Embed Size (px)
Citation preview
INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
“ MODELO DE SEGURIDAD PARA EL SERVICIO DE SOPORTE TÉCNICO BRINDADO POR
EMPRESAS OUTSOURCING“
T E S I N A
Q U E P A R A O B T E N E R E L T Í T U L O D E :
L ICENCI ADO EN C I ENCI AS D E L A INFORM ÁT IC A
P R E S E N T A N :
A L E J A N D R O C H I A P A S M O L I N A
J A V I E R I S R A E L M A R T Í N E Z M E N D I E T A
Q U E P A R A O B T E N E R E L T Í T U L O D E :
I N G E N I E R O E N I N F O R M Á T I C A
P R E S E N T A N :
S A R A C A R O L I N A P É R E Z L A R E S
J I B R A N T H F R A N C I S C O S A L D I V A R G A R C Í A
J O E L S I E R R A P I O
MÉXICO. DF 2009 2009
Índice
Resumen ................................................................................................................................... I
Introducción ............................................................................................................................ III
Capítulo I. Marco Metodológico ............................................................................................. 1
1.1 Planteamiento del Problema ............................................................................................... 1
1.2 Objetivo General.................................................................................................................. 2
1.2.1 Objetivos Específicos ............................................................................................. 2
1.3 Técnicas e Instrumentos de Muestreo ................................................................................ 3
1.4 Universo y/o muestra ......................................................................................................... 3
1.5 Justificación ........................................................................................................................ 3
Capítulo II. Elementos involucrados en el soporte técnico ................................................ 5
2.1 Outsourcing ......................................................................................................................... 5
2.1.1 Definición de Outsourcing ...................................................................................... 5
2.1.1.1 Tipos de Outsourcing ................................................................................ 6
2.1.1.2 Ventajas y Desventajas del Outsourcing .................................................. 6
2.1.2 Importancia del Outsourcing en las Empresas ...................................................... 7
2.1.3 Por que las Empresas solicitan Outsourcing ......................................................... 7
2.1.4 Síntomas en una empresa que requiere un Outsourcing ...................................... 8
2.1.5 Requisitos que debe de cumplir la empresa que requiere un Outsourcing .......... 9
2.1.6 Proceso de implementación de Outsourcing en una organización. ....................... 9
2.2 Modelo ............................................................................................................................... 10
2.2.1 Seguridad ............................................................................................................. 10
2.2.1.1 Confidencialidad ...................................................................................... 10
2.2.1.2 Integridad ................................................................................................. 10
2.2.1.3 Disponibilidad .......................................................................................... 10
2.2.2 Modelo de Seguridad ........................................................................................... 11
2.2.2.1 Objetivos del Modelo de Seguridad .................................................................. 11
2.2.2.2 Control de Acceso ............................................................................................. 11
2.3 Soporte Técnico ................................................................................................................ 12
2.3.1 Que es el soporte Técnico ................................................................................... 12
2.3.2 Tipos de Soporte Técnico .................................................................................... 12
2.3.2.1 Help desk ................................................................................................. 12
2.3.2.1.1 Funciones ............................................................................................. 13
2.3.2.2 Service Desk (ITSM) ............................................................................... 14
2.3.2.2.1 Funciones ............................................................................................. 15
2.3.2.3 Diferencia un Help desk y un service desk ............................................. 15
2.4 Gestión de niveles de servicio .......................................................................................... 16
2.4.1 Objetivos. .............................................................................................................. 16
2.4.2 Beneficios ............................................................................................................. 17
2.4.3 Proceso. ............................................................................................................... 18
Capítulo III. Situación actual de la seguridad en el Soporte Técnico .............................. 19
3.1 Panorama general del soporte técnico ............................................................................. 19
3.2 Problemática del soporte técnico ...................................................................................... 20
3.3 Modelos de Help desk ....................................................................................................... 22
3.3.1 Consideraciones ................................................................................................... 22
3.3.2 Documentación..................................................................................................... 23
3.3.3 Fallas en la Calidad del Help desk ....................................................................... 24
3.4 Problemáticas en los recursos humanos. ......................................................................... 25
3.4.1 Problemáticas en la contratación de personal ..................................................... 25
3.4.2 Problemáticas en el personal mientras labora ..................................................... 25
3.4.3 Problemáticas en el personal que deja de ser empleado .................................... 26
3.5 Problemáticas en las políticas de seguridad de las empresas ......................................... 27
3.6 Problemática en la Infraestructura Tecnológica. ............................................................... 27
3.6.1 Problemáticas con la seguridad de los archivos del Sistema .............................. 27
3.6.2 Problemáticas con la aplicación de controles contra software malicioso ............ 28
3.6.3 Protección contra fallos de energía eléctrica o eventos del exterior .................... 28
3.6.4 Problemática en la seguridad del cableado estructurado .................................... 29
3.6.5 Problemática en el cambio del resguardo en el equipo ....................................... 29
3.6.6 Problemática en la generación de respaldos ....................................................... 29
Capítulo IV. Legislación, Mejores Prácticas y Tecnología ................................................ 30
4.1 Legislación ......................................................................................................................... 30
4.1.1 Legislación Internacional ...................................................................................... 31
4.1.2 Legislación Nacional ............................................................................................ 42
4.2 Mejores Prácticas .............................................................................................................. 45
4.2.1 ITIL ....................................................................................................................... 46
4.2.1.1 ITIL: Descripción y Beneficios ................................................................. 46
4.2.1.2 Seguridad en ITIL .................................................................................... 47
4.2.1.3 Gestión de Servicios TI ........................................................................... 48
4.2.1.4 Soporte al Servicio .................................................................................. 49
4.2.1.5 Provisión del Servicio .............................................................................. 49
4.2.1.6 ITIL V.3 .................................................................................................... 49
4.2.2 COBIT ................................................................................................................... 51
4.2.2.1 Objetivo ................................................................................................... 51
4.2.2.2 Control y Objetivos de Control ................................................................ 52
4.2.2.3 Dominios .................................................................................................. 52
