber poder asignar horarios de salida por persona, grupo o protocolo.
7. El nivel de disponibilidad esperado es de 24x7, el cual deber ser alcanzado en
base al diseo de la arquitectura de ISA Server Array, el cual permitir
implementar las siguientes caractersticas de funcionamiento:
-
Balanceo de carga
Tolerancia a fallos
Escalabilidad
8. Se utilizarn las funciones de caching de ISA Server para optimizar el uso del
ancho de banda del canal de salida al Internet. Este caching debe estar
distribuido entre mltiples equipos si la arquitectura definida es la de un arreglo
de servidores.
9. Se generar un documento con las recomendaciones de la configuracin de
hardware para l o los servidores, para atender la carga actual de usuarios
(550) con un crecimiento estimado del 20%.
10) Se deber poder implementar polticas para el control del uso del ancho de
banda del canal de salida al Internet en base a los protocolos.
11. La administracin deber ser centralizada.
12. El logging del ISA Server deber ser va ODBC contra una base de datos que se
defina. A menos que se utilice una herramienta de terceros (Ej. Master IT) que
permita administrar reportes directamente sobre los logos del IIS e ISA.
13. Se contar con la facilidad para la generacin de polticas de control de
contenidos a fin de eliminar la posibilidad de download de archivos MP3, AVI,
WAV, EXE (tipo flash), PPS, etc.
14. Configuracin del ISA Server para integracin con el firewall, e-Trust e
Inoculate IPO, a fin de garantizar un correcto funcionamiento de todos los
componentes de la plataforma de seguridades.
15.)Se generar toda la documentacin necesaria para la instalacin y operacin
diaria del sistema.
16. Se documentar la generacin de hasta 5 reportes especficos.
28
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD

desempear.
1.2.4.3
Funcionalidades del e-Trust
Por ser e-Trust una herramienta dedicada a implementar ciertos controles y alertas en la
conexin de redes corporativas a Internet, se implementar un servidor con este
servicio para ofrecer las siguientes facilidades:
1. Definicin de bloqueo de ciertas direcciones de WEB, a fin de disminuir la
prdida de productividad de los usuarios por el uso de Internet. (Estas polticas
deben ser revisadas en conjunto con las de ISA Server)
2. Generacin de los procedimientos y horarios sugeridos de actualizacin de la
lista de sitios bloqueados de manera automtica. Para esto se probar el recibir
las suscripciones de las listas de sitios registrados y categorizados en CA.
3. Generacin de alertas en caso de deteccin de intrusos, barrido de puertos o
deteccin de ataques maliciosos.
4. Configuracin del servidor de e-Trust para integracin con el Firewall-1 sobre
Windows 2000 o NT, y su relacin con ISA Server e Inoculate IPO, a fin de
garantizar un correcto funcionamiento de todos los componentes de la
plataforma de seguridades.
5. Capacity planning para la configuracin definida.
6. La administracin deber ser centralizada. (La consola esta incluida en el
costo).
7. Documentar los procedimientos de instalacin, operacin diaria del e-Trust y
generacin de reportes.
8. Realizar una recomendacin del perfil de conocimientos de las personas que
operarn el sistema y los roles y funciones que deberan desempear.
1.2.4.4 Funcionalidades de Inoculate IPO

Para complementar el esquema de seguridades que se ha definido, es necesario contar
con una herramienta que sea capaz de detectar la posible contaminacin con virus que
provengan del Internet ya sea va correo electrnico (SMTP) o va los servicios de correo
electrnico gratuito accesibles por medio de navegadores de Internet, como son los
servicios de Hotmail.
DIRECCIN
DE
SISTEMAS
TIC
29
CONFIABILIDAD
Para este efecto la empresa licenci el producto Inoculate IPO que es un producto
dedicado para este tipo de control. De este producto se esperan las siguientes
funcionalidades:
1. Deteccin y eliminacin de todos los virus que lleguen por medio de correo
Internet (SMTP), FTP o por medio de un navegador de Internet (http)
2. Actualizacin automtica de la nueva versin del antivirus o el archivo de virus
conocidos que es capaz de detectar.
3. Configuracin del servidor(es) de Inoculate IPO para integracin con el firewall,
ISA Server e eTrust, a fin de garantizar un correcto funcionamiento de todos los
componentes de la plataforma de seguridades.
4. Capacity Planning
5. Documentar los procedimientos de instalacin, operacin diaria del Inoculate
IPO y obtencin de reportes.
desempear.
Alternativas Conceptuales de Solucin. Uno de los mayores limitantes que enfrenta el
proyecto es la disponibilidad de recursos fsicos. En este contexto en la actualidad
existen los siguientes equipos disponibles para el proyecto:
EQUIPOS
Tabla 1.2.
30
Equipo
Marca
Procesador
Memoria
Disco
Slots de
Expansin
SUN
Risc 110 MHz
96 MB
2 x 2 GB
IBM
Celeron 533
64
1 x 10
GB
Compaq
Proliant
800
1 x Pentium II
350 MHz
384 MB
1 x 9 GB
Compaq
Proliant
800
1 x Pentium II
200 MHz
163 MB
1 x 9 GB
Equipos disponibles.
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Con base a estos equipos se busca encontrar la combinacin de ellos que mejores
servicios que se ofrezca y que a la vez disminuya el monto de la inversin que debera
realizar; esta disponibilidad de equipos se ha definido que las posibles alternativas de
solucin para la plataforma de infraestructura de seguridades, son las siguientes:
Tabla 1.3.
Alternativa
Firewall
eTrust
Inoculate
IPO
ISA
Contingencia
SUN
SUN
D y SUN
Equipos alternativos.
Desde el punto de vista de eficiencia de la solucin tanto por la parte operativa de toda
la infraestructura de seguridades como la optimizacin de los equipos de que se dispone
la solucin escogida por el equipo de trabajo es la que se plantea. Todos los planes de
trabajo, anlisis de riesgos, diseos, especificaciones funcionales y planes de
contingencia se basarn en implementar esta alternativa.
Modelo de Equipo de Trabajo. Para este proyecto se usarn los lineamientos de
Microsoft Solutions Framework; esto permitir un mejor control y administracin del
proyecto debido a una forma unificada de comunicacin y planeacin de las fases. Por
este motivo se ha planteado la siguiente estructura del equipo del proyecto.
DIRECCIN
DE
SISTEMAS
TIC
31
CONFIABILIDAD
Rol
(manager)
Responsable
Funcin
Observaciones
Producto
Representante del Cliente en el Equipo
Aplicacin
Maneja el proceso de la especificacin

del producto y acta como un enlace
crtico entre el desarrollador y el
manejador del producto.
Desarrollador
Define la visin de cada caracterstica,

luego disea, construye y prueba las
mismas.
Pruebas
Se asegura que todos los aspectos son

conocidos por el equipo y maneja las
prioridades para la liberacin del
producto.
Logstica
Se encarga de que la implantacin de la

solucin no vaya a causar mayor impacto
y adems que se permita que la solucin
pueda ser soportada y administrada.
Educacin del
usuario
Representa al usuario final en el equipo

de trabajo, asegurndose que el mismo
mejore su desempeo con la solucin
que se monte.
Tabla 1.4.
Modelo de equipo de trabajo.
El equipo de trabajo es multidisciplinario e involucra a varias compaas, por este motivo

el responsable del producto (Product Manager) deber poner especial nfasis en un plan
de comunicaciones eficientes, para garantizar una adecuada sincronizacin de los
esfuerzos.
La siguiente es la matriz de riesgos de alto nivel que se ha elaborado al inicio del
proyecto y que servir de base para irlos controlando y mitigando. Es importante anotar
que el manejo de riesgos segn los lineamientos de MSF es un proceso continuo que se
lo deber realizar en cada fase del proyecto.
Para la cuantificacin de la exposicin que presenta cada riesgo se ha escogido la
siguiente escala:
32
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Nivel
Valor
Alto
Medio
Bajo
Con base a esta escala de medicin se valorar tanto la probabilidad como el impacto
de cada riesgo y se calcular la exposicin.
Descripcin del
Riesgo
Probabilidad
Impacto
Exposicin
Responsable
Acciones Bsicas
Carencia de
Equipos
Adecuados
- Mejoramiento de
Equipos Actuales
- Correcto Dimensionamiento
de Equipos
- Pruebas de stress
Problemas de
convivencia de
Productos en el
mismo servidor
- Distribucin adecuada de
servicios
- Plan de Pruebas
Impacto en los
servicios para
Usuarios
Remotos
- Relevamiento de informacin
de funcionamiento de cada
servicio
- Plan de Pruebas estricto
- Plan de Implantacin
- Cambios a la situacin actual
progresivos y programados
- Plan de Capacitacin
- Proceso de estabilizacin
controlado
Impacto en el
Servicio en la
Puesta en
Produccin de la
Plataforma
- Plan de Pruebas
- Plan de Implantacin
Bajo
rendimiento en
el Servicio
- Plan de Pruebas de Stress

- Depuracin de Servicios y
Usuarios
Problemas en
Implementar la
Contingencia
- Documentacin
- Plan de Pruebas
- Validacin de los Procesos de
Contingencia
Desconocimiento
de los Productos
en Seguridad
Lgica y el
OutSourcing
Tabla 1.5.
Valoracin.
DIRECCIN
DE
SISTEMAS
TIC
33
CONFIABILIDAD
1.2.4.5 Reflexiones del proyecto

El proyecto se desarroll en aproximadamente 4 meses, interactuando varias empresas,
en la actualidad se mantiene la infraestructura con algunas mejoras, sin embargo desde
la fecha de puesta en marcha, el concepto ha sido validado por algunas empresas de
Auditora y por empresas de evaluacin de accesos (Ethical Hacking).
Cabe anotarse que es supremamente importante que el responsable funcional de la
seguridad de la empresa debe estar totalmente convencido de que la seguridad de
informacin es estratgica, tambin debe actualizarse e investigar.
Para poder tener xito en los proyectos en necesario organizarse desde el principio,
tener claros los objetivos y documentados los requerimientos o especificaciones. Si se
llega a ignorar un tema importante, es mejor contratar un socio estratgico o mejor
conocido como consultor y simultneamente investigar que acciones han tomado
empresas similares.
Se debe tener tambin en consideracin los elementos disponibles y las inversiones a
realizar, no es barato el implementar un proyecto de esta naturaleza, pero este costo se
ve compensado con la confiabilidad que se pueda ofrecer y comprometer.
En este proyecto se implementaron y probaron los conceptos de seguridad y
confiabilidad indicados en este captulo, brindando una total garanta a los clientes y a la
gestin informtica de la empresa. Se han comprobado algunos ataques y los
mecanismos implementados tomaron las acciones esperadas, esto es detenerlos.
Los ataques de virus han sido relativamente controlados, como ya se mencion a mayor
cantidad de equipos mayor gestin, sin embargo ha evolucionado e introducido otros
conceptos de balanceo de proveedores de Internet, de tal forma que los clientes puedan
acceder a los servicios permanentemente, tambin se incorpor un acelerador de
pginas WEB, ya que el peso que le agrega a las transacciones de todos estos
elementos es importante.
Al implementar el control de contenido se pudo identificar mal uso en el servicio de
navegacin WEB y de correo, se tomaron las medidas que correspondan y se redujo la
carga en el acceso en un 40%. Paralelamente se actualizaron las polticas de
seguridad, de tal manera que los usuarios suscriban actas de compromiso de buen uso
de la herramienta, caso contrario se aceptan medidas disciplinarias.
Lo importante en temas de seguridad es que una vez ejecutado, se convierte en un ciclo
continuo de mejora y/o revisin, no se debe detener nunca, ya que si se deja de
actualizar de nada sirve en el futuro mediato.
34
DIRECCIN
DE
SISTEMAS
TIC
CONFIABILIDAD
Otro punto no muy bien identificado y controlado en las empresas son los accesos
internos, porque se considera que internamente no existe mayor riesgo, sin embargo en
muchos sitios oficiales que registran delitos informticos demuestran que el mayor
porcentaje se est produciendo por esta va.
Dado que el nivel transaccional se ha incrementado casi en un 300%, se tomaron
medidas para reforzar la plataforma, aplicando redundancia en todos los puntos y
adems se tiene equipos de contingencia con la metodologa N+1.
RELACIN
Concepto estudiado
Tecnologa aplicada
Confiabilidad y disponibilidad del

