INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERIA MECÁNICA

Y ELECTRICA UNIDAD CULHUACÁN

SISTEMAS DE INFORMACIÓN

TEMAS ADICIONALES A SISTEMAS DE

INFORMACIÓN

PROFESOR: MIGUEL ÁNGEL MIRANDA

HERNANDEZ

ALUMNO: LUIS GABRIEL CADENA LÓPEZ

GRUPO: 7CV32
 ÍNDICE

Contenido
ÍNDICE.................................................................................................................................................. 2

ADMINISTRACIÓN DE PROYECTOS ...................................................................................................... 5

¿Qué es un proyecto? ..................................................................................................................... 5

¿Qué es la Administración de proyectos? ....................................................................................... 5

¿Cuál es la importancia de la evaluación de proyectos? ................................................................ 5

Ciclo de vida de un proyecto ........................................................................................................... 5

ADMINISTRADOR DE PROYECTOR (PROJECT MANAGEMENT) ....................................................... 6

Gestión del alcance del proyecto .................................................................................................... 7

Elementos incluidos en el alcance del proyecto ............................................................................. 7

SEGURIDAD INFORMÁTICA ................................................................................................................. 8

¿Por qué es importante la seguridad? ............................................................................................ 8

Amenazas y vulnerabilidades .......................................................................................................... 8

Ataques informáticos ...................................................................................................................... 8

Tipos de ataques ............................................................................................................................. 9

Trashing (cartoneo): .................................................................................................................... 9

Monitorización: ........................................................................................................................... 9

Ataques de autenticación: .......................................................................................................... 9

Denial of Service(DoS): ................................................................................................................ 9

Modificación (daño): ................................................................................................................... 9

Protocolos Criptográficos y Estándares ........................................................................................ 10

Ingeniería Social ............................................................................................................................ 11

FORMAS DE ATAQUE..................................................................................................................... 11
 Estándares de Seguridad ............................................................................................................... 12

ANÁLISIS DE RIESGO .......................................................................................................................... 13

¿Qué es el análisis de riesgo?........................................................................................................ 13

Métodos de análisis de riesgo ....................................................................................................... 13

Métodos Cualitativos ................................................................................................................ 13

Métodos Semi-cuantitativos ..................................................................................................... 13

Métodos Cuantitativos: ............................................................................................................. 14

Pasos para la evaluación de riesgos .............................................................................................. 14

Establecer criterios de medición del riesgo .............................................................................. 14

Desarrollar un perfil de activos de información........................................................................ 14

Identificar contenedores de activos de información ................................................................ 15

Identificar áreas de preocupación............................................................................................. 15

Identificar escenarios de amenaza ............................................................................................ 15

Identificar riesgos ...................................................................................................................... 16

Analizar riesgos ......................................................................................................................... 16

Seleccionar un enfoque de mitigación ...................................................................................... 17

DISEÑO DE PROCESOS DE FLUJO....................................................................................................... 18

Factores principales que afectan las decisiones de diseño de los procesos ................................. 19

- Naturaleza de la demanda de productos/servicios........................................................... 19

- Grado de integración vertical ............................................................................................ 19

- Grado de automatización .................................................................................................. 19

- Calidad del producto/servicio ........................................................................................... 19

MEJORES PRACTICAS ......................................................................................................................... 20

¿Qué son las mejores prácticas corporativas? .............................................................................. 20

¿Para qué sirven las mejores prácticas corporativas? .................................................................. 20

¿Quiénes las aplican? .................................................................................................................... 20

 MEJORES PRACTICAS EN LOS SISTEMAS DE INFORMACIÓN ......................................................... 20

MODELO DE PRUEBAS ....................................................................................................................... 22

¿Qué es un modelo de prueba? .................................................................................................... 22

Pruebas Unitarias o de Componente ............................................................................................ 22

Pruebas de Integración ................................................................................................................. 22

Pruebas de Sistema ....................................................................................................................... 23

Pruebas de Aceptación:................................................................................................................. 23

Planificación .................................................................................................................................. 24

REFERENCIAS ..................................................................................................................................... 25
 ADMINISTRACIÓN DE PROYECTOS

¿Qué es un proyecto?
Un proyecto es un esfuerzo complejo, no rutinario, limitado por el tiempo, el
presupuesto, los recursos y las especificaciones de desempeño y que se diseña
para cumplir las necesidades del cliente.