4.2.2.4 COBIT y el Soporte Técnico .................................................................... 53
4.2.2.4.1 Adquisición e Implementación AI ......................................................... 53
4.2.2.4.2 Entrega y Soporte DS .......................................................................... 55
4.2.2.4.3 Monitoreo y Evaluación ME .................................................................. 66
4.2.3 ISO 27001 ......................................................................................................... 66
4.2.3.1 Finalidad del modelo ............................................................................... 67
4.2.3.2 Beneficios de la implementación de la ISO 27001 .................................. 67
4.2.3.3 Proceso de Implementación del ISMS .................................................... 68
4.2.3.4 La norma ISO Áreas que se deben cubrir ............................................... 69
4.2.4 COSO ............................................................................................................... 70
4.2.4.1 Control interno ......................................................................................... 70
4.2.4.2 COSO y el soporte técnico ...................................................................... 70
4.2.4.3 Objetivos de COSO alineados al soporte técnico ................................... 70
4.2.4.4 Actividades de control relacionadas con el soporte técnico ................... 71
4.2.4.5 Monitoreo relacionado con el soporte técnico ......................................... 71
4.2.5 ISO 20000-1:2005 ................................................................................................ 71
4.2.6 PMI ....................................................................................................................... 72
4.2.6.1 Actividades .............................................................................................. 73
4.2.6.2 Características de un proyecto ................................................................ 74
4.2.6.3 Etapas de la Administración de Proyectos .............................................. 74
4.3 Tecnología ......................................................................................................................... 75
4.3.1 Tecnología para la Mesa de Ayuda...................................................................... 75
4.3.1.1 Características Generales ....................................................................... 75
4.3.1.2 Descripción Detallada ............................................................................. 77
4.3.2 Sistemas de automatización del ciclo de vida de TI ............................................ 79
4.3.2.1 Funciones principales .............................................................................. 79
4.3.2.2 Ventajas de su uso .................................................................................. 79
4.3.3 Tecnología de Seguridad ..................................................................................... 80
4.3.3.1 Software de encriptación de datos .......................................................... 80
4.3.4 Tecnología de Monitoreo ...................................................................................... 81
4.3.4.1 Herramientas de monitoreo ..................................................................... 81
4.3.4.2 Funciones principales .............................................................................. 82
4.3.4.3 Ventajas de uso ....................................................................................... 83
Capítulo V. Propuesta de Modelo de seguridad para Empresas de Outsourcing .......... 85
5.1 Objetivos del Modelo ......................................................................................................... 85
5.2 Finalidad del Modelo ......................................................................................................... 85
5.3 Arquitectura del Modelo .................................................................................................... 87
5.4 Bases del modelo .............................................................................................................. 90
Capítulo VI. Aplicación del Modelo de seguridad Net & Services Trantor ...................... 92
6.1 Generalidades ................................................................................................................... 92
6.1.1 Giro ....................................................................................................................... 92
6.1.2 Tamaño y cobertura ............................................................................................. 93
6.1.3 Tipo de mercado que atiende ............................................................................... 95
6.1.4 Servicios actuales que brinda .............................................................................. 95
6.2 Implantación del Modelo ................................................................................................... 97
6.2.2 Herramientas de software .................................................................................. 136
6.3 Medición de resultados ................................................................................................... 139
6.3.1 Validación de la Operación ................................................................................ 139
6.3.2 Ventajas y desventajas ...................................................................................... 142
Conclusiones ....................................................................................................................... 144
Bibliografía ........................................................................................................................... 146
Glosario ................................................................................................................................ 149
i
Resumen
Hoy en día el uso del Outsourcing se ha extendido en las Empresas, derivado del aumento en los
servicios que prestan dichas Empresas y en la necesidad que se tiene por parte de las que los
contratan. Se percibe que en México las Empresas de servicio han focalizado mayormente su
atención en los procesos operativos, dejando en un segundo plano los aspectos de seguridad.
Dentro de los servicios de Outsourcing que más han proliferado, es el servicio de Soporte Técnico
(Service Desk), sin embargo muchas Empresas llegan a cancelar o a no concretar los servicios en
virtud de la poca experiencia que existe y a los altos riesgos de seguridad que se presentan como
producto de no contar con un Modelo de Seguridad que los apoye desde la definición de los
servicios, hasta la implementación del mismo.
Por lo anterior, el objetivo de ésta Tesina es el de proponer un Modelo de Seguridad para ser
implementado dentro de las Empresas de Outsourcing con objeto de que incluya los mecanismos
de seguridad adecuados que mitiguen el riesgo de la alteración, robo o borrado de información,
problemas de software y hardware que se presenten en los equipos y en la conexión e Internet.
Para lograr lo anterior, el trabajo fue estructurado en seis capítulos, siendo el quinto de ellos en
donde se da a conocer la propuesta de modelo a la que se llega, producto de la investigación
realizada.
El modelo contempla 10 fases y 2 controles para el seguimiento y la mejora continua, basados en
las mejores prácticas, principalmente ISO 27000 e ITIL, en el que se incluye la Detección de
necesidades, el Análisis y evaluación de Riesgo, Apoyo de la Dirección, Oficial de la Seguridad de
la información, Elaboración de la Política de Seguridad de la Información, Elaboración de
procedimientos, instructivos y guías, Controles de las TI, Evaluación y control, Evidencias, Control
de la Documentación, Planes de Acción y Sensibilización.
Cabe hacer mención que se cuenta con una serie de mejores prácticas que son de carácter
general, sin embargo la flexibilidad de las mismas permiten que se adapten a cada una de las
Empresas, eliminando duplicidad y favoreciendo el objetivo particular que se persiga dentro de la
Empresa, existiendo algunas recomendaciones que llega a contradecirse entre si y es la
experiencia del que la implementa, la que determina la aplicación o no de ellas.
El acceso a las mejores prácticas no fue fácil, debido al costo que involucra el contar de manera
actualizada con las mismas, no obstante cada una de las Empresas que requiera de ellas, debe de
evaluar su implementación basados en el costo-beneficio del mismo.
La acción de implementar el modelo significa ahorrar tiempo, no perder de vista el objetivo
ii
fundamental en su tarea, acogerse a estándares probados en cuanto las formas de proceder y
contemplar cada uno de los pasos necesarios a la hora de ofrecer con certeza, reportes
específicamente diseñados para que el cliente pueda mediante los mismos, conocer el estado
actual en cuanto a la seguridad, los riesgos o vulnerabilidades a los que el mismo se encuentra
expuesto y las alternativas existentes al momento de mitigar el riesgo y ofrecer el servicio de
soporte técnico de la mejor manera.
El Modelo fue aplicado a la Empresa Net & Services Trantor el cual nos permitió identificar las
ventajas y desventajas de dicho modelo y fue gratificante ver que con ciertos mecanismos de
seguridad, se garantiza el óptimo cumplimiento de los niveles de servicio y de una manera segura.
