UNIVERSIDAD DISTRITAL

FRANCISCO JOSÉ DE CALDAS

FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN EN INGENIERÍA DE SOFTWARE
ADMINISTRACIÓN INFORMÁTICA
TALLER III

Docente: José Ignacio Rodríguez Molano

Estudiante: MIGUEL MORA ESCOBAR Cód. 20122099024

1 TENDENCIAS EN TECNOLOGÍA CLAVE

1.1 Introducción

Día a día vemos que aparecen nuevas tecnologías para el apoyo de las
organizaciones, de los procesos, de la comunicación, de la información por
mencionar algunas, sin embargo la elección de éstas no debe ser un tema
arbitrario o de azar; factores relevantes son las necesidades de la empresa, el
aporte de valor a los productos o servicios o reducción de costes, de lo contrario
se convertirán en una moda que pasa o una inversión de capital mal hecha.

1.2 Tendencia

La tendencia es una corriente o preferencia hacia determinados fines.

1.3 Tendencia Tecnológica

Se puede definir como:

 Es el nivel posible de utilización que tendrá alguna tecnología específica.

 Es hacia dónde se dirige la utilización de una tecnología en específico,

puede ser de tipo emergente o clásica según sea el caso.

 Las tendencias tecnológicas son predicciones del nivel de utilización de

alguna tecnología donde, con base a los niveles del consumo, aplicación,
factibilidad y utilización de estos.

1.4 Tecnología emergente

Las Tecnologías emergentes se pueden definir como:

 Son innovaciones radicales, así como tecnologías más evolucionadas

formadas a raíz de la convergencia de ramas de investigación antes
separadas.

1
  son aquellas que en una primera fase de su aplicación en la empresa
muestran un notable potencial de desarrollo. El nivel de incertidumbre que
rodea a estas tecnologías es particularmente elevado.

 Son innovaciones científicas que pueden crear una nueva industria o

transformar una existente. Incluyen tecnologías discontinuas derivadas de
innovaciones radicales, así como tecnologías más evolucionadas formadas
a raíz de la convergencia de ramas de investigación antes separadas.

1.5 Ciclo de Promoción Exagerada:

El lanzamiento de una nueva tecnología implica que las casas de venta busquen
publicitarla y patrocinarla como lo mejor que puede existir en el mercado
creando proyecciones algunas veces irreales o sobre-estimación de utilidad;
hasta ese momento creando un elevado nivel de expectativa en los usuarios o
consumidores, dando como resultado el éxito pero en otras el fracaso.

Es importante destacar cinco aspectos de éste ciclo:

1) Disparo de la Tecnología
2) Pico de Expectativa Inflada
3) Hondonada de desencanto
4) Pendiente de Ilustración
5) Meseta de productividad

1.6 TECNOLOGÍAS CLAVE

Adoptar las tecnologías informáticas en el momento oportuno es lo que marca el

éxito en la aplicación de éstas dentro de la compañía. Fallar en este aspecto,
implica serias consecuencias que pueden llevar hasta el cierre de la organización.

Son muchas las herramientas que se pueden utilizar para determinar cuáles serán
las tecnologías que tendrán un mayor impacto en el negocio. Los ciclos de la
nueva tecnología, son una de ésas herramientas, sin embargo es importante
emplear la curva como artefacto a la hora de la elección de una nueva
tecnología y así tomar una decisión asertiva.
Se han identificado tres aspectos tecnológicos clave sobre los cuales las
organizaciones pueden poner sus esfuerzos.

1.6.1 Colaboración

Toda tecnología que permita realizar un trabajo colaborativo en la organización y

aumentar la productividad busca potenciar el negocio. Entre algunas tecnologías
relevantes se tienen:

 Voz sobre IP
 Servicios P2P

2
  Bases de Conocimiento
 RSS
 Blogging Corporativo
 Wikis
 Redes Sociales

1.6.2 Arquitectura De Nueva Generación

Se considera que la arquitectura será la tercer era en la industria de la tecnología

informática. (Siendo la primera el Hardware, la segunda el Software)

La arquitectura empresarial es una herramienta facilita la toma de decisiones

entre negocio y tecnología con el fin que se materialicen unas acciones que
permitan alcanzar los objetivos marcados por la organización

Se destacan las siguientes tecnologías emergentes:

 TOGAF (The Open Group Architecture Framework) Esquema de

Arquitectura de Open Group.

 SOA (Service Oriented Architecture) Arquitectura orientada a servicios.

 XBRL (Extensible Business Reporting Language) Lenguaje extensivp para

reportes de Negocios.