¿Qué es la Administración de proyectos?

La administración de proyectos es la técnica o metodología utilizada para alcanzar
objetivos en un tiempo estimado.
El volumen de trabajo, sumado a unas variables y unos requisitos cada vez más
complejos han dado lugar a que cada vez más empresas e instituciones administren
su trabajo por proyectos.
Este método de organizar y planificar el trabajo persigue objetivos fundamentales
en toda organización: eficiencia, productividad, reducción de costes y tiempos,
sinergias, compensación de recursos, control, orden y evaluación continua de
resultados. [1]

¿Cuál es la importancia de la evaluación de proyectos?

Trabajar utilizando una correcta administración por proyectos supone una gran
ventaja si queremos mejorar la productividad de la empresa y obtener rutas de
trabajo óptimas para los recursos con los que contamos.

Ciclo de vida de un proyecto

Es el conjunto de fases en las que se organiza un proyecto desde su inicio hasta su
cierre. Una fase es un conjunto de actividades del proyecto relacionadas entre sí y
que, en general, finaliza con la entrega de un producto parcial o completo. Hay
proyectos sencillos que sólo requieren de una fase, y otros de gran complejidad que
requieren un importante número de fases y sub-fases.
En ocasiones se hace referencia a una estructura genérica del ciclo de vida que se
compone de las fases de:
 - Definición
- Planeación y Ejecución del trabajo
- Entrega

figura 1.1 ciclo de vida de un proyecto

Este es un modelo genérico de ciclo de vida que puede ser utilizado como
referencia, especialmente cuando se quiere comunicar la evolución del proyecto a
personas poco habituadas a este tipo de gestión.
En la práctica no existe una única organización de fases ideal que se pueda aplicar
a todos los tipos de proyectos. Aunque existan modelos habituales en algunas
industrias, los proyectos pueden presentar variaciones muy significativas. Algunos
proyectos tendrán una sola fase, otros, en cambio, pueden constar de dos, tres,
cuatro o más fases. [2]

ADMINISTRADOR DE PROYECTOR (PROJECT MANAGEMENT)

Es el responsable principal de que el proyecto llegue a su estado final, cubriendo
todas las expectativas y con la mayor eficiencia en cada una de las fases de vida
del proyecto. El administrador de proyectos se encarga de planear, dirigir, controlar,
motivar, etc.
Las características más importantes de un administrador de proyectos son:
- Capacidad de decidir
- Saber vencer retos
- Capacidad para trabajar con personas y grupos diversos
- Saber relacionarse bien
- Manejar tensiones apropiadamente
- Saber trabajar en equipo
- Saber hacer equipos
- Ser creativo e innovador
- Estar orgulloso por sus logros

Gestión del alcance del proyecto

Incluye los procesos necesarios para garantizar que el proyecto incluya todo el
trabajo requerido para completarlo con éxito. Su objetivo principal es definir y
controlar que se incluye y que no se incluye en el proyecto.

Elementos incluidos en el alcance del proyecto

Recopilar Requisitos: Es el proceso que consiste en definir y documentar las

necesidades de los interesados a fin de cumplir con los objetivos del proyecto.
Definir el Alcance: Es el proceso que consiste en desarrollar una descripción
detallada del proyecto.
Crear la EDT: Es el proceso que consiste en subdividir los entregables y el trabajo
del proyecto en componentes más pequeños y más fáciles de manejar.
Verificar el alcance: Es el proceso que consiste en formalizar la aceptación de los
entregables del proyecto que se han completado.
Controlar el alcance: Es el proceso que consiste en monitorear el estado de
alcance de proyecto y del producto, y en gestionar cambios a la línea base del
alcance.