Si bien este modelo puede parecer muy simple, esto se debe a que todas sus actividades engloban
de una u otra forma lo detallado en las normas y estándares presentados, pero bajo un esquema
generalizado y adaptable a cada organización.
El modelo propuesto es totalmente perfectible, ajustable y que puede ser dimensionado conforme a
las particularidades y tamaño de la organización en la cual pueda ser implementado, por lo que
dada la gama de actividades consideradas en el modelo, consideramos que este puede ser la base
para establecer un “Gobierno de TI” en las organizaciones que lo utilicen.
iii
Introducción
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas
plataformas tecnológicas disponibles, la posibilidad de interconectarse a través de redes ha abierto
nuevos horizontes a las organizaciones para mejorar su productividad y extenderse mas allá de las
fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para
los sistemas de información.
Con la aparición de estas amenazas resulta de suma importancia adoptar medidas que ayuden a
mitigar el riesgo de sufrir algún tipo de ataque, con la ayuda herramientas o modelos de seguridad
para el control y monitoreo en las aplicaciones, procesos y procedimientos de la empresa.
Actualmente la adopción de tecnología en sumamente necesaria en las empresas con el objetivo
de automatizar sus procesos y así obtener beneficios y ventajas en el mercado, por tal motivo se
surge la idea de proponer de un Modelo de Seguridad en el Soporte Técnico que sea flexible y que
permita que la información sea accesible a los destinatarios predeterminados, sea correcta,
completa y que esté disponible cuando se necesite.
Hoy en día una opción para las organizaciones es la contratación de los servicios de Outsourcing
y esto con el objetivo de reducir los costos de operación dentro de la empresa, así mismo una
ventaja cuando se contrata una empresa externa es que la misma se especializa en el servicio que
ofrece, por lo tanto genera una mayor calidad y eficiencia.
Por tal motivo se propone un Modelo de Seguridad en el Soporte Técnico para las empresas de
Outsourcing. Para lograr el objetivo la tesina se conforma de los siguientes capítulos:
El capítulo I ”Marco Metodológico” trata el planteamiento del problema sobre la propuesta de un
modelo de seguridad en las empresas Outsourcing y se enuncia el objetivo principal del desarrollo
de esta investigación , la justificación de la problemática concluyendo con la elección de la
población y la muestra a aplicar el modelo.
En el capítulo II “Elementos involucrados en el Servicio de Soporte Técnico” se centran y definen
todos los conceptos involucrados con el tema de esta tesina a manera de familiarizarse con los
mismos tales como Outsourcing, Soporte Técnico y seguridad informática. En la definición de
Outsourcing se describen los tipos de servicios que actualmente se están ofreciendo en el
mercado, la tendencia que tienen las empresas para tener estos servicios fuera de su operación
directa y las ventajas y desventajas que esto les trae. Los servicios de soporte técnico que son
susceptibles a llevar al modelo de Outsourcing, así como los niveles mínimos requeridos para
considerar adecuados los resultados, basados en estándares del mercado.
iv
Consideramos los aspectos de seguridad que son recomendados para que la ejecución de estos
servicios mitiguen los riesgos potenciales de que se comentan ilícitos en la operación.
En el capítulo III “Situación actual de la seguridad en el Soporte Técnico” se mencionan algunos
temas relacionados con los problemas más frecuentes en el servicio de Soporte técnico, desde
aspectos relacionados con procesos administrativos como definición de políticas de seguridad
hasta aspectos técnicos propios de infraestructura por ejemplo en redes, equipos de cómputo, etc.
En el capítulo IV “Legislación, Mejores Prácticas y Tecnología” se hace referencia a la legislación
actual tanto en el ámbito nacional e internacional en los servicios de soporte técnico y la seguridad
informática. Se hace mención de las mejores prácticas que existen hoy en día para tomar como
guía determinados aspectos que ayuden a tener un control en la seguridad de tecnologías
informáticas, la importancia de contar con las mismas y sus relaciones con las empresas de
Outsourcing. Complementando el capitulo indica la tecnología disponible para la gestión y
seguridad para el servicio de soporte técnico.
En el capítulo V “Propuesta de Modelo de seguridad para Empresas de Outsourcing” se aborda el
desarrollo del modelo de seguridad en el servicio en el soporte técnico a una organización, se
detalla todo lo necesario para llevar a cabo este modelo y elementos del mismo, haciendo énfasis
en los procedimientos que se generan para poder conformarlo. Se presenta un modelo general de
operación, que incluye la definición de servicios; la formalización del servicio; Administración de
riesgos; implantación; considerando indispensable la labor de monitoreo; seguimiento y evaluación
de calidad en la entrega de los servicios.
En el capítulo VI ”Aplicación del Modelo de seguridad Net & Services Trantor” se describe la
experiencia generada de implantar el modelo directamente en una empresa dedicada al
Outsourcing de servicios de soporte técnico, el mapeo de sus procesos y procedimientos contra el
modelo de seguridad propuesto y los beneficios que la aplicación de la mayoría de mejores
prácticas conlleva a su negocio. Se busca encontrar las ventajas de contar con éste modelo, así
como documentar las desventajas de su implementación.
Concluyendo con las observaciones sobre las aportaciones de la aplicación del modelo a la
empresa Net & Services Trantor; cuyo objetivo es que se establezcan los mecanismos de
seguridad adecuados que ayuden a mitigar los riesgos que se presentan al ofrecer el servicio de
soporte técnico.
-1-
Capítulo I. Marco Metodológico
En el presente capitulo se describe la importancia y el impacto que tienen en la actualidad las
empresas de Outsourcing en la prestación de servicios en general, y en especial las que prestan
sus servicios en el área de soporte técnico. Las tendencias actuales en México y el mundo
respecto a la contratación de empresas de Outsourcing, así como el nivel de satisfacción que de
acuerdo a estudios estadísticos presentan estas empresas a la vista de sus clientes y asociaciones
de profesionales de tecnología de información.
Se mencionan en forma general, la principal problemáticas que enfrentan estas en la prestación de
sus servicios y en particular en el área de seguridad. Se describen los riesgos inherentes que
conlleva a los clientes de la misma la adopción de esquemas de Outsourcing en especial en la
parte de seguridad, en donde ponen en manos de terceros parte de su infraestructura.
Las empresas de Outsourcing en general no consideran modelos propios de seguridad,
conformándose con adoptar y apegarse a los modelos o lineamientos y esquemas propios de sus
clientes. Estos modelos y/o lineamientos no siempre son lo suficientemente robustos para
garantizar un nivel de seguridad aceptable.