servicios de accesos a informacin
financiera y otros servicios a
clientes.
Modelos conceptuales de
disponibilidad y confiabilidad para
redisear la plataforma de
accesos, teniendo en mente las
aplicaciones y equipos disponibles
en conjunto con la organizacin
del proyecto.
Tabla 1.6.
Donde se aplic
En el esquema de accesos a
servicios Bancarios va Internet
Relacin de concepto, Tecnologa y Aplicacin.
DIRECCIN
DE
SISTEMAS
TIC
35
CONFIABILIDAD
36
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
Anexo C.2
GESTIN DE
I N F RA E S T R U C T U RA S
2.1
INTRODUCCIN
La gestin de infraestructura, demanda sobre todo conocimientos tcnicos para el

mantenimiento preventivo y correctivo de Hardware (servidores, estaciones de trabajo,
impresoras, equipos de proteccin fsica y en general todo tipo de equipos de tecnologa
de procesamiento de informacin); Telecomunicaciones (networking, LANs, WANs,
etc.), esto se puede realizar con soporte presencial y con soporte remoto (va telefnica,
control remoto, chat, etc.); Control de activos tecnolgicos (administracin del
inventario de equipos y repuestos; aplicaciones; accesos, etc.); Desarrollo de
aplicaciones.
Sin embargo tambin debe complementarse con gestin administrativa, para solicitar,
definir y/o comprender reportes de atencin; definir y exigir niveles de servicio, que a su
vez tiene que transmitidos en forma gerencial a los niveles superiores de la
Organizacin.
En este captulo compartiremos los dos tipos de gestin existentes, con personal
externo, denominado tercerizacin y con personal interno. En lo relacionado a
tercerizacin podemos tener la modalidad por servicios y por equipos, teniendo siempre
como meta la mejor rentabilidad para la empresa. Los gestores deben tener
DIRECCIN
DE
SISTEMAS
TIC
37
GESTIN
DE INFRAESTRUCTURAS
conocimiento de que elementos son necesarios para que tanto el proveedor as como la
empresa puedan entrar en el esquema ganar-ganar; dado que est entrando fuertemente
el modelo de tercerizacin, al final comentaremos dos casos locales de tercerizacin.
2.2
GESTIN DE LA INFRAESTRUCTURA
Antes de la masificacin del uso de la Internet, las empresas invertan, desarrollaban y

ponan a disposicin de sus clientes grandes proyectos de conectividad privados, lo cual
requeran gran cantidad de soporte y por tanto costos altos y muchas veces su tasa de
retorno de inversin insatisfactorio. Lo anterior implicaba o requera ponerse en
contacto con cada cliente por intermedio de una infraestructura de comunicacin
privada y por tanto ese cliente si tena relaciones con empresas similares tena
multiplicidad de tecnologas que en frecuentes ocasiones eran incompatibles y obligaban
a tener equipos especializados.
El poder de negociacin de los clientes era muy reducido y estaban limitadas a aceptar
lo que las empresas podan brindar. Se requera un grupo importante de personal de
soporte para poder atender eficientemente las necesidades de los usuarios, tanto en
instalaciones nuevas, masificacin de nuevas versiones, en el desarrollo de nuevas
opciones as como en la resolucin de los problemas y sobre todo en la administracin
de sus recursos tecnolgicos internos.
Ahora, con el solo uso del navegador de Internet, abre un amplio mundo de
posibilidades, ya que los clientes puede conectarse a un ilimitado nmero de servicios y/
o proveedores de servicios segn su conveniencia, as mismo no es dependiente de lo
que las empresas le brinden, sino que ahora escoge y exige un servicio adecuado y/o
personalizado a las necesidades de las empresas, as mismo la empresas se ven
avocadas a ser innovadores, a brindar valores agregados a la relacin, para poder ser
competitivos y ganar mercado.
Lo indicado anteriormente es producto de la evolucin, innovacin y aplicacin de las
nuevas tecnologas de informacin; otro beneficio importante es la incorporacin de
servicios acordes al perfil o personalizacin de cada cliente.
Las empresas proveedoras de servicios, desarrollan sus proyectos en un modelo
incremental esto es que ponen a disposicin de sus clientes solo los servicios que
requieren, sin embargo se deja abierta la posibilidad de colocar o habilitar nuevos
productos en la medida que se desarrollen o requieran.
38
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
En la antigedad se requera un servicio de soporte casi de puerta a puerta, en cambio

ahora basta con enviar va electrnica un paquete aplicativo o un producto, el cual
puede ser implementado directamente por usuarios sin que tengan mayor experiencia en
tecnologa, siguiendo obviamente una gua o instructivo.
Las empresas requieren ser eficientes y como tal deben sacar provecho a todos sus
recursos internos, humanos y de equipos, para lo cual se debe tener una eficiente
gestin. Hay que reconocer que el estado de crisis en el pas, ha originado un esfuerzo
mayor ya que los costos operacionales hacen tomar medidas drsticas y hasta a veces
riesgosas a los responsables de la gestin.
En resumen las empresas han optimizado el uso de recursos para soportar o atender las
necesidades de sus clientes, pero esto obliga a reforzar su gestin interna.
Los activos de TIC, son dependientes del modelo de negocio de las empresas, por
ejemplo si es centralizado la gestin probablemente se facilita un poco por la
concentracin de la infraestructura, sin embargo hay que tomar en cuenta los
perifricos (estaciones de trabajo, portables, impresoras, equipos de comunicacin y
networking).
El otro modelo, el descentralizado, hay que hacer mucha ms gestin para controlar
aplicaciones, hardware y equipos de telecomunicaciones y sobre todo una buena
capacidad de administracin con herramientas adecuadas.
Con estos antecedentes la gestin se recae sobre todo en los responsables de TI para
comprometer un servicio confiable, simple y permanente, teniendo en cuenta un
aspecto que cobra actualidad como es la tercerizacin de TI, que comentaremos a
continuacin.
La tendencia actual es que las empresas realicen las labores especficas para los fines
que fueron creadas y todos los dems procesos complementarios deben ser
redireccionados hacia empresas especializadas, este nuevo modelo de servicio va
ganando adeptos en la medida que se escuchan casos de xito, para el caso
ecuatoriano esta tendencia es muy lenta, dado la crisis productiva- financiera poltica
jurdica por la que atravesamos, los empresarios o inversionistas en general estn muy
cautos en invertir en el pas.
Mucho de la problemtica nacional se centra en la confianza o fiabilidad y en la
capacidad disponible en las telecomunicaciones, ahora mucho ms estable y
competitiva que hace unos tres aos. En la medida que gane confiabilidad menor ser
el grado de gestin que deba realizar, ya que antiguamente haba que dedicar un gran
nmero de recursos para poder atender y/o coordinar la resolucin de problemas, esto
DIRECCIN
DE
SISTEMAS
TIC
39
GESTIN
DE INFRAESTRUCTURAS
ha permitido optimizar la nmina interna de las empresas. As mismo las operaciones

de los proveedores de servicios y sus clientes se inter-relacionan y tanto la empresa as
como los clientes pasan a depender de las capacidades de sus proveedores.
2.2.1
TERCERIZACIN LA OPCIN ACTUAL
Se puede definir como tercerizacin o subcontratacin, el encargo a un ente externo a

las empresas, las funciones o responsabilidades para lo cuales consideran como no
vitales para el proceso de negocio de la misma y que adicionalmente nos genera un
beneficio de optimizacin de costos operativos.
Es notorio que la tendencia actual del mercado empresarial, es la de tercerizar los
procesos no vitales de Gestin Tecnolgica. El criterio empleado para la toma de estas
decisiones se basa en que las empresas deben realizar o dedicarse nicamente a su
funcin principal y asignar recursos hacia otros procesos complementarios.
A lo anterior se debe agregar el costo que implica el mantener una plantilla interna de
recursos humanos especializados con los riesgos laborales involucrados, capacitacin,
la inversin en equipos y otros costos operacionales; ste es comparado con la
contratacin de una empresa especializada que se haga responsable de la atencin de
esas funciones y el resultado de esta ecuacin ayuda a tomar la mejor decisin; sin
embargo, esto implica todo un proceso muy delicado, ya que hay costos ocultos y
valores intangibles no cuantificables para las instituciones que no son visualizadas en
primera instancia por los responsables.
Algunas causas pueden ser motivos para tomar un proceso de tercerizacin, entre ellas
podemos citar:
- Disputas de orden interno por el poder. En ocasiones hay grandes diferencias
entre responsables de Areas que se disputan el poder ejecutar determinados
proyectos y el responsable de tecnologa no les da viabilidad, lo cual genera
ineficiencias internas por esta disputa. Al tercerizar se intenta que la empresa
externa o proveedor pueda definir, ejecutar o recomendar la ejecucin del pedido
con profesionalismo e imparcialidad, aunque existe el riesgo latente de que con
quien lo contrate exista una afinidad extra.
- Factores financieros. Puede darse el caso que la empresa tenga grandes costos
fijos y se desea convertir o redirigirla hacia una lnea de accin de costos
variables. O que al tercerizar se produzca una entrega de equipos y/o recursos
como parte de pago, generndose una utilidad para la empresa; tambin se
puede dar que el costo que implica las inversiones tecnolgicas no se las realice
40
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
sino que se rente equipos tipo leasing operacional y que el dinero se lo invierta
en otras reas productivas para la empresa.
- Cultura organizacional o simplificacin del organigrama. Puede darse el caso que
se desea simplificar la organizacin, lo que comnmente se llamar aplanar, o
reducir la plantilla de personal interno por alguna estrategia organizacional o por
la automatizacin que se ha realizado y que la gestin de su infraestructura
puede ser perfectamente gestionada por un proveedor de servicios. Es comn
ahora escuchar fusiones y/o absorciones de empresas, en estos casos la cultura
empresarial adopta las mejores prcticas de aquellas que lideran los procesos y
si tienen buenas experiencias de tercerizacin seguramente sern extendidas a
las empresas absorbidas.
- Presiones de contratistas u otras personas influyentes. En frecuentes ocasiones
las empresas no estn totalmente seguras de la conveniencia de tercerizar, sin
embargo se puede dar que un proveedor sea muy agresivo en su oferta para que
el cliente se decida o que alguien muy cercano a quien toma la decisin se vea
influenciado por presiones de diversa naturaleza, para la pronta definicin.
- Rendimiento de la TIC. En empresas donde la gestin de tecnologa se manejada
ineficientemente, generando niveles de servicio con pobres resultados o con
frecuentes fracasos en los proyectos, inducen a los Administradores a
desconfiar de su estructura organizacional y enrumbar hacia alternativas de
tercerizacin.
2.2.1.1 Tercerizacin de servicios