 BPP (Business Process Patforms) Plataforma para procesos del Negocio

1.6.3 Web para el Mundo Real

Se considera que agregar capacidad de conexión a redes, interacción con

sensores, procesamiento y almacenamiento en línea a los objetos y espacios del
mundo real, es crear una “web para el mundo real “de información que
mejorará la toma de decisiones tanto en los negocios como en la vida personal,
así como también brindará comodidad y economía en transporte,
almacenamiento y procesamiento de información.

Se resaltan las siguientes categorías:

 Aplicaciones sensibles a la ubicación. (GPS)

 Identificación por Radio Frecuencia (Pasiva) – RFID
 Redes en Malla - Sensores
 Cloud Computing
 Virtualización

3
 1.7 Tendencias clave en los entornos empresariales

Marcan el desarrollo del sector tecnológico, la forma de trabajar las propias

organizaciones y lo hacen rápidamente

1. Green IT, que ha hecho que la industria desarrolle tecnologías más amables con
el entorno, que promueven el uso de la energía de manera eficiente, emplean
materiales biodegradables o menos contaminantes.

2. SAAS y Cloud Computing: Software como servicio, que responde al acrónimo

inglés SAAS y que evolucionó de ASP (Application Service Provider), es un modelo
de implementación de software en las compañías, en el que la instalación, el
mantenimiento, los respaldos y el soporte de las aplicaciones es responsabilidad
del proveedor, al que se le paga por uso y que da acceso parametrizado y
privado vía Internet a las empresas. Cloud computing es un modelo en el que, ya
no sólo el software, sino las capacidades tecnológicas flexibles y escalables se
proporcionan a los clientes mediante tecnologías Web, con ventajas que ofrecen
valor al negocio como movilidad, reducción de riesgos y costes, procesos de
negocio prácticamente estandarizados, etc. Destaca en estas áreas el éxito de
Amazon WS, Salesforce.com, NetSuite, Intacct, Aplicor o Google Apps.

3. Gobierno IT: Esta tendencia surge de la necesidad de alinear tecnología y

negocio. Históricamente, los tecnólogos no conocen el negocio y los usuarios
desconocen las actividades del departamento de sistemas. Para paliar este
déficit en un momento en el que las inversiones en TI son relevantes, se han
creado unidades intermedias entre negocio e informática que racionalizan y
justifican las inversiones, además de optimizar el uso de los recursos. Con las
Oficinas de Proyectos, PMOs en sus siglas inglesas, emergen aplicaciones de
Project Management, que ponen en orden y facilitan los proyectos informáticos,
un ámbito en el que destacan proveedores como CA, Oracle o Microsoft.
4. Web 2.0/3.0: Es una evolución en la forma de trabajar en la Web, cuya idea
central es el proceso de colaboración y convergencia de muchas personas en un
medio donde se suministra, comparte y se adquiere información, lo que facilita la
interrelación entre grupos tanto públicos como privados.

Toda la información generada en la Web 2.0 es tomada, interpretada de donde

se obtiene meta-data Y es empleada para análisis de comportamiento y
tendencias de los consumidores y clientes (Web 3.0)

5. Tecnología móvil corporativa: La convergencia digital avanza y se consolidará

como un referente tecnológico del siglo XXI. El smartphone, además de telefonía,
ofrece prestaciones similares a las de un PC, y se consigue una clara
convergencia entre un teléfono móvil, un PC, una PDA y un dispositivo multimedia.
Garantizar el acceso al correo corporativo, el ERP, el CRM, la intranet, LMS y otras
aplicaciones corporativas será el objetivo de la próxima generación de

4
 aplicativos. Es un mercado en el que la competencia es fuerte, y la liberación de
los sistemas operativos para smartphones (Java, Windows Mobile, Symbian OS,
Android, RIM Blackberry, Linux, Mac o Palm OS) está impulsando.

6. Gestión del rendimiento: Es una tecnología que, apoyada en el concepto de

Business Intelligence, promueve el uso sistemático y organizado de los datos
históricos de una empresa mediante la gestión de grandes volúmenes de datos y
modernas técnicas estadísticas. Al gestionar el rendimiento, se pone en marcha
una estrategia de control y seguimiento, a través de indicadores de gestión, de
los objetivos y estrategias de la organización, de forma que se garantiza su
cumplimiento y el ajuste de cualquier desviación de las metas establecidas. Es un
concepto que se nutre de tecnologías robustas como gestores de bases de
datos, herramientas de elevada capacidad analítica, etc. En esta área, destacan
líderes como IBM, Oracle, SAP, Microsoft, Sun, etc.