Para solucionar esta deficiencia, se propone un modelo de seguridad para ser implementado
dentro de las Empresas de Outsourcing con objeto de que incluya los mecanismos de seguridad
adecuados que mitiguen los riesgos de seguridad inherentes a este tipo de servicios.
1.1 Planteamiento del Problema
Es indudable la influencia y la importancia que tiene la tecnología informática en el progreso y
desarrollo de un país, puesto que abarca diversas áreas como las transacciones comerciales, la
comunicación, los procesos industriales, las investigaciones, la seguridad, el gobierno, etc. son
éstas las que dependen cada día más de los avances tecnológicos de la informática, ya que
manipulan grandes cantidades de información, que en la mayoría de los casos es vital para el
desempeño de sus procesos y actividades diarias.
Así también como existen aspectos positivos del avance acelerado de las tecnologías en las que
se ven beneficiadas las áreas antes mencionadas, a la par han surgido aspectos negativos que
han ido abriendo puertas a una serie de comportamientos ilícitos que perjudican a la empresa.
Tales como problemas en la integridad de la información, modificando y eliminando datos, el
acceso de personal no autorizado y fallas en el hardware y software de los equipos.
Debido a lo descrito anteriormente y a la gran importancia que tiene en las organizaciones en el
manejo de la información, ésta se convierte en uno de los principales objetivos de ataque de
-2-
aquellas personas que están en la búsqueda de una oportunidad para aprovecharse de las
vulnerabilidades que puedan existir en una organización, sufriendo impacto en lo económico como
en la productibilidad de ésta.
Como consecuencia de los problemas mencionados las organizaciones han optado por una mejor
administración de sus tecnologías y una opción para la misma es la contratación de servicios
informáticos, brindados por empresas externas conocidas como “Outsourcing” con el fin de contar
con un “área” que se encargue de alinear y controlar las tecnologías informáticas o simplemente
contar con un servicio de soporte técnico para su infraestructura, y así también reducir costos.
Debido a la demanda que ha tenido el servicio de soporte técnico brindado por Empresas de
Outsourcing en los últimos años, en esta investigación se desarrolla un Modelo de Seguridad, que
sea flexible y que permita el manejo de información de manera confidencial, íntegra y que éste
disponible cuando se necesite. Teniendo como objetivo minimizar riesgos a los que se enfrentan
las organizaciones, y proporcionarles a todas aquellas que adquieran el servicio la confiabilidad en
la infraestructura informática de manera integral y en un menor tiempo.
1.2 Objetivo General
Proponer un Modelo de Seguridad para ser implementado dentro de las Empresas de Outsourcing
con objeto de que incluya los mecanismos de seguridad adecuados que mitiguen el riesgo de la
alteración, robo o borrado de información, problemas de software y hardware que se presenten en
los equipos y en la conexión a la red.
1.2.1 Objetivos Específicos
Proporcionar un procedimiento de seguridad capaz de minimizar y resistir intrusiones así
como recuperarse de cualquier falla que pueda presentarse.
Restringir la utilización y difusión de información solo entre y por aquellos que tienen
autorización para hacerlo.
Brindar protección contra modificaciones de información no autorizadas, errores e
inexactitudes.
Permitir que el intercambio de información y/o transacciones entre áreas y personas sea
confiable.
Definir un estándar mínimo en los niveles de seguridad de los servicios de soporte técnico
proporcionados por los Outsourcing.
-3-
Que las empresas de Outsourcing adopten la metodología propuesta como una estrategia
de seguridad para disminuir los riesgos informáticos.
Posibilitar el acceso y uso de los sistemas de información cuando sean requeridos.
Incrementar los niveles de calidad de servicio ofrecidos por las empresas de Outsourcing.
1.3 Técnicas e Instrumentos de Muestreo
En este trabajo de investigación se utilizan dos técnicas la primera es la técnica de observación
directa, la técnica de análisis documental y de contenido.
En la técnica de análisis de observación se recolectan datos directamente de la realidad donde
ocurren los hechos.
Para la técnica de análisis documental nos basamos en la obtención y análisis de datos utilizando
como instrumentos los materiales impresos, libros y sitios Web.
1.4 Universo y/o muestra
Universo:
Aquellas empresas de Outsourcing que brindan servicios de soporte técnico.
Muestra:
La empresa Outsourcing “Net & Services Trantor”.
1.5 Justificación
Hoy en día gracias a la evolución de la tecnología de información se ha generado gran demanda
por parte de las organizaciones para que sus actividades sean efectuadas por medio de
computadoras, por lo que al mismo tiempo surge la necesidad de que la información y los equipos
que las contienen cuenten con la garantía que se encuentran seguros. Por lo que las
organizaciones para ahorrarse costos, y dejarlos en manos más especializadas y experimentadas,
destinan esta tarea a terceros para que les provean el servicio de soporte técnico.
Actualmente en México de acuerdo con “IDC la principal firma mundial de inteligencia de mercado,
servicios de consultoría, y conferencias para los mercados de tecnologías de la Información,
telecomunicaciones y tecnología de consumo, anunció mediante su filial en México que a finales de
2006 el mercado de Outsourcing informático se había incrementado en 15 por ciento respecto de
las ventas de 2005. El aumento es significativo tomando en cuenta que de 2004 a 2005, este
-4-
segmento creció 13 por ciento”, por lo que se puede asumir que en México se ha ido incrementado
año con año las Empresas Outsourcing.
En cuanto a la impresión del servicio de Outsourcing de acuerdo con una encuesta de KPMG
International, de febrero del 2007 pasado y en la que participaron 650 empresas en 32 países, 47%
de los usuarios de este modelo piensa que sus proveedores de servicio le aportan experiencia que
antes no tenía, mientras que el 53% restante considera que no es así y que los outsourcers, por
muchos conocimientos técnicos que tengan, no entienden el verdadero core business de sus
clientes.
Asimismo, la publicación InformationWeek realizó a mediados de 2006 una encuesta entre 420
profesionales IT en Estados Unidos, de los cuales 17% dijo que el resultado de adentrarse en una
iniciativa de Outsourcing había sido desastroso; en el 33% de los casos, neutral, y para 50% de los
encuestados, un éxito.