En esta clasificacin se incluyen como su nombre lo indica, servicios de: servicios
profesionales relacionados a soporte, mesa de ayuda o help desk, administracin de
activos, masificacin de aplicaciones y control de versiones, soporte de redes de
networking LAN y WAN, telecomunicaciones, desarrollo de aplicaciones, administracin
de centros de procesamientos de informacin, en algunos casos incluye tambin el
centro de procesamiento de contingencia continuidad de negocios.
Es sumamente importante que excepcin del desarrollo de software, el cual debe ser
evaluado de otra manera que comentar ms adelante, todos los dems procesos deben
de medirse mediante niveles de servicio, que son acordados cliente proveedor al
momento de discutir el convenio.
Para que estos procesos sean rentables, las mejores prcticas recomiendan suscribir
contratos a largo plazo, por lo general 5 aos, sin embargo la realidad Latinoamericana,
es la inestabilidad financiera-social-poltica, generando un alto riesgo a la relacin; se va
DIRECCIN
DE
SISTEMAS
TIC
41
GESTIN
DE INFRAESTRUCTURAS
midiendo o pulsando la temperatura en el transcurso del contrato, y lo que era bueno

ayer, ya no lo es hoy, existen cambios de Administradores y estos vienen con nuevos
criterios, como resultado final se piden reducciones o ajustes pero a cambio el
contratista por lo general reduce la calidad de sus niveles de servicio, ya sea
reemplazando el personal experimentado por otro que no le sea tan costoso y luego
vienen los problemas o insatisfacciones.
Como resultado pueda ser que las empresas soliciten la cancelacin anticipada del
convenio y por tanto iniciar un nuevo proceso de seleccin de tercerizador, pero se
encuentran con el gran problema que ya no cuentan con una infraestructura ni el
conocimiento de cmo y con quien dentro de su organizacin pueda realizarlo. Se
genera una alta exposicin de riesgo operacional para la empresa.
Otro elemento de anlisis es que muy pocas compaas de tercerizacin estn en
capacidad de atender empresas, porque no cuentan con la confiabilidad, ni con personal
ni el capital suficiente para cubrir las necesidades de las empresas y de esta forma lo
que se ocurre es que las ofertas de tercerizacin no resultan ventajosas debido a que
implica que al costo del personal se le debe adicionar los costos administrativos y la
rentabilidad del proveedor, el resultado des esta ecuacin es que no existe ahorro sino
que resulta ms caro tercerizar.
Es probable que en pases del primer mundo sea factible este tipo de procesos, pero en
pases del tercer mundo, como el nuestro, donde la mano de obra es relativamente
barata, no hay oportunidad para empresas de reconocida calidad mundial, estas tratan
de implementar tecnologas o herramientas sofisticadas las cuales demandan inversin
pero si lo comparamos con la mano de obra local no resulta conveniente.
En lo relacionado a desarrollo de software, los responsables deben seleccionar
proveedores de servicios, estableciendo compromisos a largo plazo, basados en la
responsabilidad, cumplimiento y confianza. Por lo general debe ser manejado mediante
proyectos especficos y documentados.
2.2.1.2 Tercerizacin de equipos

Las empresas, si desean ser competitivas o tener permanencia en el mercado, en forma
muy general son dependientes de la evolucin de la tecnologa que utilizan y sta
cambia muy vertiginosamente, por lo que en 2 o 3 aos se deben reemplazar
equipamiento importante por obsolescencia; existen 2 alternativas: rentar o comprar.
42
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
Si se escogiese comprar, el criterio es realizar un anlisis de costo beneficio, para

determinar si la empresa est en capacidad de invertir en equipos o se pueda poner el
capital a trabajar obteniendo una mejor rentabilidad del dinero. Los Administradores no
durarn en tomar la decisin que mejor les convenga, esto es rentabilidad o mayores
ingresos, por tanto los responsables de la gestin deben ser capaces de realizar este
anlisis.
En nuestra realidad hay que tomar en cuenta que los costos de importacin son altos
casi prohibitivos; es muy probable que en los pases desarrollados o donde existan
centro de produccin de equipos de tecnologa, las inversiones en tecnologa bajo esta
modalidad resulten ventajosas, sin embargo en nuestros pases donde las importaciones
estn cargadas de impuestos, los equipos pueden fcilmente llegar a costar el doble o
ms y la promesa de reduccin se va desvaneciendo, obligando a las empresas a
comprar.
Como solucin a lo anterior es muy probable que en los prximos aos las empresas se
vayan organizando y haciendo frentes comunes para obtener beneficios por renta por
volumen con una clusula de renovacin automtica de tal forma que tanto el proveedor
as como las empresas ganen, ya que el proveedor obtiene un ingreso seguro y
permanente en el tiempo y el cliente no tiene que preocuparse mientras dure el
convenio de todas las actividades relacionadas a los equipos como: mantenimiento
preventivo y correctivo, stock de repuestos, personal tcnico, etc. En algunos casos,
como impresoras se incluye el suministros o consumibles.
- Las preguntas son: Cuando se debe iniciar este proceso ? La respuesta es
simple cuando los beneficios superen los riesgos.
- Qu factores debemos tomar en cuenta ? Son 5 los factores que influyen o se
deben tomar en cuenta:
Aprendizaje Organizativo.
Dependiendo de la capacidad de aprendizaje organizativo de la empresa se ve
influenciada en la gestin eficaz de un acuerdo de tercerizacin, es decir que las
empresas que no tienen experiencia en manejar este tipo de procesos se convierte
en una tarea difcil y complicada. El xito depender de que el personal de
supervisin interno cambie radicalmente su forma de trabajo.
Desarrollo estructurado de la cartera de proyectos de TI.
Mientras mas estructurados estn los proyectos que maneja TI, mas probabilidades
existen de tercerizar, es decir si existen documentados y definidos los resultados a
alcanzar por parte de parte de la estructura de TI, existen posibilidades de que una
empresa especializada pueda realizar economas de escala y proveer estos
servicios. Lo contrario es un alto riesgo operacional.
DIRECCIN
DE
SISTEMAS
TIC
43
GESTIN
DE INFRAESTRUCTURAS
Posicin de la empresa en el mercado.

Si la empresa que est analizando la posibilidad de tomar un proceso de
tercerizacin est muy lejos del lder en su lnea de negocios, tendr muchas
dificultades para encontrar un socio de negocios que se pueda encargar de su
gestin y administracin.
Organizacin vigente de la TIC.
Dependiendo de cmo est segregada la estructura orgnica de TI, ser el esfuerzo
de negociar y desplazar esta Unidad hacia un proceso de tercerizacin, caso
contrario ser un proceso complejo.
Posicin en la Matriz estratgica.
Dependiendo de donde se site la empresa dentro de la matriz que se muestra a
continuacin, depender el grado de posibilidad de tercerizar la gestin de TI.
Si las empresas consideran que no debern hacer gestin de seguimiento tecnolgico,
estn muy equivocadas, debe existir un esfuerzo permanente de supervisin para lograr
el xito relativo.
Hay ciertas unidades vitales dentro de la cadena de valor de las empresas, como la
gestin de seguridad informtica y la administracin de datos, que no deberan ser
consideradas en los procesos a tercerizar.
Uno de los pasos crticos para alinear las empresas a esta tendencia, es priorizar o
planificar el orden de los servicios que se podran tercerizar, luego viene la seleccin de
los proveedores para cada servicio. Los errores de una mala eleccin suelen ser muy
costosos, ya que aparte de la prdida del conocimiento y experiencia, se ha perdido
tiempo y dinero.
44
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
ALTO
EFECTO DE LAS TI EN LAS OPERACIONE SFUNDAMENTALES
Gestin de los recursos de informacin
orientados a servicios ininterrumpidos.
Gestin de recursos de
informacin estratgica.
Presuncin de tercerizacin: no se
recomendable el proceso si la empresa es
grande y est bien gestionada.
Presuncin de tercerizacin:
Mixta.
Razones a considerar:
Posibilidades de economa de escala para
empresas medianas y pequeas.
Alta calidad de servicio y apoyo
Facilita la concentracin de la gestin
La tecnologa de canal extendido facilitan
las soluciones internacionales de TI
Rescatar una unidad de TI interna
fuera de control
Investigar una fuente de liquidez
Facilitar la flexibilidad de los
costes
Facilitar la gestin de las
desinversiones
Suministrar acceso a la tecnologa
de las aplicaciones y capacidades
que de otra forma no conseguirn
Gestin de los recursos de informacin

orientados al soporte
Gestin de los recursos de

informacin orientados a
servicios ininterrumpidos.
Presuncin de tercerizacin: Si
Presuncin de tercerizacin:
Mixta.
Acceso a una profesionalizacin superior en
TI
La posibilidad de despidos es de baja
prioridad y problemtica
Reduccin del riesgo de arquitecturas
inadecuadas de TI.
Unidad interna de TI no
capacitada en las
tecnologas necesarias.
Unidad interna de TI no
capacitada en las capacidades de
gestin de proyectos necesarias
Acceso a aplicaciones y
capacidades que de otra forma
seran inalcanzables.
BAJO
Tabla 2.1.
ALTO
Matriz estratgica para la gestin de los recursos de informacin.
DIRECCIN
DE
SISTEMAS
TIC
45
GESTIN
2.2.2
DE INFRAESTRUCTURAS
GESTIN CON PERSONAL INTERNO
Es una prctica o concepto que est muy arraigado en nuestra cultura organizacional,
esto es debido a que los responsables de la gestin de tecnologa desconfan de la
calidad y/o de la continuidad de los servicios que brindan las empresas tercerizadoras y
es que realmente la cultura de servicio de las empresas es muy pobre, es posible que al
comienzo de la relacin comercial sea apreciable, sin embargo con el recurrir del tiempo
esta va desmejorando, obligando a buscar reemplazos; otro punto de vista a considerar
es que los responsables de la gestin de infraestructura han sido educados o se han
formado como parte de estructuras internas y eso crea un paradigma difcil de romper.
La alta rotacin de personal tcnico en el pas, denota que existe demanda sin embargo
las empresas no estn cumpliendo parte de su rol, esto es, identificar a su personal con
la empresa, esto se logra mediante un proceso de induccin y creando planes de
crecimiento. Es que en las actuales circunstancias las empresas no invierten en sus
empleados, sin embargo se exige que el personal tcnico est actualizado de las ltimas
tecnologas, definitivamente esto es incompatible y en el momento menos esperado los
tcnicos abandonan definitivamente sus puestos de trabajo, generando sendos
problemas de administracin.
En lo relacionado a las estructuras o componentes de la gestin de la infraestructura
con personal interno, podemos encontrar diversos elementos de anlisis, sin embargo
siempre depende de la cultura tecnolgica, del tamao y del mercado atendido por la
empresa.
Existen ciertas especializaciones en empresas grandes mismas que pueden ser asumidas
si la rentabilidad de las mismas lo permite, podemos citar una clasificacin a manera de
modelo:
- De soporte de Hardware y sistema operativo. Se encarga de realizar y/o
coordinar el mantenimiento preventivo y correctivo de los equipos.
- De soporte de telecomunicaciones y redes. Tambin se encarga de realizar y/o
coordinar el mantenimiento preventivo y correctivo de los equipos y proveedores
de comunicaciones.
- Help desk soporte a aplicaciones de ofimtica y aplicaciones propias. Se
encarga del soporte al usuario final en cuanto a problemas y soporte de
funcionalidad de las herramientas de usuario final para el manejo de informacin.
46
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
- Custodia de versiones y pases de versin. Como su nombre lo indica su funcin