SEGURIDAD INFORMÁTICA
La seguridad puede entenderse como aquellas reglas técnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como
susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o
empresarial. En este sentido, es la información el elemento principal a proteger,
resguardar y recuperar dentro delas redes empresariales.

¿Por qué es importante la seguridad?

Por la existencia de personas ajenas a la información, también conocidas como
piratas informáticos o hackers, que buscan tener acceso a la red empresarial para
modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal administrativo o de
sistemas, de cualquier compañía; de acuerdo con expertos en el área, más de 70
por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por
el personal interno, debido a que éste conoce los procesos, metodologías y tiene
acceso a la información sensible de su empresa, es decir, a todos aquellos datos
cuya pérdida puede afectar el buen funcionamiento de la organización. [3]

Amenazas y vulnerabilidades
Podemos agrupar las amenazas a la información en cuatro categorías: Factores
humanos, fallas en el sistema de procesamiento de la información, desastres
naturales y actos maliciosos.

Ataques informáticos
Es un intento organizado e intencionado causada por una o más personas para
causar daño o problemas a un sistema informático o red.

El problema de la propagación de los virus informáticos puede ser significativo

teniendo en cuenta que un virus puede dañar o eliminar datos del equipo, usar el
programa de correo electrónico para propagarse a otros equipos o incluso borrar
todo el contenido del disco duro.

Tipos de ataques

Trashing (cartoneo):
Este ocurre generalmente cuando un usuario anota su login y password en un
papelito y luego, cuando lo recuerda, lo arroja a la basura. Esto por más inocente
que parezca es el que puede aprovechar un atacante para hacerse de una llave
para entrar al sistema.

Monitorización:
Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo
de establecer sus vulnerabilidades y posibles formas de acceso futuro.

Ataques de autenticación:
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para
ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya
establecidas por la víctima u obteniendo su nombre de usuario y password.

Denial of Service(DoS):
Los protocolos existentes actualmente fueron diseñados para ser hechos en una
comunidad abierta y con una relación de confianza mutua. La realidad indica que
es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo;
así los ataques de Negación de Servicio tienen como objetivo saturar los recursos
de la víctima de forma tal que se inhabilita los servicios brindados por la misma.

Modificación (daño):
la modificación o daño se puede dar como:
Tampering o Data Diddling: Esta categoría se refiere a la modificación
desautorizada de los datos o el software instalado en el sistema víctima (incluyendo
borrado de archivos). Borrado de Huellas: El borrado de huellas es una de las tareas
más importantes que debe realizar el intruso después de ingresar en un sistema, ya
que, si se detecta su ingreso, el administrador buscará como conseguir "tapar el
hueco" de seguridad, evitar ataques futuros e incluso rastrear al atacante.

Protocolos Criptográficos y Estándares

La criptografía funciona en varios niveles. En un nivel se encuentran algoritmos tales
como el cifrado de bloques simétrico y los algoritmos de llave pública. Construyendo
sobre estos se obtienen protocolos, y construyendo sobre los protocolos se obtienen
aflicciones (u otros protocolos).
El análisis de los protocolos es generalmente difícil porque las aplicaciones que
implementan dichos protocolos pueden conducir a problemas adicionales. De esa
manera un buen protocolo no es suficiente, se debe tener una buena y robusta
implantación.[4]

Algunos protocolos conocidos son:

Generic Security Services API (GSSAPI): GSSAPI provee una interfase de
autenticación, intercambio de claves y encripción para diferentes algoritmos de
encripción y sistemas.
EEE P1363 - Especificaciones sobre el estándar criptográfico de llave pública: es
un (siguiendo con lo precedente) estándar criptográfico de clave pública. Consiste
de varios algoritmos de llave pública para encripción y firma digital. Tiene un anexo
en que se profundiza en todos los detalles necesarios para su implementación.
Secure Shell (Shell Seguro): el protocolo SSH versión 2 es desarrollado por el Grupo
de trabajo SecSh de la IETF. Es un protocolo muy versátil para las necesidades de
Internet y es usado en el SSH Tectia software. Se lo utiliza para asegurar sesiones
de Terminal y conexiones TCP arbitrarias.
IPSec: mientras que los protocolos arriba mencionados operan en la capa de
aplicación de Internet, permitiendo comunicaciones por canales seguros sobre una
red insegura, IPSec intenta hacer a Internet una red segura en su esencia, el
Protocolo de Internet (IP).

Ingeniería Social
La Ingeniería Social es el acto de manipular a una persona a través de técnicas
psicológicas y habilidades sociales para cumplir metas específicas. Éstas
contemplan entre otras cosas: la obtención de información, el acceso a un sistema
o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo
ser o no del interés de la persona objetivo.

FORMAS DE ATAQUE
Las formas de ataque son muy variadas y dependen de la imaginación del atacante y
sus intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el
físico y el psicosocial.
Sus formas de ataque más comunes son:

 Ataque por teléfono: Es la forma más persistente de Ingeniería Social. En

ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose
pasar por alguien más, como un técnico de soporte o un empleado de la
misma organización. Es un modo muy efectivo, pues las expresiones del
rostro no son reveladas y lo único que se requiere es un teléfono.

 Ataque vía Internet. Desde que Internet se volvió uno de los medios de
comunicación más importantes, las variedades de ataques en red se
incrementaron tanto como la gran cantidad de servicios que existen en él.
Los ataques más comunes son vía correo electrónico (obteniendo
información a través de un phishing o infectando el equipo de la víctima con
malware), web (haciendo llenar a la persona objetivo un formulario falso) o
inclusive conversando con personas específicas en salas de chat, servicios
de mensajería o foros.

 Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de
realizar. El perpetrador requiere tener una gran habilidad social y extensos
conocimientos para poder manejar adecuadamente cualquier situación que se
le presente. Las personas más susceptibles suelen ser las más “inocentes”, por
 lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su
víctima.

 “Exploit de familiaridad”. Táctica en que el atacante aprovecha la

confianza que la gente tiene en sus amigos y familiares, haciéndose
pasar por cualquiera de ellos.

Estándares de Seguridad

Los estándares de seguridad son una herramienta que apoya la gestión de

la seguridad informática, ya que los ambientes cada vez más complejos
requieren de modelos que administren las tecnologías de manera integral,
sin embargo, existen distintos modelos aplicables en la administración de la
seguridad.

Trusted Computer Security Evaluation Criteria. TCSEC. [pdf]

Information Technology Security Evaluation Criteria. ITSEC. [pdf]

ISO 15408 Criterios Comunes (CC). [pág oficial] [pdf1] [pdf2][pdf3]

BS 7799 (Reino Unido).

ISO 17799. [pdf]

ISO 27000.
 ANÁLISIS DE RIESGO

¿Qué es el análisis de riesgo?

Habiendo ya identificado y clasificados los riesgos, pasamos a realizar el análisis de
los mismos, es decir, se estudian la posibilidad y las consecuencias de cada factor
de riesgo con el fin de establecer el nivel de riesgo de nuestro proyecto.
El análisis de los riesgos determinará cuáles son los factores de riesgo que
potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto,
deben ser gestionados por el emprendedor con especial atención. [4]

Métodos de análisis de riesgo

Existen tres tipologías de métodos utilizados para determinar el nivel de riesgos de
nuestro negocio. Los métodos pueden ser:
Métodos Cualitativos
Es el método de análisis de riesgos más utilizado en la toma de decisiones en
proyectos empresariales, los emprendedores se apoyan en su juicio, experiencia e
intuición para la toma de decisiones.
Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los
recursos necesarios para hacer un análisis completo.
Los métodos cualitativos incluyen:
- Brainstorming
- Cuestionario y entrevistas estructuradas
- Evaluación para grupos multidisciplinarios
- Juicio de especialistas y expertos (Técnica Delphi)