Con lo que respecta a la confianza que se tiene en las empresas Outsourcing Deloitte Consulting
encontró que 44% de un grupo de empresas que rescindieron contratos de Outsourcing, lo hicieron
porque este esquema no les ahorraba dinero, y 39% de los encuestados por InformationWeek dice
que el problema más frecuente de la subcontratación son los costos ocultos.
La consultora Ernst & Young presentó el primer estudio que se realiza sobre el delito digital. La
encuesta se realizó en 115 empresas de diferentes industrias.
La mayoría de los empresarios señalaron que en el 2008 fueron víctimas de un delito digital, el
29% son accesos ilegítimos (virus, malware, datos personales, denegación de servicio), 24%
sustracción de dispositivos móviles (Smartphones, PDA, Notebooks, dispositivos externos de
almacenamiento), 19% defraudaciones (manipulación y/o acceso de datos), 10% delitos extorsivos
o similares, 8% correo electrónico, 6% la propiedad intelectual.
Por lo citado anteriormente se genera el interés de que las estadísticas mencionadas se muevan a
favor de los servicios que brindan las empresas Outsourcing y sobre todo que los clientes queden
satisfechos pudiendo prever y controlar las diversas amenazas que surjan en la infraestructura
informática, en la integridad de la información que se maneja en la organización.
Para poder lograr que se incremente la confianza en el servicio de soporte técnico que brindan las
empresas Outsourcing se debe afianzar mediante un Modelo de Seguridad que permita a la
organización contar con una infraestructura estable, firme y segura.
-5-
Capítulo II. Elementos involucrados en el soporte técnico
En este capítulo se describe lo que es un Outsourcing, los tipos de Outsourcing que hay, su
importancia, así como sus principales ventajas y desventajas. También se mencionan los
principales motivos por lo que las empresas contratan los servicios de Outsourcing, los principales
síntomas de una empresa que requiere este tipo de servicio.
Existe una gran variedad de modelos de seguridad, así como elementos y bases que comparten y
relacionan. En este capítulo se introduce al concepto de un modelo de seguridad que sirve de base
para entender el modelo de seguridad en el soporte técnico propuesto.
Por otra parte también se mencionan los principales aspectos relacionados con el soporte técnico,
la Gestión de Niveles de Servicio, y algunos términos relacionados con el soporte técnico, como
Help Desk y Service Desk; según las mejores prácticas de ITIL.
2.1 Outsourcing
Basándose en el resultado de la investigación sobre Outsourcing que a continuación se desarrolla,
se demuestra que el Outsourcing ha ido cobrando fuerza a través del tiempo y ha logrado hoy en
día convertirse en un proceso de gestión que implica cambios estructurales de la empresa en
aspectos fundamentales tales como la cultura, procedimientos, sistemas, controles y tecnología
cuyo objetivo es obtener mejores resultados concentrando todos los esfuerzos y energía de la
empresa en la actividad principal.
2.1.1 Definición de Outsourcing
Según Dorban Chacón (1999), el termino Outsourcing podría definirse, como la acción de recurrir a
una agencia externa para operar una función que anteriormente se realizaba dentro de la
compañía. Por lo tanto Outsourcing es la transferencia a terceros de actividades no medulares de
las organizaciones. Básicamente se trata de una modalidad, según la cual determinadas
organizaciones, grupos o personas ajenas a la compañía son contratadas para hacerse cargo de
"parte del negocio" o de un servicio puntual dentro de ella1.
Con base en lo anterior se concluye en términos generales que el Outsourcing es la transferencia
de determinadas funciones o componentes operativos de procesos a un proveedor externo.
1 Chacón, Dorban. "Outsourcing". Primera Edición, Mc Graw Hill, Caracas, Marzo, 1999.
-6-
2.1.1.1 Tipos de Outsourcing
José de Jesús González Rodríguez en el documento realizado para el Centro de Estudios Sociales
y de Opinión Pública menciona que las organizaciones están tomando la decisión estratégica de
poner parte de sus funciones en las manos de especialistas, permitiéndoles concentrarse en su
negocio.2
Los servicios de Outsourcing abarcan la mayoría de las áreas de la empresa; de los tipos más
comunes son: Outsourcing de los sistemas financieros.
Outsourcing de los sistemas contables.
Outsourcing las actividades de Mercadotecnia.
Outsourcing en el área de Recursos Humanos.
Outsourcing de los sistemas administrativos.
Outsourcing de actividades secundarias.
2.1.1.2 Ventajas y Desventajas del Outsourcing
Se señala las ventajas y desventajas del Outsourcing en el libro “Outsourcing. La contratación”
de Brian Rothery. Iam Robertson.
Son indudables los beneficios que esta práctica ha traído y traerá al mundo Por ejemplo, se
reducirán y compartirán los riesgos gracias a un mayor flujo de información; las compañías estarán
dispuestas a pagar por servicios más especializados.3
Ventajas
Al externalizar determinadas funciones de la empresa, se suelen obtener dos principales
beneficios:
Una mejor calidad de servicio por parte de las empresas que ofrecen el servicio de
Outsourcing al contar estas con mayor experiencia en el ámbito de la seguridad y contar
con especialistas del sector.
Los costos de Outsourcing son inferiores a hacerlo uno mismo, ya que los medios, las
herramientas y la tecnología las aporta la empresa contratada salvo previo acuerdo.
2 González Rodríguez, José de Jesús “Investigación sobre Outsourcing”. Editado por Centro de Estudios Sociales y de
Opinión Pública, Madrid, 1996. 3 Rothery Brian y Robertson Iam. "Outsourcing": La Subcontratación. Editorial Limusa, S.A, México, 1997.
-7-
Desventajas
Como en todo proceso existen aspectos negativos que forman parte integral del mismo. Se pueden
mencionar las siguientes desventajas del Outsourcing:
Estancamiento en lo referente a la innovación por parte del suplidor externo.
La empresa pierde contacto con las nuevas tecnologías que ofrecen oportunidades para
innovar los productos y procesos.
Las tarifas incrementan la dificultad de volver a implementar las actividades que vuelvan a
representar una ventaja competitiva para la empresa.
Alto costo en el cambio de proveedor en caso de que el seleccionado no resulte
satisfactorio.
2.1.2 Importancia del Outsourcing en las Empresas
El Outsourcing ha logrado desempeñar un papel muy importante como una herramienta en la
planificación del crecimiento de las empresas modernas, fundamentalmente para afrontar y
responder con rapidez a los cambios en el entorno.4
Los factores que hacen importante al Outsourcing
Mayor eficiencia.
Es más económico.
Reduce y controla los gastos de operación.