es la de custodiar las versiones, licencias, actualizacin y distribucin de las
aplicaciones de usuario final, tambin tiene relacin con el personal tcnico de
desarrollo de aplicaciones, sea este interno o externo.
- Seguridad de accesos. Su funcin es la de habilitar y administrar los accesos a
la informacin de la empresa por cualquier va.
- Base de datos. Administra la informacin y el rendimiento del o de los
repositorios de informacin de la empresa.
- Desarrollo de aplicaciones. Bsicamente son analistas e ingenieros de sistema,
que brindan mantenimiento a las aplicaciones de la empresa.
- Operadores. En sistemas grandes requieren una atencin personalizada para
ejecutar procesos de acuerdo a una bitcora, generar reportes, tomar acciones
cuando se producen alertas, entre sus principales funciones.
Adicionalmente pueden existir Areas o clasificaciones para que la lnea de reporte sea o
este identificada y liderada, podemos citar:
- Infraestructura (HW, y Telecomunicaciones).
- Desarrollo de aplicaciones.
- Produccin.
- Seguridad informtica.
- Base de datos -Ingeniera de Sistemas- Custodia de aplicaciones y versiones.
- Administracin de activos de TI.
Donde debe estar ubicada dentro de la estructura organizacional de las empresas ?
Depende de los criterios de la Alta Gerencia cul es la lnea de reporte del rea de
Tecnologa, es posible que se la ubique reportando a:
- Gerencia General.
- Vicepresidencia Ejecutiva-Gerencia o responsable de Operaciones.
- Gerencia o responsable de Finanzas.
- Gerencia o responsable de Negocios.
DIRECCIN
DE
SISTEMAS
TIC
47
GESTIN
DE INFRAESTRUCTURAS
Los gestores de tecnologa son una mezcla de Administradores y Tcnicos, es bastante

difcil conseguir este equilibrio pero una vez que se alcanza esta madurez los
Administradores deben ser muy hbiles para mantener motivado a este personal.
Existen en la actualidad muchas limitantes econmicas, por lo que los responsables de
tecnologa y su grupo de trabajo se ven avocados a ser multifuncionales, es decir tienen
que resolver todo tipo de problemas, sean de: Hardware, Software base, Aplicacional o
de Telecomunicaciones.
La gestin tecnolgica tiene responsabilidad de:
- Hacer un plan de negocios a mediano y/o largo plazo.
- Mantener controlado el presupuesto de gastos operacionales.
- Utilizar los equipos a plena capacidad (no subutilizarlos).
- Planificar las actividades de sus recursos.
- Controlar las licencias y actualizaciones.
- Motivar al personal a su cargo.
2.2.3
CASO PRCTICOS DE TERCERIZACIN DE GESTIN DE INFRAESTRUCTURA
Vamos a analizar 2 casos en los cuales una institucin bancaria ha incursionado sobre el
tema de actualidad de este captulo, es decir procesos de tercerizacin:
C ASO I. T ERCERIZACIN
DE GESTIN DE SOPORTE A USUARIOS ,
ADMINISTRACIN DE ACTIVOS TECNOLGICOS Y OPERACIN DEL

CENTRO DE CMPUTO
Esta fue la primera experiencia en el Banco de un proceso de tercerizacin, rompiendo
un paradigma cultural, que era dar la gestin de casi toda la plataforma tecnolgica a
una empresa externa, en este especfico caso, IBM del Ecuador. El proceso de
contratacin fue medianamente largo, se conoce que dur alrededor de 16 meses en
que las partes se pusieran de acuerdo para iniciar el proceso de transicin, ya que
implicaba documentar todos los niveles de servicio que la empresa deseaba obtener en
respuesta al costo que implicaba.
El alcance del mismo tena una duracin de 70 meses, tena un componente de
actualizacin tecnolgica del centro de cmputo, la gestin de todo su centro de
48
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
procesamiento principal y obviamente el servicio tradicional de soporte y mantenimiento

a servidores, al usuario final en lo relacionado a toda la infraestructura de aplicaciones y
hardware, impresoras, etc. La administracin de licencias, la distribucin de software y
la administracin de ubicacin de los activos y componentes tecnolgicos.
Luego de definidos los niveles de servicio se pas a un proceso de transicin de la
operacin en la cual durante un tiempo de 10 meses, se permita ciertas distorsiones en
los resultados de la atencin, luego de lo cual poda ser penalizado si se comprobaba
que el causal era responsabilidad de la compaa proveedora.
A fines de los aos 90s, vino la crisis financiera del sistema y la empresa opt, como
no poda ser de otra manera, por una estrategia de reduccin agresiva de costos
operacionales, en las que la gestin de Tecnologa era el segundo rubro ms importante
y este rubro era casi el 65% del total del gasto tecnolgico.
Se procedi a un largo, difcil y complejo proceso de renegociacin de los componentes
del acuerdo, en la se centr principalmente en dejar insubsistente la actualizacin
tecnolgica del centro de cmputo, ya que para esas fechas se haba decidido cambiar
de una plataforma cerrada hacia una plataforma abierta.
Finalmente hubo una reduccin importante, sin embargo posteriormente los Accionistas
y los Administradores consideraban que los costos no estaban en funcin del servicio
que recibamos, es por esta razn que se procede a una segunda negociacin en la cual
se redujeron ciertos servicios y se actualizaron los niveles de servicio acorde a la nueva
realidad empresarial.
El cambio de Administrador del proceso o de la Gestin es el ingrediente que ms puede
pesar en una relacin de este tipo ya que el nuevo integrante viene con otra cultura,
otra realidad, otro concepto y no necesariamente va a continuar con la misma lnea de
accin que la que tom la decisin.
Al llegar a la recta final del acuerdo y dado que el convenio nunca fue de total
satisfaccin para el cliente entonces se plante una alternativa para extender el
convenio pero ajustndose otro tanto los servicios, misma que entra en un proceso de
negociacin de 8 meses
La estrategia en este caso es que el CIO no deseaba exponer a un riesgo innecesario a
la operacin de la empresa, al recomendar cambiar de proveedor de servicios ya que
todo cambio de esta naturaleza implica un proceso doloroso de adopcin de nuevos
procedimientos, por tanto haba que balancear las relaciones comerciales y ser un
catalizador de las necesidades de la empresa, lo que deseaba el CIO y la rentabilidad del
proveedor.
DIRECCIN
DE
SISTEMAS
TIC
49
GESTIN
DE INFRAESTRUCTURAS
As mismo es preciso expresar que cada empresa o caso es un mundo diferente, lo que
es un xito en una puede no serlo en otra, sin embargo de las experiencia de los dems
hay que aprender, adoptar e implementar. Lo recomendable que haya un sinergia entre
el proveedor y los responsables de hacer seguimiento de la gestin del proveedor, que
este ltimo est comprometido con una calidad de servicio que le permita ser un
referente para otras empresas y estar en continuo aprendizaje, ya que el mundo de la TI
es dinmico y vertiginoso.
Otro error del proveedores en este caso fue que por reducir sus costos para que no le
afecte la rentabilidad fue que tom la decisin de separar integrantes experimentados y
con conocimiento del negocio, no se puede decir que fallaron en este sentido porque los
niveles de servicio no se vieron afectados, sin embargo en la relacin a largo plazo si se
est viendo afectada ya que no existen los recursos necesarios para poder tomar una
ventaja estratgica en la relacin, ya que conociendo las virtudes y debilidades de la
empresa es posible plantear nuevos proyectos que refuercen la relacin, en este caso
tomaron la decisin equivocada.
a- Reflexin caso I
Como corolario del caso presentado, se comprueba los conceptos y/o experiencias
emitidos previamente en este captulo:
Al cambiar durante estos aos la Administracin de la empresa que recibe los
servicios, ha cambiado la visin o metas por las que fue tomada la decisin y por
tanto muchos de los servicios han sido cancelados para obtener reducciones en la
facturacin.
Al reducir los servicios y facturacin bajaron los niveles de calidad del personal que
atiende la empresa y se traslada responsabilidades a personal inexperto.
Como resultado del punto anterior el proveedor ha pedido oportunidades de negocio
estratgico de renovacin tecnolgica.
Es muy rgida la estructura organizacional del proveedor y su reaccin para tomar
determinas medidas ha sido lentas.
Al no tener experiencia previa se percibe que el costo por el servicio brindado no
tiene relacin con el beneficio obtenido.
Con la transferencia de personal del cliente al proveedor en el proceso de
transicin, no siguieron un proceso de readaptacin o culturizacin, mismo que
mantuvo su paradigma de cultura de servicio.
50
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
La estructura organizacional ha aprendido de este proceso a como manejar un

proyecto de tercerizacin adoptando medidas e incluyendo condiciones en nuevos
proyectos.
Se detalla a un nivel macro como se debe plantear los servicios que se deben recibir por
parte de los proveedores de servicios de soporte y administracin de tecnologa y
adems se describen los niveles de servicios que se pueden acordar, de tal forma de
poder controlar el nivel de satisfaccin del mismo. No es una norma pero
definitivamente es una gua para aquellos gestores que no han tenido ninguna
experiencia en este tipo de negociaciones, obviamente depende de las necesidades de
la empresa y del alcance de los servicios que se van a tercerizar.
CONCEPTO
ESTUDIADO
TECNOLOGA
APLICADA
Diferencias en el
anlisis del alcance que
expusieron a la
empresa a riesgos
operacionales y costos
elevados.
Tabla 2.2.
DONDE SE
APLIC
Gestin administrativa
para renegociar
contrato.
Gestin de
infraestructura
CASO II.- TERCERIZACIN