7. Gestión de contenidos y/o gestión de activos digitales: La gestión de activos

digitales (Digital Asset Management, DAM) es el proceso de identificar, clasificar,
digitalizar, almacenar y recuperar datos e información no estructurada de todo
tipo, con el fin de incrementar la productividad de las organizaciones que
manejan grandes volúmenes de información: imágenes, vídeos, libros,
documentos legales, mapas, etc. DAM ha irrumpido con fuerza gracias a la
robustez de los sistemas de gestión de bases de datos, la potencia de las CPUs, la
consolidación de XML como estándar y el aumento de las capacidades de
almacenamiento. Destacan en este segmento de mercado IBM, EMC, Open Text,
Oracle, Microsoft, Interwoven, Vignette, Hyland Software, Xerox o HP, entre otras.

8. Redes sociales: las empresas paulatinamente han empezado a usarlas para dar a
conocer sus productos o servicios, así como también para responder dudas y
sugerencias de los usuarios, mejorando el feedback y la relación con el cliente.
Por otra parte, las redes sociales públicas como Facebook y Twitter son cada vez
más populares y ofrecen interesantes oportunidades para emprender,
aprovechando su amplio alcance en el público masivo y joven.

9. Virtualización: Esta tecnología permite utilizar de forma más eficiente los servidores
de una compañía, ya que se pueden establecer múltiples equipos virtuales en
uno solo físico, además incrementa la eficiencia de los recursos. Según cifras de
IDC, el 82% de los usuarios cree que la virtualización es un instrumento esencial en
la operación, administración y entrega eficaz de TI.

10. Seguridad: El desarrollo de esta área es clave dado el creciente número de

amenazas que sufren las empresas en sus sistemas informáticos y las personas que
se conectan a la red. Aquí hay importantes desafíos para generar la confianza
necesaria que permita afianzar, por ejemplo, el comercio electrónico, fidelizar a
los clientes y mantener la imagen de las organizaciones.

5
11. Negocios por Internet: Internet ha cambiado la forma de hacer negocios. Esta es
una realidad clara desde hace algunos años y que sin duda seguirá
potenciándose a través de mejores herramientas que permitan aprovechar cada
vez más las oportunidades que la red ofrece a las empresas de todos los tamaños,
donde la principal ventaja es abrir el mercado global para servicios y productos
locales.

1.8 LAS TENDENCIAS TECNOLÓGICAS QUE DEFINIRÁN EL FUTURO DE LAS

COMPAÑÍAS

La mayoría de empresas deberán asumir duros procesos de adaptación a los

nuevos hábitos y tendencias, con tecnologías como Realidad Aumentada, Smart
TV, Big Data y Servicios Cloud, que impactan a nivel mundial.

Muchas compañías van a tener que enfrentarse a tiempos muy difíciles para
asumir dentro de sus organizaciones las nuevas formas de relación y de gestión
que la tecnología ha impuesto en el entorno empresarial.

 http://www.tynmagazine.com/368227-Tendencias-tecnologicas-que-
definiran-el-futuro-de-las-companias.note.aspx

 http://www.deltaasesores.com/documentos/txTecnologiaClave.pdf

 http://www.techweek.es/gestion-ti/informes/1005337003501/tendencias-
tecnologicas-cambiando-informatica.1.html

 http://www.emprendetic.cl/sitio/columna-de-opinion/69-8-tecnologias-
clave-para-emprender-hoy.html

2 ADMINISTRANDO EL RIESGO

INTRODUCCIÓN

El reto actual del profesional de gestión de riesgos de TI se basa en definir un

programa continuo, objetivo, repetible y medible, en el que la evaluación de
costes, la valoración de activos y las métricas de rendimiento convivan de
manera integrada con el resto de requerimientos corporativos.

2.1 Conceptos Clave

6
2.1.1 Riesgo

Posibilidad de que una amenaza concreta pueda explotar / ocurrir una

vulnerabilidad para causar una pérdida o daño en un activo de información.
Según ISO, es la combinación de la probabilidad de un evento y sus
consecuencias.

2.1.2 Mitigar el riesgo.

Es decir, reducirlo, mediante la implementación de controles que disminuyan el

riesgo hasta un nivel aceptable.

2.1.3 Asumir el riesgo.

La dirección tolera el riesgo, ya que está por debajo de un valor de riesgo

asumible o bien porque no se puede hacer frente razonablemente a ese riesgo,
por costoso o por difícil.

2.1.4 Transferir el riesgo a un tercero.

Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el

servicio. Aun así, evidenciar que la responsabilidad sobre el activo permanece en
manos de la organización y tener en cuenta que hay daños, como los causados
a la reputación de la organización, que difícilmente son cubiertos por ningún
seguro.