Métodos Semi-cuantitativos
Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones más
detalladas de la probabilidad y la consecuencia. Estas clasificaciones se
demuestran en relación con una escala apropiada para calcular el nivel de riesgo.
Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o
malas interpretaciones de los resultados del cálculo.
Métodos Cuantitativos:
Se consideran métodos cuantitativos a aquellos que permiten asignar valores de
ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de
riesgo del proyecto.
Los métodos cuantitativos incluyen:
- Análisis de probabilidad
- Análisis de consecuencias
- Simulación computacional

Pasos para la evaluación de riesgos

Establecer criterios de medición del riesgo

Consiste en definir criterios que permitan conocer la postura de la organización en

cuanto a su propensión a los riesgos. Se trata de la base para la evaluación, ya que
sin esta actividad no se puede medir el grado en el que la organización se ve
afectada cuando se materializa una amenaza.
Desarrollar un perfil de activos de información

La evaluación de riesgos que se desarrolla se enfoca en los activos de información,

es decir, los conocimientos o datos que tienen valor para la organización. Se
documentan las razones por la cuales se eligen y además se debe realizar una
descripción de los mismos.
También, se debe asignar un custodio a cada uno de estos activos de información,
el responsable de definir los requisitos de seguridad para los mismos:
confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia.
Se crea un perfil para cada activo de información que los encargados de la
evaluación consideren como crítico, ya que forma la base para identificar amenazas
y riesgos en pasos subsecuentes. Esta actividad es necesaria para asegurar que
los activos se describen de forma clara y consistente, así como sus requisitos de
seguridad, para definir las opciones de protección a aplicar.

Identificar contenedores de activos de información

Se identifican los contenedores, es decir, los repositorios donde se almacena esta

información, ya que son los sitios en donde suelen llevarse a cabo los ataques
contra los datos, por tales características, también son los lugares donde se aplican
los controles de seguridad.
De acuerdo con este método, pueden ser del tipo técnico, físico o humano, ya que
la información puede encontrarse de diferentes maneras, por ejemplo, en formato
digital (archivos en medios electrónicos u ópticos), en forma física (escrita o impresa
en papel), así como información no representada, como las ideas o el conocimiento
de los miembros de la organización.

Identificar áreas de preocupación

En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos
de información, resultado de la combinación de la posibilidad de materialización de
una amenaza (probabilidad) y sus consecuencias (impacto).
De acuerdo con el método, un área de preocupación es un enunciado descriptivo
que detalla una condición o situación del mundo real que puede afectar un activo de
información en la organización. Se deben generar tantas áreas como sean
necesarias para cada uno de los activos perfilados.

Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de

amenaza, lo que significa la identificación de otras preocupaciones para la
organización que están relacionadas con sus activos de información críticos y que
no son visibles a primera vista, como en el paso anterior.Para lograrlo, se puede
utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o
humano), que contiene un conjunto de condiciones y preguntas diseñadas para
detallar la identificación de amenazas.

Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)
Se determina el impacto a la organización si se realiza un escenario de amenaza
descrito en los pasos 4 y 5, a través de los enunciados de impacto, la descripción
detallada de la manera en que se ve afectada la organización.

Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es

afectada por una amenaza y se calcula una puntuación para cada riesgo de cada
activo de información. Para ello, se comparan las áreas de impacto de cada
categoría de los criterios del paso 1, con el escenario de amenaza.
Seleccionar un enfoque de mitigación
En el último paso, se deben determinar las opciones de tratamiento de riesgos con
base en los resultados del análisis, es decir, utilizando los valores de impacto y
probabilidad calculados en los pasos anteriores. Este criterio puede variar de una
organización a otra, pero en general, se busca mitigar aquellos riesgos que
resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.
Se puede hacer uso de la matriz de riesgo relativo, un elemento que permite
visualizar los riesgos a tratar con base en la probabilidad y el puntaje de riesgo. Se
categorizan grupos de escenarios de amenazas para su tratamiento con base en
estos resultados, como se muestra en la siguiente imagen. Los riesgos que
pertenecen al grupo 1 deberían ser tratados con mayor prioridad.
 DISEÑO DE PROCESOS DE FLUJO
Los procesos de flujo de trabajo se pueden diseñar para que incorporen los modos
más eficaces de completar tareas de negocio. Puede evaluar las prácticas
actuales y determinar cómo se pueden mejorar o estandarizar antes de diseñar los
procesos de flujo de trabajo.[5]
Para diseñar los procesos de flujo de trabajo óptimos, tenga en cuenta las
directrices siguientes:

 Los procesos genéricos requieren menos mantenimiento que los que son
altamente específicos.

 Por ejemplo, puede modificar las funciones que se resuelven en una persona más
con más frecuencia que las funciones que se resuelven en un grupo de personas.

 Cuando diseñe procesos, considere cuándo desea que el producto genere

notificaciones. El producto puede generar notificaciones cuando se producen los
siguientes eventos en un proceso:
o Un registro alcanza un punto de decisión (nodo)
o Un registro sigue una ruta específica (línea de conexión) de un proceso
o Se realizan asignaciones de tarea

 Cuando diseñe procesos, considere cómo desea manejar los valores nulos. Un
proceso puede alcanzar un punto de decisión que evalúa los datos del registro y
estos datos pueden no estar en el registro.

 Cuando un registro toma una ruta negativa, puede diseñar el registro de modo que
se pueda modificar para que tome una ruta positiva. También puede diseñar el
registro para que salga permanentemente del proceso.

 Si un registro puede volver a recorrer el proceso después de haber sido

rechazado, puede definir un límite en el número de veces que un registro puede
repetir el proceso.

 Procure no tener diferentes grupos de nodos y líneas de conexión que realicen la

misma función en puntos diferentes de un proceso. Es más eficaz volver a utilizar
el mismo código mediante bucles o mediante la creación de un subproceso.
Factores principales que afectan las decisiones de diseño de los
procesos
- Naturaleza de la demanda de productos/servicios

Los procesos de producción deben tener una capacidad adecuada para producir el
volumen de productos/servicios que desean los clientes y se han tener en cuenta
las medidas necesarias para expandir o contraer la capacidad para satisfacer las
necesidades del mercado.

- Grado de integración vertical

La integración vertical consiste que una gran porción de la cadena de producción y
distribución, desde los proveedores de los componentes hasta la entrega de los
productos/servicios a los clientes, que se reúnen y despliega bajo la propiedad de
la empresa.
- Grado de automatización
La clave de la integración del sistema de producción es determinar el grado de
automatización requerido en los procesos de producción. En primer lugar, el equipo
automatizado es muy costoso y resulta difícil administrar la integración de la
automatización en operaciones existentes en operaciones nuevas, por tanto, la
decisión no es a la ligera. La automatización puede reducir la mano de obra y los
costos relacionados, pero en muchas aplicaciones la enorme inversión requerida
por los proyectos de automatización no se puede justificar sólo debido a ahorros en
la mano de obra.

- Calidad del producto/servicio

El entorno competitivo, ha convertido la calidad en el arma fundamental en una

batalla de mercados internacionales. La elección del diseño de los procesos de
producción queda afectada necesariamente por la necesidad de una mayor calidad
en el producto. En todos los pasos del diseño de proceso, la calidad del producto
es un factor crucial en la mayoría de las decisiones de importancia.
 MEJORES PRACTICAS
¿Qué son las mejores prácticas corporativas?
Las Mejores Prácticas Corporativas de forma general, las podemos definir como
una serie de metodologías, sistemas, herramientas, y técnicas aplicadas y probadas
con resultados sobresalientes en empresas que han sido reconocidas como de
clase mundial. [6]

¿Para qué sirven las mejores prácticas corporativas?