Disposición de personal altamente capacitado.
Disposición más apropiada de los fondos de capital.
Manejo más fácil de las funciones difíciles o que están fuera de control.
Concentración de los negocios relacionados con la razón de ser de la compañía.
2.1.3 Por que las Empresas solicitan Outsourcing
Una encuesta de Dataquest realizada en 1999 identificaba los temas clave que motivan las
decisiones de Outsourcing, que son, velocidad de introducción en el mercado (time to market),
4 González Rodríguez, José de Jesús. “Investigación sobre Outsourcing”. Editado por Centro de Estudios Sociales y de
Opinión Pública, Madrid, 1996.
-8-
mejora en los niveles de servicio, capacidad para poder centrarse en las competencias
empresariales principales, mejora de la eficacia de las Tecnologías de la Información, acceso
flexible a expertos y recursos de Tecnologías de la Información, alineación de la estrategia de
Tecnologías de la Información y los objetivos del negocio, obtención de experiencia y
conocimientos técnicos, implantación de procesos globales, migración a nuevas plataformas
tecnológicas, mejora de la competitividad general, acceso a conocimientos de proceso y
sectoriales, reducción de los costes y el personal de Tecnologías de la Información, aumento del
valor de la empresa ante los accionistas y compartir riesgos.5
2.1.4 Síntomas en una empresa que requiere un Outsourcing
De acuerdo al estudio realizado por la empresa Dataquest se encontró que las empresas que
requieren de la implantación de un Outsourcing son las siguientes:
Empresas recientemente formadas.
Empresas que están en proceso de fusión de negocios.
Empresas que están implementando nuevos software con nuevos procesos de tecnologías.
Empresas con operaciones de negocios en y con diferentes localidades geográficas o
países.
Empresas con planes de crecimiento y/o desarrollo nacional e internacional.
Empresas recientemente adquiridas por nuevos inversionistas.
Empresas con permanente incremento de sus costos internos.
Empresas con antigüedad importante y que no haya actualizado sus procedimientos y/o
procesos internos.
En lo referente a los gerentes de empresas:
Gerentes que no cuenten con información financiera o contable oportuna.
Gerentes que consideren que sus cadenas de procedimientos se encuentran muy
complicadas.6
5 Lara Navarra Pablo y Martínez Usero José Ángel, “Outsourcing en las unidades de información de las organizaciones”,
http://www.elprofesionaldelainformacion.com/contenidos/2002/mayo/1.pdf, Abril 2009. 6 Gestiopolis, “Mitos y realidades del Outsourcing”,
http://www.tecnologiahechapalabra.com/tecnologia/comunicados/ti/articulo, Mayo 2009.
-9-
2.1.5 Requisitos que debe de cumplir la empresa que requiere un Outsourcing
El alcance que debe tener claro la empresa al contratar servicios de Outsourcing debe considerar
como mínimo los siguientes puntos.
La empresa que contrata el servicio debe disponer de un objetivo claro, cuyo alcance
implique ceder al tercero la responsabilidad y el compromiso del área relacionada, para lo
cual la Empresa contratada debe posicionarse dentro del organigrama de la empresa.
El servicio de Outsourcing debe contratarse por un tiempo limitado, estimado en base a las
actividades y fases a desarrollar para alcanzar el objetivo, se considera que no debe
establecerse un objetivo cuyo alcance se estime en más de 2 años. La existencia de un
canal de comunicación claro, abierto y de alto nivel entre las partes. La disposición de un
mecanismo sencillo de evaluación del avance y desempeño del servicio y una política de
adaptación o mejora del mismo de acuerdo a las actividades y objetivos. La disposición de
un esquema claro de tarifas, costos y manejo de inversión, gastos y adquisiciones. La
existencia de transparencia, confianza, satisfacción y buena fe entre las partes, para que
éstas puedan sentir que son socias comprometidas de forma proactiva, con un fin común
en base a una relación de negocio en la que el beneficio de ambas empresas está
estrechamente relacionado.7
2.1.6 Proceso de implementación de Outsourcing en una organización.
Para una fácil y efectiva implementación del Outsourcing en el estudio realizado por la empresa
Dataquest denominado “Outsourcing”. Enlista los siguientes pasos para poder llevar a cabo dicha
implementación.8
Claridad de Objetivos
Expectativas Realistas
Compromiso del cliente
Definición detallada de la Cartera de servicios incluidos
Definición adecuada de niveles y Modelos de servicio
Flexibilidad Financiera
Compromiso del Proveedor
7 Lara Navarra Pablo, Martínez Usero José Ángel, “Outsourcing en las unidades de información de las organizaciones”,
http://www.elprofesionaldelainformacion.com/contenidos/2002/mayo/1.pdf, Abril 2009.
-10-
Conformidad Gerencial
Flexibilidad Económica
Flexibilidad Operativa
2.2 Modelo
En el diccionario Wesbster se define un modelo como un ente que representa de forma precisa
algo que será realizado o que ya existe.
Un modelo es una representación simplificada de la realidad en la que aparecen algunas de sus
propiedades9.
2.2.1 Seguridad10
La seguridad de la información se refiere a buscar el cumplimiento básicamente de tres aspectos
básicos que se deben preservar o garantizar, y son: Confidencialidad, Integridad y Disponibilidad.
2.2.1.1 Confidencialidad
La confidencialidad es que la información pueda ser “vista” por quien tiene ese derecho y de
acuerdo al nivel de acceso permitido. En el esquema militar se observa una clara tendencia a
garantizar este aspecto de seguridad, debido al nivel de sensibilidad de la información que es
manejada por ellos, solo algunas personas que tienen un nivel de clasificación que por lo menos es
superior o igual a la información presentada entonces puede tener acceso a esta.
2.2.1.2 Integridad
La Integridad, se refiere a la forma en que protegemos la información de cambios intencionales o
accidentales no autorizados (prevenir que la información se contamine). A través de este control
garantizamos que la información es precisa y se mantiene en el estado que los usuarios esperan.
Sobre esto lo principal es brindar mecanismos de protección de tal forma que la información se
mantenga integra y se puedan prevenir fraudes y errores.
2.2.1.3 Disponibilidad
La disponibilidad lo que se quiere es garantizar que la información se encuentre lista a ser
accedida cuando se necesita.