REDES LANS
DE GESTIN DE
TELECOMUNICACIONES
Por estrategia empresarial se est empezando a analizar cada proceso no relacionado

con la naturaleza del negocio de tal forma de tercerizarlos si por lo menos genera un
ahorro del 35% de los costos operacionales.
Este proceso de tercerizacin empez por un relevamiento interno de neceSidades,
mediante una matriz de riesgo en la cual determinamos finalmente el costobeneficio de
que la gestin se la realice con un proveedor externo. Esto involucra todos los costos:
recursos humanos incluido sus beneficios, capacitacin, inversiones en herramientas de
monitoreo, entre los principales.
Tambin se debe cuantificar de alguna manera los riesgos de no tener soporte interno.
Luego se solicit a empresas de la localidad que estn interesadas en brindar el servicio
DIRECCIN
DE
SISTEMAS
TIC
51
GESTIN
DE INFRAESTRUCTURAS
con el condicionante que tengan experiencia y que adems estn atendiendo o tengan
un contrato a mediano plazo por lo menos un cliente importante.
Se debe calificar al personal que integrar el equipo de trabajo del proveedor de tal
forma que se garantice su experiencia y conocimiento y de no cumplir con la misma,
solicitar su reemplazo.
Un punto importante es la permanencia en el mercado y las referencias de otros
clientes, ya que se puede dar el caso de que la empresa proveedora est en problemas
laborales o financieros y que exista el riesgo de que a corto plazo desaparezca,
obviamente causando un grave inconveniente a quien est empezando a utilizar sus
servicios.
Al analizar las ofertas se deben establecer si las condiciones de la misma satisfacen el
direccionamiento de las Alta Gerencia (Administracin), finalmente se selecciona a las
que estn dentro de los parmetros que condicionan el servicio.
Finalmente queda una firma con la que se va a negociar a fondo y otra que debe
responder a un plan b por si falla la primera. Un vez superado todo este proceso se
comienza a establecer un plan de transicin muy corto ya que el riego de que personal
interno pueda ejecutar un mal proceso es alto, este plan debe estar incorporado al
convenio de tal forma de tener un respaldo al comenzar las relaciones comerciales, as
mismo se debe establecer un tiempo en la cual si la calidad del servicio no es la
adecuada se pueda cancelar el convenio, quedando la empresa expuesta a tener
problemas operacionales, es por esta razn que es muy importante conocer al proveedor
en toda su trayectoria previo a que asuma la total responsabilidad. As mismo debe
existir mucha comunicacin entre las partes para conocerse y equilibrar lo que el cliente
desea y percibe.
Debe ser muy importante que el equipo de trabajo que reemplaza a los integrantes
internos le brinden una tranquilidad absoluta al CIO y/o al responsable de supervisar el
servicio, aunque esto se consigue a mediano plazo, porque al comienzo la relacin es
exigente y el responsable directo del servicio del proveedor debe estar alineado a la
calidad del servicio total y constante, aunque existen culturas empresariales que no
tienen la presin de que sus servicios estn disponibles permanentemente o en un alto
grado de tiempo, lo cual puede ser aprovechado por el proveedor para establecer un
lazo de confianza con su cliente, demostrando su experiencia y elevando el tiempo de
disponibilidad.
52
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE INFRAESTRUCTURAS
Se deben elaborar reportes de tipo ejecutivo y de detalle, el primero muy importante

para mostrar la gestin realizada y debe ser participado en reuniones cortas y con una
periodicidad constante hacia el Director o responsable de informtica de la empresa; ser
proactivo y constante en este tipo de gestin logra dar una sensacin de confianza.
As mismo cuando ocurran problemas severos o que afecten la continuidad del negocio
debe mantenerse una permanente comunicacin hacia los responsables y el(los)
usuario(s) afectado(s). Los reportes de detalle sirven de soporte para buscar los
causales de determinado problema y siempre es bueno tener documentado todas las
novedades ocurridas, este puede ser analizado con el responsable directo de la
operacin y siempre debe ser llevado o tenerlo disponible para las reuniones de
seguimiento que se organicen.
Otra forma de motivar una permanente calidad del servicio es convenir bonos de
eficiencia, en las cuales obliga al proveedor a solucionar o cumplir los parmetros
establecidos, sin embargo hay que tener cuidado porque en estos casos se trata de
buscar culpables para justificar que no se hayan alcanzado los niveles de servicio en el
tiempo acordado. Todo lo contrario si queremos tener una relacin de corto o mediano
plazo incluyamos dentro del convenio sanciones drsticas a incumplimientos por ms
mnimos que se tengan.
Es ms recomendable trabajar en un ambiente de armona de constante motivacin y
comunicacin que lo contrario; tengo el pleno convencimiento que esta prctica en los
que desembocar en una relacin exitosa o en un sonado fracaso.
b- Reflexin Caso II
Es poco el tiempo de suscrito este y aunque es muy pronto para establecer su
conveniencia o no, sin embargo:
Se han incorporado controles para corregir deficiencias aprendidas del otro proceso,
corroborando lo indicado en los 5 factores para tomar una decisin.
Se intenta establecer una relacin a largo plazo donde exista beneficios para ambas
partes.
Se limita a un proceso muy segregado y especializado, lo cual facilita el proceso de
tercerizacin.
DIRECCIN
DE
SISTEMAS
TIC
53
GESTIN
DE INFRAESTRUCTURAS
Tabla 2.3.
54
CONCEPTO
ESTUDIADO
TECNOLOGA
APLICADA
Diferencias en el
anlisis del alcance
que expusieron a la
empresa a riesgos
operacionales y costos
elevados.
Gestin administrativa
para negociar contrato.
DONDE SE
APLIC
Gestin de
infraestructura
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DE CARTERAS DE PROYECTOS
Anexo C.3
G E S T I N D E C A R T E RA S D E
PROYECTOS
3.1
INTRODUCCIN
En este captulo trataremos algunos conceptos y aspectos que las empresas deben
tener en cuenta para controlar sus proyectos de TIC y no enfrentar riesgos. Por lo
general los proyectos tecnolgicos son de alta criticidad y si no son correctamente
gestionados pueden generar grandes prdidas a las Organizaciones.
Un anlisis de los ltimos aos sugiere que las deficiencias y fracasos de los proyectos
provienen de tres aspectos importantes:
Descuidos en la evaluacin del riesgo de implantacin al momento de financiarlos.
Poca evaluacin del riesgo agregado en la implantacin de proyectos.
Distraccin en el diferenciamiento del enfoque en la gestin de los diferentes
proyectos.
Tambin trataremos la utilidad de diferentes herramientas que ayudan en la gestin al
responsable de los proyectos.
DIRECCIN
DE
SISTEMAS
TIC
55
GESTIN
3.2
GESTIN DE LA CARTERA DE PROYECTOS DE TIC
Las empresas frecuentemente se ven enfrentadas a riesgos de fracasos en la ejecucin

de proyectos, debido a la incorporacin de nuevas tecnologas a su infraestructura.
Como ya se mencion anteriormente la tecnologa evoluciona vertiginosamente y por
tanto las herramientas y aplicaciones tienen un ciclo de vida relativamente corto, podra
estimarse que est entre 3 y 5 aos; esto hace que existan muchos proyectos
ejecutndose simultneamente y si la gestin de los mismos no tiene el control
adecuado, pues definitivamente algunos de ellos fracasarn o no se implantarn en la
medida de las necesidades de las empresas.
Este conjunto de proyecto es lo que denominamos cartera de proyectos, al igual que las
finanzas deben ser calculados y gestionados eficientemente para mitigar el riesgo
inherente.
La administracin de la cartera es compleja y se requiere de mucha habilidad y
experiencia para seleccionar la herramienta y el control adecuado, seleccionar el equipo
humano y/o asignarlo dependiendo del avance de los mismos.
La gestin de proyectos tecnolgicos es el proceso por el cual se planifica, dirige y
controla el desarrollo de un sistema aceptable con un manejo del costo eficiente y
dentro de un perodo de tiempo especifico.
3.2.1
CONTROL DE GESTIN
No existe una forma o un procedimiento estndar para realizar gestin de proyectos,

esta debe adoptarse acorde a las condiciones o entorno de cada empresa y en funcin
de las caractersticas de cada proyecto.
Existen mecanismos o instrumentos para gestin de proyecto como por ejemplo:
- De integracin externa. Los cuales permiten establecer vnculos entre el equipo
que conforma cada proyecto y los usuarios. En esta categora estn los
mecanismos de comunicacin organizacionales.
- De integracin interna. Para asegurar que el equipo del proyecto funciona de
manera integrada.
- De planificacin formal. Que nos ayudan a estructurar secuencias de tareas,
estimaciones de tiempo, dinero y recursos para la ejecucin del proyecto.
56
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
- De control formal de resultados. Nos ayudan a gestionar el progreso y a situar

las discrepancias potenciales para adoptar medidas correctivas.
En la tabla que se muestra a continuacin nos permite visualizar algunos elementos de
control que podemos utilizar al gestionar los proyectos.
ELEMENTOS DE CONTROL PARA LA GESTIN DE PROYECTOS

DE INTEGRACIN/TCNICAS EXTERNAS
DE INTEGRACIN/TCNICAS INTERNAS
Seleccin del usuario como gestor del proyecto
Seleccin de un profesional experimentado de TI

para liderar el equipo del proyecto
Comit de observacin del usuario
Reuniones de equipo
Proceso de control de cambio gestionado por el usuario
Distribucin de la informacin del equipo de

proyectos decisiones de diseo esenciales
Distribucin de informacin dentro del equipo de

proyectos entre los usuarios esenciales.
Revisin /inspeccin de estatus tcnico
Seleccin de usuarios como miembros del equipo
Tcnicas de recursos humanos par mantener una

baja rotacin en los miembros del equipo
Proceso de aprobacin del usuario de las

especificaciones del sistema
Seleccin de un alto porcentaje de los miembros

del equipo con relaciones de trabajo previas
importantes
Establecer prototipos con los usuarios
Participacin de los miembros del equipo en la

fijacin de los objetivos y el establecimiento del
plazo limitado
Informes de progreso
Obtencin de asistencia tcnica externa
Intervencin/responsabilidad del usuario en otras

desicisiones y acciones escenciales
DEPLANIFICACIN FORMAL
DE CONTROL DE RESULTADOS FORMALES
SW de gestin de proyectos (PERT, CPM)
Informes de estado de avance vs. plan
Seleccin de hitos
Disciplinas y sistemas de control del cambio
Especificaciones del sistema
Reuniones para revisar hitos
Procesos de aprobacin de proyectos
Anlisis de desviaciones del plan
Procedimientos de auditora post-proyecto

Tabla 3.1.
Elementos de control para la gestin de proyectos.
Cuando la cartera est cargada de proyectos de alto riesgo, existe una alta posibilidad
de interrupciones operativas y/o que algunos de los proyectos no se cumplan a tiempo.
Para determinar el riesgo de los proyectos es necesario desarrollar un perfil de riesgos
de implantacin.
DIRECCIN
DE
SISTEMAS
TIC
57
GESTIN
A continuacin se muestran algunos aspectos que llevan a las empresas a orientar

esfuerzos o a categorizar los proyectos para calificar sus riesgos: Los proyectos
altamente estructurados y con baja aplicacin tecnolgica, presentan problemas
tcnicos conocidos, tienen el riesgo ms bajo y son relativamente fciles de gestionar.
Este tipo de proyectos no se requieren capacidades extraordinarias para gestionarlos y
podra ser suficiente aplicar PERT y CPM (control de la ruta crtica). Cabe resaltar que
este tipo de proyectos es poco comn de encontrarse.
FACTORES QUE INFLUYEN EN LA CALIFICACIN DE RIESGOS