Su implementación permite a las empresas eficientar y/o potencializar procesos
estratégicos, operativos y administrativos de forma metódica.

¿Quiénes las aplican?

Las empresas que por sus niveles de operación, crecimiento y competencia se han
enfrentado con la necesidad de buscar y encontrar la forma de hacerles frente de
manera sobresaliente, ha dado lugar a que los proyectos o iniciativas que realizaron
para lograrlo se hayan ganado el nombre de " Mejores Prácticas Corporativas", pero
estas pueden ser aplicadas a empresas de cualquier giro y tamaño, lo que podrá
contribuir a un crecimiento más ordenado y eficiente, preparándoles el camino para
lograr un desarrollo sustentable.

MEJORES PRACTICAS EN LOS SISTEMAS DE INFORMACIÓN

Las empresas basan su actividad en los sistemas de información, apoyando su gestión con
los nuevos soportes tecnológicos. El uso masivo de estos sistemas para los negocios los
convierte en el objetivo de los HACKERS, que aprovechan las vulnerabilidades de los
mismos para acceder a ellos y desarrollar su actividad delictiva. Es fundamental para la
organización gestionar adecuadamente la infraestructura tecnológica sobre la cual se
sostiene nuestra información: servidores, dispositivos de red, repositorios documentales,
aplicaciones de gestión, sistemas de gestión empresarial, etc. El aumento de estos recursos
tecnológicos ha desembocado en que su gestión sea considerada como uno de los pilares
fundamentales, debido, sobre todo, a la dependencia que el negocio tiene de las
infraestructuras tecnológicas. [7]
A medida que nuestra dependencia tecnológica va creciendo, el departamento de
informática cobra mayor relevancia, al ser el responsable de que los equipos y la
información de la organización, así como de protegerlos adecuadamente. Este
departamento también tiene entre sus funciones aportar nuevas herramientas para
mejorar el desempeño de nuestro trabajo, así como soluciones para mejorar en la
seguridad de la información y su tratamiento.
 MODELO DE PRUEBAS
¿Qué es un modelo de prueba?
Las pruebas de software son las investigaciones empíricas y técnicas cuyo objetivo
es proporcionar información objetiva e independiente sobre la calidad del producto
a la parte interesada o stakeholder. Es una actividad más en el proceso de control
de calidad.[8]
Las pruebas son básicamente un conjunto de actividades dentro del desarrollo de
software. Dependiendo del tipo de pruebas, estas actividades podrán ser
implementadas en cualquier momento de dicho proceso de desarrollo. Existen
distintos modelos de desarrollo de software, así como modelos de pruebas. A cada
uno corresponde un nivel distinto de involucramiento en las actividades de
desarrollo.
Niveles de prueba

Pruebas Unitarias o de Componente

Este tipo de pruebas son ejecutadas normalmente por el equipo de desarrollo,
básicamente consisten en la ejecución de actividades que le permitan verificar al
desarrollador que los componentes unitarios están codificados bajo condiciones de
robustez, esto es, soportando el ingreso de datos erróneos o inesperados y
demostrando así la capacidad de tratar errores de manera controlada.
Adicionalmente, Las pruebas sobre componentes unitarios, suelen denominarse
pruebas de módulos o pruebas de clases, siendo la convención definida por el
lenguaje de programación la que influye en el término a utilizar. Por último, es
importante que toda la funcionalidad de cada componente unitario sea cubierta, por
al menos, dos casos de prueba, los cuales deben centrarse en probar al menos una
funcionalidad positiva y una negativa.