9 Aracil, Joly. ”Máquinas, sistemas y modelos. Un ensayo sobre sistémica”. Tecnos, Madrid España 1986, 282 p.
10 Pfleeger, Charles. “Security in Computing, Security Needs”, 2° Edition, Pretice Hall, USA 1996, Chapter 5
-11-
2.2.2 Modelo de Seguridad
Modelo de Seguridad es aquel que nos permite tener una certeza formal de la validez de un
esquema de seguridad donde a través de una sustentación matemática (formal) se puede
comprobar si un sistema es realmente seguro. En resumen un modelo de seguridad se trata de
una definición formal de Políticas, normas, procedimientos, estándares, resoluciones y
responsabilidades para la seguridad.
2.2.2.1 Objetivos del Modelo de Seguridad
El objetivo del Modelo de Seguridad Informática es mejorar la seguridad de nuestra información y
de nuestros equipos.
La Propiedades que nos interesan son: Confidencialidad, Integridad, Autenticidad.
2.2.2.2 Control de Acceso
El control de acceso como su nombre lo indica hace referencia a la manera en que se administra el
acceso a un recurso compartido.
En cuanto al control de acceso de los modelos de seguridad básicamente se distinguen dos
grupos. El primero el control de acceso mandatorio (MAC) que determina un conjunto de reglas
para ser cumplidas a nivel del sistema. Y el segundo grupo el control de acceso discreto (DAC) en
donde se definen las reglas para ser cumplidas a nivel de usuario11
.
En modelos MAC los elementos básicos como son los sujetos y objetos tienen un nivel de
seguridad asignado que limita su interacción.
Los elementos básicos que componen los modelos de seguridad MAC son:
Sujetos: Los elementos activos (hacen las operaciones) del sistema como por ejemplo las
personas.
Objetos: Los elementos pasivos (sobre los cuales hacen las operaciones) como por
ejemplo los archivos, discos y memoria.
Modos de acceso: Los permisos que tiene los sujetos para operar sobre los objetos.
Niveles de seguridad: Los permisos de los sujetos y la clasificación de los objetos.
11 lack5831. “Information Security Models”,http://itd.colorado.edu/lack5831/Information%20Security%20Models.pdf, Abril 2009
-12-
La relación de los modos de acceso con los sujetos y objetos es determinada por una estructura
matricial basado en el modelo de matriz de acceso que se desarrolló en los años 7012
. La
estructura matricial se utiliza en los modelos de seguridad para definir el conjunto de operaciones
que un sujeto puede hacer sobre un objeto.
2.3 Soporte Técnico
Se entiende por soporte a la ayuda técnica necesaria para resolver cualquier problema que pueda
tener con el uso o funcionamiento de Software o Hardware.
2.3.1 Que es el soporte Técnico
El Soporte técnico es un rango de servicios que proporcionan asistencia con el hardware y
software de una computadora, o algún otro dispositivo electrónico o mecánico. En general los
servicios de soporte técnico tratan de ayudar al usuario a resolver determinados problemas con
algún producto en vez de entrenar o personalizar.
La mayoría de las compañías que venden hardware o software ofrecen soporte técnico de manera
telefónica o en línea. Las instituciones y compañías por lo general tienen sus propios empleados
de soporte técnico. Existen a su vez múltiples lugares libres en la web respecto a soporte técnico,
en los cuales los usuarios más experimentados ayudan a los novatos.
El soporte técnico, disponible por teléfono o por E-mail, incluye también proporcionar
conocimientos técnicos para todas aquellas consultas que requieran un asesoramiento sobre
desarrollo, instalación, configuración y mantenimiento del software13
.
2.3.2 Tipos de Soporte Técnico
El soporte técnico se puede dar por distintos tipos de medio, incluyendo el correo electrónico, chat,
software de aplicación, faxes, y técnicos, aunque el más común es el teléfono que regularmente
son servicios ofrecidos por una mesa de servicios (Help Desk).
2.3.2.1 Help desk14
Una formas para brindar soporte técnico es mediante el Help desk, la tecnología Help desk es un
recurso de información y asistencia para resolver problemas con computadoras y productos
similares, las corporaciones a menudo proveen soporte (Help desk) a sus consumidores vía
número telefónico totalmente gratuito, website o e-mail. También hay soporte interno que provee el
mismo tipo de ayuda para empleados internos solamente.
12 Quezada Reyes Cintia y Gutiérrez Rodríguez Sergio. “Políticas de seguridad”, http://mx.geocities.com/fundamentosdeseguridad/SEMINARIO/TEMA_6.htm, Abril 2009. 13
Enciclopedia libre Wikipedia. “Soporte Técnico”, http://es.wikipedia.org/wiki/Soporte_t%C3%A9cnico, Mayo 2009. 14
Enciclopedia libre Wikipedia. “HelpDesk”, http://es.wikipedia.org/wiki/Helpdesk, Mayo 2009.
-13-
En la biblioteca de infraestructura de la tecnología de información (ITIL) dentro de compañías
adheridas al ISO/IEC 20000, o buscando implementar mejores prácticas de administración en los
servicios de tecnologías de información, un Help Desk puede ofrecer un más amplio rango de
servicios centralizados y ser parte de un centro de servicio (Service Desk) más grande.
2.3.2.1.1 Funciones
Un Help desk tiene varias funciones y una de ellas es proveer a los usuarios un punto central para
recibir ayuda en varios temas referentes a la computadora. El Help desk típicamente administra sus
peticiones vía software que permite dar seguimiento a las peticiones del usuario con un único
número de ticket. Esto también puede ser llamado "Seguimiento Local de Fallos" o LBT por sus
siglas en inglés (Local Bug Tracker). Este software, a menudo puede ser una herramienta
extremadamente benéfica cuando se usa para encontrar, analizar y eliminar problemas comunes
en un ambiente computacional de la organización.
Comúnmente se manejan 3 niveles de soporte dentro de un Help Desk, el primer nivel contempla
la ayuda remota vía mensajero, website, e-mail o alguna herramienta de software para apoyo al
Help Desk, el problema reportado intenta resolver por medio de alguno de esos medios, el
segundo nivel contempla la ayuda en sitio, si el problema reportado no fue capaz de solucionarse
vía remota
En un Help desk, el usuario notifica su problema, inmediatamente después se emite un ticket que
contiene los detalles del problema; si el primer nivel es capaz de resolver el problema, el ticket es
cerrado y actualizado con la documentación de la solución para permitir a otros técnicos de servicio
tener una referencia. Si el problema necesita ser escalado, este será despachado a un segundo
nivel.