Enfoque de riesgo de
cartera
FACTOR
Bajo
Alto
Estabilidad del grupo de desarrollo de TIC
Alto
Bajo
Calidad percibida por las personas de la organizacin sobre el grupo de

desarrollo de TIC
Alto
Bajo
La TIC es crtica para el suministro de los servicios corporativos corrientes
No
Si
La TIC es una ayuda importante para las decisiones
No
Si
Grupo de desarrollo de sistemas de TIC con experiencia
Si
No
Desastres importantes de TIC en los ltimos 2 aos
No
Si
Nuevo equipo de gestin de TI C
No
Si
La TIC es percibida como crtica para suministrar los servicios futuros de la

empresa
No
Si
La TIC es percibida como crtica para las ayudas futuras de apoyo a las
decisiones
No
Si
La empresa es percibida como atrasada en la utilizacin de TI C
No
Si
Tabla 3.2.
Factores que influyen en la calificacin de riesgos.
Los proyectos altamente estructurados y de alta aplicacin tecnolgica, son muchsimo

ms complejos de gestionar que los anteriores; requieren de especificaciones bien
definidas y relativamente no requieren una alta interaccin entre el personal del
proyecto y los usuarios. En este tipo de proyectos es comn encontrar que la
tecnologa seleccionada no es aplicable o eficiente para determinada tarea por lo que
hay que posponerla por un largo periodo hasta lograr seleccionar una que se ajuste a las
necesidades. En este tipo de proyectos es clave el liderazgo tcnico y la integracin
interna.
58
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
Los proyectos de baja estructura y baja tecnologa, bien gestionados presentan bajos
perfiles de riesgo, sin embargo se pierde el control por la poca concentracin y atencin
de sus gestores. El objetivo clave es asignar un usuario como responsable del diseo,
desarrollo y ejecucin, sin embargo debe ser capacitado con las tcnicas y herramientas
necesarias para poder realizar la gestin.
Los proyectos de baja estructura y alta tecnologa, son tcnicamente complejos,
extremadamente difciles y se debe poseer experiencia tcnica y habilidades de
comunicacin con los usuarios. Es particularmente crtico el compromiso del usuario,
sin embargo al mismo tiempo se requiere un fuerte liderazgo tcnico e integracin
interna, por lo que se requiere un lderes altamente experimentados con usuarios
altamente comprometidos.
La tabla que se muestra a continuacin muestra la contribucin relativa que aportan los
instrumentos de gestin al xito del proyecto segn su tipo.
CONTRIBUCIN AL RIESGO POR TIPO DE PROYECTO

Tipo de
proyecto
Descripcin del
proyecto
Integracin
externa
Integracin
interna
Planificacin
formal
Control de los
resultados formales
Alta estructura/Baja
tecnologa, grande
Baja
Media
Alta
Alta
II
Alta estructura/Baja
tecnologa, pequeo
Baja
Baja
Media
Alta
III
Alta estructura/Alta
tecnologa, grande
Baja
Alta
Media
Media
IV
Alta estructura/Alta
tecnologa, pequeo
Baja
Alta
Baja
Baja
Baja estructura/Baja
tecnologa, grande
Alta
Media
Alta
Alta
VI
Baja estructura/Baja
tecnologa, pequeo
Alta
Baja
Media
Alta
VII
Baja estructura/Alta
tecnologa, grande
Alta
Alta
Baja +
Baja +
VIII
Baja estructura/Alta
tecnologa, pequeo
Alta
Alta
Baja
Baja
Tabla 3.3.
Contribucin al riesgo por tipo de proyecto.
DIRECCIN
DE
SISTEMAS
TIC
59
GESTIN
3.2.2
METODOLOGA PARA EL DESARROLLO DE PROYECTOS
Para poder gestionar proyectos es necesario aplicar alguna metodologa, de tal forma
que se tengan claros los objetivos a lograr. De manera prctica podemos recomendar se
sigan los siguientes pasos:
3.2.2.1 Alcance/Objetivo
En este punto se debe definir la meta a alcanzar; puede ser una necesidad para
automatizar un proceso o reemplazar alguno que sea obsoleto o una reingeniera. Se
debe contar con el respaldo de la parte ms alta de la estructura organizacional de la
empresa, de tal forma que fuerce a todos los integrantes a apoyar positivamente al
proyecto.
3.2.2.2 Definicin de especificaciones

Este considero que el punto ms importante de todos, ya que se debe describir muy
amplia y descriptivamente todos los conceptos involucrados con lo que se va a
desarrollar, para esto nos valemos del conocimiento de usuarios expertos, tcnicos de
las aplicaciones, para lo cual se deben realizar sendos talleres dirigidos, de tal forma de
visualizar lo que el se desea en el futuro y no llevar los mismos defectos actuales al
proyecto.
3.2.2.3 Definicin de plataforma tecnolgica

Dependiendo del tipo de proyectos se debe definir con que herramientas se va a
desarrollar y/o en que equipos se va a ejecutar el proyecto una vez desarrollado. Este
punto puede derivar en otro proyecto ya que en caso de proyectos grandes puede
implicar consideraciones de capacidad de equipos, configuracin de seguridades,
capacidades de equipos de usuario final, es otras palabras un proyecto de
infraestructura.
3.2.2.4 Definiciones de estndares de desarrollo

Hay que definir muy cuidadosamente como se va a nombrar cada proceso, cada tabla,
paquete comn, etc. y ser muy firme en la documentacin tcnica, ya que esto servir
para que luego de implementado el producto se le pueda dar mantenimiento a la
aplicacin.
60
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
3.2.2.5 Integrador
Este punto es opcional, es dependiente del tamao del proyecto y sobre todo si va a
existir varios proveedores inter-relacionndose. Su funcin como su nombre lo indica
es la de integrar los diversos productos/mdulos aplicacionales/plataformas o procesos
que estn involucrados en el proyecto.
Luego de realizado los puntos anteriores, mismos que son dependientes del tamao y la
cultura de las empresas se debe continuar con el control mismo del proyecto,
designando un responsable o gerente del mismo.
3.2.3
CONTROL DE PROYECTOS TECNOLGICOS
El control es una actividad, que forma parte de la vida cotidiana del ser humano; la
finalidad bsica del control es la modificacin del comportamiento de la persona,
proceso u objeto que se controla. El control es una funcin que se realiza mediante
parmetros que han sido establecidos anteriormente al acaecimiento del evento
controlado, es decir, el mecanismo de control es el resultado de una planificacin.
Debemos proyectarnos sobre la base de previsiones futuras y debemos ser
suficientemente flexibles para permitir adaptaciones y ajustes que se originen en
discrepancias entre el resultado previsto y el ocurrido; esto significa que el control es
una funcin dinmica, no solo porque admite ajustes, sino porque est renovndose
ciclo tras ciclo.
En la ejecucin de cualquier proyecto, el gestor, conocido como Gerente o tambin
Director de proyecto, no es una persona experimentada que se haga cargo del control
del proyecto, sino ms bien debe aplicar un conjunto de tcnicas y conocimientos, entre
las que se incluye la planificacin, la seleccin de personal, la organizacin, la definicin
de calendarios, la direccin y el control; que ayuden a que el proyecto cumpla con los
objetivos propuestos.
Teniendo en cuenta que dentro de las funciones del gerente de proyectos se encuentra
la de dirigir y controlar las operaciones de ejecucin de tal modo que el conjunto de
acciones ejecutadas se ajusten (en tiempo, costo y calidad) a lo especificado en el
proyecto, es de vital importancia para el cabal desarrollo de cualquier proyecto, que el
gerente tenga la autoridad, capacidad (de liderazgo, de adaptacin), sentido de
equilibrio, ingenio (improvisacin) y una gran facilidad de comunicacin y rapidez para
tomar decisiones y para controlar las tareas, teniendo presente la dificultad que esto
implica tratndose de proyectos.
DIRECCIN
DE
SISTEMAS
TIC
61
GESTIN
Un director siempre debe elaborar un plan, en el cual evala las necesidades de recursos
y formula las tareas o actividades para llegar al objetivo. Un plan bsico para el
desarrollo de un proyecto es el suministrado por el ciclo de vida del desarrollo de
sistemas:
- Anlisis y Diseo
-
Construccin
- Implantacin e Instrumentacin
- Operacin y Mantenimiento
Dentro de las principales causas por las que fallan los proyectos, se encuentra el hecho
de que los analistas no respetan los estndares; no conocen o tienen poca experiencia
sobre las nuevas herramientas y las tcnicas del anlisis y diseo de sistemas y por
sobre todas las cosas, puede haber una mala gestin y direccin de los recursos del
proyecto. Adems existen una serie de factores que pueden hacer que el sistema sea
mal evaluado, entre estas se pueden citar:
Necesidades no satisfechas o no identificadas.
En este caso, el error puede aparecer debido a que se omiten datos durante el
desarrollo del proyecto, es por esto que es muy importante no saltar ninguna
etapa del ciclo de vida del desarrollo de sistemas.
Cambio no controlado del mbito o alcance del proyecto.
El realizar una mala definicin de las expectativas de un proyecto en sus
orgenes, ya que si no estn bien definidos los requerimientos mximos y
mnimos que el proyecto debe satisfacer desde el comienzo, los desarrolladores
vern afectados su trabajo por el sndrome de las necesidades que crecen el
cual les dejara hacer cambios en el proyecto en cualquier momento sin
detenerse a pensar si esos cambios sern buenos para el proyecto como un
todo; por supuesto, todas estas modificaciones acarrearan alteraciones en los
costos y en los tiempos de entrega.
Exceso de costo.
El costo que un proyecto involucra puede aumentar durante el desarrollo de
este debido a que para comenzar un proyecto generalmente se exige un estudio
de viabilidad en el cual no se incluyen datos completamente precisos de la
cantidad de recursos que cada tarea consumir y es en base a este estudio que
se hacen estimaciones de los recursos totales que el proyecto va a necesitar;
adems el costo puede aumentar por el uso de criterios de estimacin poco
eficientes por parte de los analistas.
62
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
Retrasos en la entrega.
Generalmente se debe a que los directores del proyecto no son buenos
gestionando los tiempos de entrega de cada una de las diferentes tareas que el
proyecto involucra, es as que cuando tienen un retraso no son capaces de
alterar los plazos de entrega finales creyendo que podrn recuperar el tiempo
perdido, en general esta es una muy mala poltica de trabajo porque no siempre
es posible acelerar otras tareas para ahorrar tiempo en la entrega final.
Aunque los factores citados pueden influir de manera muy trascendentemente para la
falla de un proyecto, generalmente estn acompaados de otro tipo de falencias. Para
evitar todas estas fallas, se debe tener al mando del proyecto un director experimentado
que conozca muy bien las herramientas de diseo y anlisis de sistemas adems de una
buena formacin en las funciones bsicas de direccin.
3.2.3.1 Tipos de control

Pueden clasificarse, dependiendo del momento en que se realice la accin de control, en
la forma que se indica a continuacin:
a.- Control direccional

El mecanismo de control acta antes de que la actividad est totalmente concluida, en
este caso el control se realiza de modo continuo y no en puntos determinados, de modo
que cada elemento de la accin sea el resultado de la rectificacin casi instantnea de la
accin anterior.
Es lo que ocurre por ejemplo, con un conductor de un vehculo, al orientar su trayectoria
de acuerdo con los obstculos que se encuentran en el camino. El espacio de tiempo
entre la percepcin de la nueva situacin, la evaluacin de la rectificacin a efectuar, la
decisin y la accin correctiva debe ser mnimo, caso contrario se expone a ocasionar
un accidente.
En proyectos, este tipo de control se puede realizar cuando se tiene estructurado un
sistema, que permita controlar los diferentes factores de manera continua.
b.- Control aprobado - reprobado