Pruebas de Integración
Este tipo de pruebas son ejecutas por el equipo de desarrollo y consisten en la
comprobación de que elementos del software que interactúan entre sí, funcionan de
manera correcta.
Pruebas de Sistema
Este tipo de pruebas deben ser ejecutadas idealmente por un equipo de pruebas
ajeno al equipo de desarrollo, una buena práctica en este punto corresponde a la
tercerización de esta responsabilidad. La obligación de este equipo, consiste en la
ejecución de actividades de prueba en donde se debe verificar que la funcionalidad
total de un sistema fue implementada de acuerdo a los documentos de
especificación definidos en el proyecto. Los casos de prueba a diseñar en este nivel
de pruebas, deben cubrir los aspectos funcionales y no funcionales del sistema.
Para el diseño de los casos de prueba en este nivel, el equipo debe utilizar como
bases de prueba entregables tales como: requerimientos iniciales, casos de uso,
historias de usuario, diseños, manuales técnicos y de usuario final, etc. Por último,
es importante que los tipos de pruebas ejecutados en este nivel se desplieguen en
un ambiente de pruebas / ambiente de pre-producción cuya infraestructura y
arquitectura sea similar al ambiente de producción, evitando en todos los casos
utilizar el ambiente real del cliente, debido principalmente, a que pueda ocasionar
fallos en los servidores, lo que ocasionaría indisponibilidad en otros servicios
alojados en este ambiente. [9]

Pruebas de Aceptación:
Independientemente de que se haya pasado a tercer término el proceso de pruebas
y así la firma responsable de estas actividades haya emitido un certificado de
calidad sobre el sistema objeto de prueba, es indispensable, que el cliente designe
a personal que haga parte de los procesos de negocio para la ejecución de pruebas
de aceptación, es incluso recomendable, que los usuarios finales que participen en
este proceso, sean independientes al personal que apoyó el proceso de desarrollo.
Cuando las pruebas de aceptación son ejecutadas en instalaciones o ambientes
proporcionados por la firma desarrolladora se les denominan pruebas Alpha,
cuando son ejecutadas desde la infraestructura del cliente se les denomina pruebas
Beta. En los casos en que las pruebas de aceptación del producto se hayan
ejecutado en el ambiente del proveedor, el aplicativo no podrá salir a producción,
sin que se hayan ejecutados las respectivas pruebas Beta en el ambiente del cliente,
de lo anterior es importante concluir, que las pruebas Alpha son opcionales, pero
las pruebas Beta son obligatorias.

Planificación
En la Tabla 3 se muestra una comparación entre la planificación del proyecto y la realización de los
ciclos de prueba; el cliente estuvo de acuerdo con lo realizado en el ciclo de pruebas 2 y con lo
verificado en el plan de pruebas. Se evaluó en una reunión la satisfacción del cliente. En la Tabla 4
se observa una parte de la encuesta realizada; se establecieron como parámetros: 1 malo y 5
excelente
 REFERENCIAS
[1] Administracion-de-Proyectos-4ed-Clifford-F-Gray-y-Erik-W-Larson
[2] E. Spafford. Seguridad Pr´actica en Unix e Internet
[3] ANALISIS DE RIESGO
http://www.03.ibm.com/software/products/es/category/risk-management
[4] Chase R. Aquinalo, N, y Jacobs F.R. Administración de producción y
Operaciones. Ed. MC Graw-Hill.
[5] Adler, M.O. (Coordinador) Produccion y operaciones ED. Macchi. 2004.
[6] Cohen, E. y Franco, R. (2000). Evaluación de Proyectos Sociales. México: Siglo
XXI Editores.
[7] Armijo, M. (2004). Buenas prácticas de gestión pública en América Latina.
Ponencia presentada en el IX Congreso Internacional.
[8] S. Sánchez Melchor. Una revisión y comparativa de Modelos de Procesos de
Pruebas, 2010.
[9] ISO-9001 (2014), Norma Internacional ISO 9001-2000, Spanish Translation Task
Group, Disponible en: http://www.ccoo. us.es/uploads/descargas/documentacion/
NormaInternacionalISO9001.pdf