Eliminar el riesgo. Aunque no suele ser la opción más viable, ya que puede resultar
complicado o costoso.

2.2 QUE ES LA SEGURIDAD DE LA INFORMACIÓN?

La información es un activo que como otros activos importantes del negocio, es

esencial para las actividades de la organización y, en consecuencia, necesita
una protección adecuada. Esto es especialmente importante en el entorno de
negocios cada vez más interconectado. Como resultado de esta interconexión
creciente, la información se expone a un gran número y variedad de amenazas y
vulnerabilidades

La información puede existir en diversas formas. Se puede imprimir escribir en

papel, almacenar electrónicamente, transmitir por correo por medios
electrónicos, presentar en películas, o expresarse en la conversación. Cualquiera
sea su forma medio por el cual se almacena o comparte, siempre debería tener
protección adecuada.

La seguridad de la información es la protección de la información contra una

gran variedad de amenazas con el fin de asegurar la continuidad del negocio,

7
minimizar el riesgo o para el negocio minimizar el retorno de inversiones y
oportunidades de negocio.

La seguridad de la información se logra implementando un conjunto apropiado

de controles, incluyendo políticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y hardware. Los controles necesitan ser
establecidos, implementados y monitoreados, revisados y mejorados, Donde sea
necesario, para asegurar que se cumplen los objetivos específicos de seguridad y
de los negocios de la organización. Esto debería hacerse en conjunto con otros
procesos de gestión del negocio.

2.3 ¿POR QUÉ ES NECESARIA LA SEGURIDAD DE LA INFORMACIÓN?

La información, los procesos, sistemas y redes que la sopesan son activos

importantes de negocio. La definición, el logro, el mantenimiento y la mejora de
la seguridad de la información pueden ser esenciales para mantener su
competitividad, el flujo de caja, la rentabilidad, el cumplimiento legal y la imagen
comercial.

Las organizaciones sus sistemas y redes de información enfrentan amenazas de

seguridad procedentes de una gran variedad de fuentes, incluyendo fraudes
asistidos por computador, espionaje, sabotaje, vandalismo, incendios o
inundaciones. Las causas de daño tales como códigos maliciosos y ataques de
piratería por computador y negación del servicio se han vuelto más comunes,
más ambiciosos y cada vez más sofisticados.

La seguridad de la información es importante tanto para los negocios del sector

público como el privado y para proteger la infraestructura crítica. En ambos
sectores, la seguridad de la información actuará como un elemento facilitador
para lograr, por ejemplo, Gobierno en línea (e-government) o negocios
electrónicos (e-business) y evitar o reducir los riesgos pertinentes. La interconexión
de las tres públicas y privadas y compartir los recursos de información
incrementan la dificultad para lograr el control del acceso. La tendencia hacia la
computación distribuida también ha debilitado la eficacia del control central y
especializado.

2.4 ¿CÓMO ESTABLECER LOS REQUISITOS DE SEGURIDAD?

Es esencial que la organización identifique sus requisitos de seguridad. Existen tres

fuentes principales de requisitos de seguridad:

1. Una fuente se deriva de la evaluación de los riesgos para la organización,

teniendo en cuenta la estrategia y los objetivos globales negocio. A través de
la evaluación de riesgos, se identifican las amenazas para los activos, se
evalúan la vulnerabilidad y la probabilidad de ocurrencia y se estima el
impacto potencial.

8
2. Otra fuente son los requisitos legales, estatutarios, reglamentarios y
contractuales que debe cumplir la organización, sus socios comerciales, los
contratistas y los proveedores de servicios, así como su entorno socio-cultural.

3. Una fuente adicional es el conjunto particular de principia, objetivos y

requisitos del negocio para el procesamiento de la información que la
organización ha desarrollado para apoyar sus operaciones.

2.5 SELECCIÓN DE CONTROLES

Una vez se han identificado los requisitos y los riesgos de seguridad y se han
tomado las decisiones para el tratamiento de los riesgos, es conveniente
seleccionar e implementar los controles para garantizar la reducción de los riegos
Hasta un nivel aceptable. Los controles se pueden seleccionar partir de este
documento, de otros grupos de controles o se pueden diseñar controles nuevos
para satisfacer necesidades específicas, según sea adecuado. La selección de
los controles de seguridad depende de las decisiones de la organización basadas
en los criterios para la aceptación del Riesgo, el tratamiento del Riesgo y el
enfoque general para la gestión del riesgo aplicado en la organización, y debería
estar sujeta a toda legislación y todos los reglamentos nacionales e
internacionales pertinentes.