En este caso, el receptor del control se somete a un examen despus de concluidas
determinadas actividades. En caso de aprobacin se permite la realizacin de la
actividad siguiente. Si hubiera una rectificacin, el proceso se interrumpe
definitivamente o hasta que se subsanen las irregularidades.
DIRECCIN
DE
SISTEMAS
TIC
63
GESTIN
Este es el caso tpico del control de calidad. Una pieza de la lnea de produccin se
somete peridicamente a inspeccin, la que se realiza de acuerdo con especificaciones
preestablecidas por el rgano encargado del diseo tcnico del producto. Al pasar la
inspeccin, la pieza se libera para someterse a la prxima operacin. Al ser reprobada,
se la encamina hacia un campo de recuperacin, si esto fuera posible. Al no ocurrir esto
ltimo, la pieza se desecha.
En proyectos ocurre algo similar, si se realiza este control y, se detectan fallas en alguna
de las actividades, lo ms recomendable es encaminarla(s) correctamente, para que no
se presenten problemas posteriores.
c.- Control post-operacional

El mecanismo de control slo se pone en funcionamiento despus de concluida toda la
operacin. La informacin para la accin correctiva en este tipo de control, solo se
utilizara en un periodo (proyecto) futuro cuando se inicie la planificacin para un nuevo
ciclo de actividades.
Ocurre, por ejemplo, en la evaluacin final de un curso de capacitacin. Este tipo de
control se utiliza tambin con la finalidad de dar premios e incentivos a los agentes que
participaron en la actividad.
Vale la pena mencionar que estos tres tipos de control no son mutuamente excluyentes,
sino que ms bien, deben ser complementarios. La decisin de emplear un tipo aislado
de control o una combinacin de los tipos antes mencionados, esta en funcin del
carcter del sistema que se desea controlar y del nivel de complejidad que se intenta
introducir en los mecanismos de control.
Se debe tener muy en cuenta los conocimientos tcnicos y de empresa que son
necesarios para terminar un proyecto con xito. La clave de esta misin es saber
identificar adecuadamente a las personas que habran de desarrollar las tareas
requeridas.
Para realizar el seguimiento de la ejecucin del Proyecto Integral y la introduccin de
ajustes que resultarn de la experiencia adquirida a lo largo del mismo; comprende:
64
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
3.2.3.2
Herramientas para el control
Para ayudarnos a gestionar proyectos nos valemos de algunas tcnicas que nos
permiten visualizar en el tiempo los avances de las actividades, el uso de recursos y los
costos involucrados. Entre las tcnicas tenemos:
PERT/CPM. En los grficos PERT, los proyectos pueden organizarse en
acontecimientos y tareas. Un acontecimiento (tambin llamado hito) es un punto
en el tiempo que representa el inicio o la finalizacin de una tarea o un conjunto de
tareas, estos acontecimientos reciben a menudo el nombre de nodos. Todos los
grficos PERT tienen un nodo de inicio y un nodo de fin que seala el fin del
proyecto.
En un grfico PERT, Una tarea es una actividad del proyecto (o un
conjunto de actividades)
Grficos de Gantt: Estos se basan en un enfoque grfico de barras. Cada barra
simboliza una tarea del proyecto, en donde el eje horizontal representa el tiempo.
Como estos grficos se emplean para encadenar tareas entre s, el eje horizontal
debera incluir fechas. Verticalmente, se visualiza una relacin de las tareas.
Existen algunos cuestionamientos bsicos requeridos para completar la propuesta de un
proyecto: Cunto tiempo se requerir? Cuntas personas sern necesarias? Cunto
costara la tarea? Qu tareas deben terminarse antes de empezar otras?
Algunas de estas preguntas se pueden resolver con ayuda de un grfico PERT.
Antes de elaborar un grafico PERT, debe hacerse una estimacin del tiempo requerido
por cada tarea del proyecto. El grafico PERT puede utilizarse para indicar los tiempos
mximos y mnimos para la finalizacin de las tareas.
Para calcular los requisitos de tiempo y dibujar un grfico PERT, son necesarios cinco
pasos:
1. Hacer una lista de todas las tareas y acontecimientos del proyecto.
2. Determinar las dependencias entre las tareas. Para cada tarea, se anotan las
tareas que han de completase antes y despus de la terminacin de la tarea en
concreto.
3. Hacer una estimacin de la duracin de cada tarea.
4. Calcular el tiempo mnimo de finalizacin y el tiempo mximo de finalizacin
(TmF y TMF) para cada tarea.
5. Dibujar el grfico PERT.
DIRECCIN
DE
SISTEMAS
TIC
65
GESTIN
El calendario de proyecto debera desarrollarse con un conocimiento preciso de los

requisitos de tiempo, las asignaciones de personal y las dependencias de unas tareas
con otras. Muchos proyectos tienen un lmite a la fecha de entrega solicitada. El director
del proyecto debe determinar si puede elaborarse un calendario factible basado en dicha
fecha.
Una vez iniciado el proyecto, el director del proyecto se convierte en su mximo
responsable. Como tal, dirige las actividades del equipo y hace evaluaciones del avance
del proyecto; por consiguiente, todo director de proyectos debe demostrar ante su
equipo cualidades de direccin, como son saber motivar, recompensar, asesorar,
coordinar, delegar funciones y reconocer el trabajo de los miembros de su equipo.
Adems, el director debe informar frecuentemente del avance del proyecto ante sus
superiores.
Cabe resaltarse que son muy raros los proyectos que puedan llevarse a la prctica sin
problemas y retrasos, esto es debido a que se toma dentro de las premisas del proyecto
el que entorno es cambiante, es decir que no se puede pedir que las condiciones o
necesidades de la empresa se paralicen durante la ejecucin del mismo o que algn
rgano regulador no emita disposiciones. Esto lleva a que en cualquier parte del
proyecto se introduzcan nuevas actividades que por lo general retrasan la entrega del
mismo.
Un buen director de proyectos se basa en sus datos y su experiencia en otros proyectos
anteriores. Los requisitos de tiempo de los proyectos deben ser calculados por
estimacin.
A continuacin algunos factores que influyen sobre las estimaciones:
- Tamao del equipo de proyecto.
- Experiencia de los miembros del equipo.
- Numero de usuarios finales y directivos.
- Actitud de los usuarios finales.
- Compromiso de la direccin.
- Disponibilidad de los usuarios finales y los directivos.
- Proyectos en curso.
Hay que tener especial atencin el camino crtico, el cual es una secuencia de tareas
dependientes en un proyecto en la cual si una tarea del camino crtico se retrasa en sus
plazos, se retrasar tambin todo el proyecto. Cuando un director de un proyecto
66
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
detecta que una tarea crtica va con retraso, debern plantearse diversas alternativas de
accin.
Podrn entonces tomarse medidas correctivas, como la redistribucin de recursos
humanos, estos recursos probablemente se obtendrn de tareas no crticas que en la
actualidad marchen correctamente.
El uso y las ventajas principales del grfico PERT se derivan de su capacidad para asistir
al director de proyectos en la planificacin y el control de los mismos. Tambin le
ayudan a identificar los problemas actuales y potenciales.
Los grficos de Gantt, es una sencilla herramienta de grficos de tiempos, ya que son
fciles de aprender, leer y escribir. Estos resultan bastante eficaces para la planificacin
y la evaluacin del avance de los proyectos.
Una ventaja importante de los grficos Gantt es que ilustran claramente el solapamiento
entre tareas planificadas. A diferencia con los grficos PERT los grficos Gantt no
muestran claramente la dependencia que existe entre tareas diferentes.
Para generar un calendario de proyecto utilizando grficos Gantt, primero se tiene que
identificar las tareas que deben planificarse; a continuacin, se determinar la duracin
de cada tarea a travs de tcnicas y frmulas para la estimacin apropiada de tiempos.
Una de las responsabilidades ms habituales del director de proyectos es informar sobre
el avance del proyecto a sus superiores; los grficos Gantt suelen utilizarse para mostrar
el avance de los proyectos, en virtud de que pueden comparar de forma conveniente la
planificacin original con el desarrollo real.
Los grficos Pert y Gantt, se presentan frecuentemente como herramientas de gestin
de proyectos mutuamente excluyentes. Normalmente, se recomienda PERT para
grandes proyectos con alta dependencia entre las tareas: Gantt, por su parte, es
recomendable para los ms sencillos.
Todos los proyectos de desarrollo de sistemas tienen algunas dependencias entre tareas
y ofrecen la ocasin de solapar tareas; por consiguiente, estos grficos deberan
utilizarse como herramientas complementarias para planear, programar, evaluar y
controlar los proyectos de desarrollo de sistemas.
Por lo general los directores de proyectos de sistemas de informacin prefieren los
grficos Gantt por su sencillez y su capacidad para mostrar el calendario de un
proyecto.
DIRECCIN
DE
SISTEMAS
TIC
67
GESTIN
C ASO :
DESARROLLO DE UN PROYECTO DE REEMPLAZO DE CORE
BANCARIO.
Objetivo: La administracin del banco requera reemplazar su plataforma especializada

de procesamiento financiero, que fue desarrollada con personal interno pero que en los
actuales momentos el modelo tecnolgico resultaba obsoleto y que adicionalmente tena
costos operacionales elevados. Adems por demanda de los clientes (internos y
externos) y de la competencia requera un cambio total, para reaccionar acorde a las
necesidades.
Con este requerimiento se conform un equipo para evaluar algunas alternativas
existentes en el mercado local de productos desarrollados y personalizados. De las
alternativas encontradas todas ellas respondan a modelos de operacin particulares a
realidades de cada institucin, las cuales difieren en alto grado entre cada una de ellas
es por esta razn que implicaba casi un desarrollo nuevo, adems se pasaba a tender
una alta dependencia de la continuidad y del soporte del proveedor, tambin implicaba
un severo cambio cultural de la Organizacin, misma que no exista ese compromiso, ya
que simultneamente se estaba optimizando el personal y se estaban reajustando las
estructuras. Es por esta razn que se determin que un desarrollo conjunto era la mejor
alternativa por 2 razones principales, se poda adaptar a las necesidades operacionales
de la empresa y el costo de personalizacin y licenciamiento eran muy inferiores a las
otras alternativas.
El proyecto general estaba compuesto de 8 mdulo o subproyectos, que deban ser
manejados inicialmente independientes, pero que en corto plazo deban integrarse.
Una de las partes ms difciles es romper el paradigma del personal al cambio cultural,
esto es su filosofa de trabajo, su actualizacin en las herramientas mediante
capacitacin, la organizacin e integracin en equipos de trabajo y principalmente el
liderazgo.
Uno de los errores inicialmente cometidos fue la falta de documentacin de los
requerimientos, ya que se plante el desarrollo y la personalizacin de la aplicacin de
acuerdo a lo que actualmente tenamos, sin embargo no se relevaron los diferentes
procesos y procedimientos, de tal forma que en el camino se fue realizando camino al
andar, lo cual llev a riesgos y retrasos importantes.
Al inicio no se defini un administrador que controle el proyecto mediante una
herramienta y que controle a nivel de tareas las actividades propias del proyecto; sin
embargo al ir avanzando en el mismo se vio la necesidad de nombrarlo para poder tomar
el control y corregir ciertas deficiencias.
68
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
El entorno cambiante tambin es un punto de alta consideracin para el Gestor de TI,

nunca debe considerarse que los proyectos estn en una caja de cristal el cual no es
afectada por el entorno, la realidad es que muchas cosas cambian y obviamente
impacta en la ruta de los resultados del proyecto, esto es algo que nunca es
considerado ni incluido en los planes por los responsables de los proyectos ni por los
administradores; es una de las principales causas del porqu los proyectos de TI casi
nunca son entregados a tiempo.
Otra causa importante es la tecnologa a emplease, el Gestor de TI debe visionar el
proyecto no a corto plazo sino a mediano plazo con un crecimiento gradual, en este
caso hubieron muchos cambios en el proceso de desarrollo y los responsables de los
subproyectos intentan implementar la ltima tecnologa pero no visualizan el impacto
que tiene en el proyecto integral, lo mejor es fijar las versiones y la arquitectura en un
determinado punto, para luego en el proceso de mantenimiento, ir realizando las
actualizaciones que sean necesarias.
Precisamente conociendo estos errores, la metodologa presentada se concentra
especialmente en estos elementos para conseguir alcanzar los objetivos planteados.
Como es lgico, esta metodologa debe ser flexible y vara en su desarrollo en funcin
de los recursos asignados al proyecto y de las caractersticas de la organizacin.
Se muestra un resumen de la gestin del proyecto en sus diferentes actividades al
cuarto nivel de detalle.
3.2.3.3 Reflexiones
Cuando hay que gestionar un proyecto tan importante como la integracin de las
Nuevas Tecnologas, es necesaria una metodologa ya que en caso contrario las
posibilidades de triunfar disminuyen. Lamentablemente es este proyecto no se tomaron
una serie de medidas de planificacin y estrategia, que pudieron evitar los serios
retrasos que tuvimos.
Uno de los problemas ms habituales es olvidar el aspecto humano, es frecuente que
los directivos de una organizacin vean claramente cmo ha de cambiar, pero no
consiguen hacerlo correctamente porque se olvida que el cambio se debe empezar en
las personas; suele pasar que se invierte mucho tiempo y conocimientos en el desarrollo
del plan y muy poco tiempo en cmo conseguir que la organizacin implante y
desarrolle ese cambio.
DIRECCIN
DE
SISTEMAS
TIC
69
GESTIN
El resultado de esto, es que se fracase estrepitosamente, cuando esa visin que el

directivo tiene, no ha sabido transmitirla para el momento de implantarla y conseguir a
partir de ese momento cambiar los procesos y cultura de la organizacin.
Los problemas en la gestin del cambio por lo general se deben a la resistencia al
cambio de las personas de la organizacin, a todos los niveles (direccin, mandos
medios, tcnicos, etc.). Estos son debidos a la incertidumbre y prdida de control de la
nueva situacin, falta de confianza, ruptura de la rutina, prdida de derechos adquiridos
y en general, miedo a lo desconocido.
Otra de las causas del fracaso de los proyectos es la pobre o ninguna elaboracin de
especificaciones funcionales y tcnicas al momento de comenzar un proyecto. En este
caso se tuvieron serios retrasos en la entrega del proyecto precisamente por haber
hecho camino al andar, esto hace que los proyectos no tengan trmino, ya que al estar
la puerta abierta los requerimientos ingresan sin fin. Para detener este proceso lo mejor
es darse un a pausa establecer que metas se deben alcanzar y cuando; todo lo dems
debe realizarse en etapas posteriores.
Resumiendo un poco, para este caso tenemos las siguientes vivencias:
- Falta de planificacin y objetivos en el proceso de cambio.
- Falta de metodologa en el proceso.
- Estructura inadecuada.
-
Falta de recursos.
- Pobre comunicacin interna.

- Tiempos de entrega exageradamente apretados.
Para superar estos inconvenientes se tuvo que sobre la marcha realizar lo siguiente:
El proceso de reemplazo de lo redefini en cinco fases:
Fase 1. Definicin de los objetivos del proyecto as como una visin de cul ser la
situacin final tras el desarrollo del proyecto.
Para el correcto desarrollo y ejecucin del proyecto, el primer paso ser definir los
objetivos que persigue y la visin de sus resultados. Se ha de tener presente que una
incorrecta definicin de objetivos puede llevar a indefiniciones posteriores.
70
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
Una clara visin del cambio ayuda a que todos los integrantes de la organizacin
conozcan sus ventajas y as tener cada uno claro las ventajas que les aportar el
cambio.
Fase 2. Diagnstico de las capacidades de los recursos as como de las posibilidades
que tiene empleando las nuevas tecnologas.
En esta fase, se debe hacer una profunda reflexin sobre la empresa en la que habra
que contemplar aspectos como:
Cmo puede afectar a la estrategia?
Cules son sus ventajas competitivas respecto a la competencia hoy y cmo
pueden variar en el futuro?
Cmo son los procesos de negocio?
Cul es la estructura de costes del negocio y en qu procesos se producen?
Cules son los costes y tiempos de gestionar la informacin?
Cmo se relaciona la organizacin con sus clientes?
Cmo es el proceso de distribucin?
Qu informacin tiene la empresa sobre sus clientes?
Cmo gestiona su cadena de suministro?
Cul es la situacin tecnolgica en cuanto a sistemas de informacin?.
Qu conocimientos tienen las personas de la organizacin al respecto las Nuevas
Tecnologas?
Cul es el posicionamiento de la competencia frente a las Nuevas Tecnologas?
Cul es la evolucin del sector y de su competencia?
Cul es el grado de introduccin en las Nuevas Tecnologas de los competidores?
Cmo son los productos/servicios que se ofrecen en la empresa y cmo pueden
afectar sobre ellos las nuevas tecnologas?
Fase 3. Desarrollo del plan de acciones, as como los objetivos concretos que se
alcanzarn.
Revisin del plan estratgico de la organizacin y su despliegue para integrar en l
la figura de las Nuevas Tecnologas.
DIRECCIN
DE
SISTEMAS
TIC
71
GESTIN
Desarrollo del plan tecnolgico partiendo de las necesidades del proyecto.

Estudio del impacto de las Nuevas Tecnologas en los procesos de la organizacin.
Desarrollo del plan de comunicacin interna.
Fase 4. Implantacin del cambio en las fases definidas.
Adaptacin del organigrama de la empresa.
Puesta en marcha del plan tecnolgico.
Implantacin de los nuevos procesos.
Diseo o rediseo de las tecnologas asociadas.
Definicin de polticas y procedimientos de seguridad.
Puesta en marcha del plan de comunicacin.
Plan de capacitacin.
Fase 5. Seguimiento de la solucin y control.
CONCEPTO ESTUDIADO
Administracin de un macro
proyecto y sus sub-proyectos
o componentes.
Tabla 3.4.
72
TECNOLOGA
APLICADA
DONDE SE
APLIC
Gestin de control
proyectos con el
apoyo de MS Project
y
evaluacin
de
riesgos de TIC.
Area
tecnolgica de
la organizacin.
DIRECCIN
DE
SISTEMAS
TIC
GESTIN
DIRECCIN
DE
SISTEMAS
TIC
73
GESTIN
74
DIRECCIN
DE
SISTEMAS
TIC

Reingenieria

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Reingenieria

Загружено:

Авторское право:

Доступные форматы

CONFIABILIDAD

Como ya es conocido, las empresas son cada vez ms dependientes de su tecnologa de

RE ING ENIER A, ES TRAT E GIA

SERVICIOS DE TIC CONFIABLES Y DE GARANTA

La tendencia actual de los servicios empresariales es utilizar el Internet como medio de

RE ING ENIER A, ES TRAT E GIA

TIPOS DE REDUNDANCIA PARA CENTROS DE

Nivel del centro

Tipos de redundancia para centros de procesamiento.

Mientras mayor es el nivel requerido por las empresas en su confiabilidad bastante

RE ING ENIER A, ES TRAT E GIA

El tema de seguridad es bastante amplio y nos podemos extender muchsimo en este

recuperacin en caso de desastre, y no al concepto de Nivel de Servicio

RE ING ENIER A, ES TRAT E GIA

1.2.3.1 Polticas y organizacin de seguridad

- Clasificacin y control de activos.

- Gestin de continuidad los negocios.

RE ING ENIER A, ES TRAT E GIA

Modelo para implementacin de Sistema de Gestin de SI.

Es un proceso de mejoramiento continuo que toma como insumos los requerimientos y

1.2.3.2 Anlisis de riesgos

En un proceso de Anlisis de riesgos se pueden establecer los siguientes componentes:

RE ING ENIER A, ES TRAT E GIA

Disminuir la intervencin humana, con una reduccin adicional del coste de

La informacin podra ser clasificada de acuerdo a los siguientes criterios:

RE ING ENIER A, ES TRAT E GIA

1.2.3.3 Proteccin fsica

1.2.3.4 Proteccin lgica

RE ING ENIER A, ES TRAT E GIA

La contrasea tiene que:

1.2.3.5 Proteccin de informacin de usuario

Una buena medida es la separacin de los Sistemas de Desarrollo y Produccin, las

1.2.3.6 Cifrado o criptografiado

RE ING ENIER A, ES TRAT E GIA

1.2.3.7 Virus informticos y otros cdigos dainos

Se pueden dividir en dos grandes grupos:

RE ING ENIER A, ES TRAT E GIA

1.2.3.8 Conexiones externas / accesos

- Prdida de integridad, por corrupcin de Informacin, como consecuencia del

RE ING ENIER A, ES TRAT E GIA

de protocolo y dispositivos de control de accesos que manejan de forma segura la

1.2.3.10 Deteccin de intrusos y vigilancia de la red

1.2.3.11 Evaluaciones de penetracin (Ethical Hacking)

CASO: IMPLANTACIN DE UNA PLATAFORMA DE SEGURIDAD DE ACCESOS

A continuacin se expone un caso real de cmo mejorar la seguridad de acceso a una

DE MEJORAMIENTO DE LAS ARQUITECTURA DE SEGURIDAD

DE CONEXIN A INTERNET Y REDES EXTERNAS

RE ING ENIER A, ES TRAT E GIA

Diseo Conceptual de la Estructura de Acceso a Internet y Redes Externas. (Caso a analizar)

En la figura 1.2 se muestra un diagrama global de lo que se espera conseguir a la

1.2.4.1 Funcionalidades del Firewall

RE ING ENIER A, ES TRAT E GIA

Las polticas de seguridad del Firewall se definir nicamente para direcciones IP y

DNS (53 UDP)

- RPC (137,138,139 en TCP y UDP para invocar componentes)

a) Los usuarios de salida desde la Intranet al Internet son 550

1.2.4.2 Funcionalidades del ISA Server

RE ING ENIER A, ES TRAT E GIA

3. Los protocolos de salida a Internet que se permitirn bsicamente son: http,

17. Finalmente, se deber realizar una recomendacin del perfil de conocimientos

Funcionalidades del e-Trust

1.2.4.4 Funcionalidades de Inoculate IPO

RE ING ENIER A, ES TRAT E GIA

Risc 110 MHz