Algunos de los controles en esta norma se pueden considerar como principios

guía para la gestión de la seguridad de la información y aplicables a la mayoría
de las organizaciones. Estos se explican con más detalle bajo el encabezado
"punto de partida para la seguridad de la información"

6 Punto de partida para la seguridad de la información

Algunos controles se pueden considerar un gran punto de partida para la

implementación de la seguridad de la información. Ellos se han en requisitos
legales esenciales o se consideran una práctica común para la seguridad de la
información.

1. Protección de datos y privacidad de la información personal

2. Protección de los registros de La organización

3. Derechos de propiedad intelectual

Los controles que se consideran una práctica común para la seguridad de la

información incluyen los siguientes

1. Documentos de políticas de seguridad de la información

2. Asignación de responsabilidades para la seguridad de la información

3. Educación, formación y concientización sobre la seguridad de la información

9
4. Procesamiento correcto en las aplicaciones

5. Gestión de la vulnerabilidad técnica

6. Gestión de la continuidad del negocio

7. Gestión de los incidentes de seguridad de la información y las mejoras

2.6 RIESGOS INHERENTES A LA ORGANIZACIÓN

 Los recursos humanos. Tales como diferencias con los empleados o

dependencias de personas clave para la organización, clima social en la
compañía y política social, y exposición al riesgo de conflictos con los
sindicatos o los representantes de los empleados.

 La regulación. Los requisitos regulatorios suponen un riesgo creciente: es

necesario identificar y gestionar las obligaciones de cumplimiento
normativo, especialmente en sectores como el financiero, seguros, u
hospitalario. Esta gestión dependerá mucho del modelo de negocio o de
los países en los que la organización se encuentre. Ejemplos de estas
regulaciones son: Sarbanes-Oxley, PCI y DSS.

 Los clientes. Se torna necesaria la identificación de los puntos de conflicto

con clientes, de las áreas de la compañía más expuestas al fallo en el
servicio al cliente, e, incluso, de los tipos más significativos de riesgo
reputacional.

 El entorno. En él se encuadran las situaciones de riesgo más relevantes

relacionadas con agentes externos (tormentas, inundaciones, terremotos,
pandemias etc.).

2.7 EVALUACIÓN DEL RIESGO

Es la primera parte de la gestión del riesgo. El riesgo se evalúa mediante

la medición de los dos parámetros que lo determinan, la magnitud de la pérdida
o daño posible, y la probabilidad que dicha pérdida o daño llegue a ocurrir.

En la evaluación, se deberían identificar, cuantificar y priorizar los riesgos frente a

los criterios para la aceptación del riesgo y los objetivos pertinentes para la
organización. Los resultados deberían guiar y determinar la acción de gestión
adecuada y las prioridades tanto para la gestión de los riesgos de seguridad de la

10
información como para implementar los controles seleccionados para la
protección contra estos riesgos. Puede ser necesario llevar a cabo el proceso de
evaluación de los riesgos y las selección de controles varias veces para cubrir
diferentes partes de la organización o sistemas individuales de información.

Los requisitos de seguridad se identifican mediante una evaluación metódica de

los riesgos de seguridad. Los gastos en los controles se deben equilibrar frente a la
probabilidad de daño para el negocio que resulta de las fallas en la seguridad.

Los resultados de la evaluación de riesgos ayudarán a guiar y a determinar la n

de acción de gestión adecuada y las prioridades para la gestión de los riesgos de
la seguridad de la información, así como para implementar los controles
seleccionados para la protección contra estos riesgos.

La evaluación de riesgos de debería repetir periódicamente para tratar cualquier

cambio que pueda influir en los resultados de la evaluación de riesgos.

2.8 TRATAMIENTO DEL RIESGO

El tratamiento de riesgos es la segunda parte de la gestión de riesgos,

inmediatamente después del proceso de evaluación de riesgos. El objetivo de
esta parte es, una vez que usted ya sabe dónde están los riesgos, definir cómo
controlarlos.

Durante el tratamiento de riesgos, generalmente se escogen los controles del

Anexo A de la norma ISO 27001 para disminuir los riesgos; al hacerlo, es muy
importante evaluar entre disminuir los riesgos y el costo de los controles, porque
puede terminar invirtiendo demasiado en un determinado control mientras que
podría haber encontrado una alternativa más económica.

La Declaración de aplicabilidad es el documento clave que detalla todos los

controles tomados del Anexo A; no sólo define qué controles se utilizarán, sino que
también define qué deben lograr esos controles, por qué fueron escogidos, etc.
Este documento sirve como punto de inicio para el proceso de implementación
de los controles.

11