Las tareas de un Help desk son las siguientes15
:
Recibir los reportes realizados por usuarios que solicitan un servicio de IT cuando:
o Interrumpan la operación normal de trabajo.
o Requieran soporte sobre el hardware y/o software instalado.
o Requieran nuevos productos de hardware y/o software.
o Generen consultas y/o asesoramiento en el funcionamiento y/o utilización de los
recursos informáticos disponibles.
15
Soporte Remoto de México. “HelpDesk & Service Desk”, http://www.soporteremoto.com.mx/help_desk/articulo01.html, Mayo 2009.
-14-
Realizar escalaciones de incidentes a los grupos especializados.
Corroborar que las soluciones brindadas a los usuarios sean las más adecuadas.
Realizar estadísticas de los servicios proporcionados por el Help Desk. Las mismas tienen
como objetivo poder realizar un análisis de la actividad del área de informática que tendrá,
el mejoramiento del servicio y la operatoria de los usuarios.
Planes de contingencia en caso de que un servicio así lo requiera.
Control de los inventarios de software y hardware de la organización.
Control de la base de datos de los usuarios.
Administración de las licencias de software.
Desarrollo de manuales de normas y procedimientos.
2.3.2.2 Service Desk (ITSM)
El servicio técnico (en inglés service desk o también dependiendo de su implicación, call center
(centro de llamadas), contact center (centro de contacto) o Help desk es una capacidad
fundamental dentro de la Gestión de Servicios IT (ITSM), según se define en Information
Technology Infrastructure Library). Su objetivo es proporcionar un "punto único de contacto" o
SPOC (Single Point Of Contact), para satisfacer las necesidades de comunicación entre IT y sus
clientes, de forma que ambos cumplan con sus objetivos. Muchas organizaciones han implantado
un service desk centralizado para gestionar incidencias, dudas, consultas, peticiones, etc. de
usuarios y clientes (usuario se refiere al usuario final de un servicio, mientras que cliente es la
entidad que está pagando por el servicio).
El service desk por tanto gestiona incidencias (eventos que causan o pueden causar una pérdida
en la calidad de un servicio) y peticiones rutinarias de nuevos servicios, además de ser el interfaz
ante los usuarios de otras actividades ITSM como Gestión de Configuración, Gestión de Cambios,
Gestión de Continuidad de Servicios IT, etc.
Además debe mantener proactivamente informados a los usuarios de todos los eventos relevantes
con el servicio que les pudieran afectar. Difiere de un Call Center o Help Desk en que tiene un
alcance mayor y más centrado en el cliente, ya que se encarga de facilitar la integración de los
procesos de negocio en la infraestructura IT.16
16
Osiatis. “Curso de Itil, Help Desk”, http://itil.osiatis.es/Curso_ITIL, Mayo 2009.
-15-
2.3.2.2.1 Funciones
El service desk permite tener un mayor control en el área de IT, y definir con mayor precisión las
actividades realizadas por cada área de servicio asignando roles a los responsables de dichas
actividades que nos proporcionen las siguientes ventajas17
:
Ser el único punto de contacto para clientes y usuarios
Facilitar la restauración normal del servicio dentro de los niveles y prioridades establecidas,
minimizando el impacto al negocio.
Detectar con mayor facilidad puntos de mejora en los servicios proporcionados en IT.
Optimizar procesos y procedimientos que permitan reducir los tiempos de solución y la
correcta escalación de los mismos.
Detectar posibles problemas y dedicar el tiempo que sea necesario para la solución de los
mismos.
Tener un control de los elementos de que sean parte de la infraestructura para detectar
cualquier cambio que se haya generado.
Procedimientos de monitoreo y escalación relacionadas con SLA´s.
Destacar necesidades de capacitación para los clientes.
Proporcionar a la administración información y recomendaciones para la mejora del
servicio.
2.3.2.3 Diferencia un Help desk y un service desk
En la actualidad muchas empresas han aumentado su necesidad de tener un Help Desk que no
solo cumpla sus necesidades de soporte, sino que aporte información para la toma de decisiones
que sea reflejada en los costos y necesidades de la empresa.
La evolución de un Help Desk a un Service Desk viene a balancear la parte operativa y estratégica,
a fin de generar información que incremente la satisfacción del cliente, se generen acciones de
mejora, incremente las utilidades y reduzca los costos18
.
17
Soporte Remoto de México. “HelpDesk & Service Desk”, http://www.soporteremoto.com.mx/help_desk/articulo01.html, Mayo 2009. 18
Soporte Remoto de México, “HelpDesk & Service Desk”, http://www.soporteremoto.com.mx/help_desk/articulo01.html, Mayo 2009.
-16-
En base a las actividades que realizan tanto el Help Desk como el Service Desk se pueden
establecer la siguientes diferencias: la operación de un Help Desk se limita asegurarse que se
tengan los recursos humanos y tecnológicos que permitan satisfacer la demanda de los eventos de
sistemas generados por la organización; la administración más allá de controlar única y
exclusivamente la demanda debe proveer y tener la capacidad de proyectar el comportamiento de
la organización en cuanto a sus fallas operativas y de infraestructura e identificar aquellos
problemas que aquejan a la organización. Es decir la administración juega un rol más importante
en la toma de decisiones estratégicas que el área de IT pueda llegar a tomar.
2.4 Gestión de niveles de servicio19
La Gestión de Niveles de Servicio es el proceso por el cual se definen, negocian y supervisan la
calidad de los servicios IT ofrecidos.
El objetivo último de la Gestión de Niveles de Servicio es poner la tecnología al servicio del cliente.
La tecnología, al menos en lo que respecta a la gestión de servicios IT, no es un fin en sí misma
sino un medio para aportar valor a los usuarios y clientes.
La Gestión de Niveles de Servicio debe velar por la calidad de los servicios IT alineando tecnología
con procesos de negocio y todo ello a unos costes razonables.
Para cumplir sus objetivos es imprescindible que la Gestión de Niveles de Servicio:
Conozca las necesidades de sus clientes.
Defina correctamente los servicios ofrecidos.
Monitorice la calidad del servicio respecto a los objetivos establecidos en los SLAs.
2.4.1 Objetivos.
La Gestión de Niveles de Servicio es responsable de buscar un compromiso realista entre las
necesidades y expectativas del cliente y los costes de los servicios asociados, de forma que estos
sean asumibles tanto por el cliente como por la organización IT.
La Gestión de los Niveles de Servicio debe:
Documentar todos los servicios IT ofrecidos.
Presentar los servicios de forma comprensible para el cliente.
19
Osiatis. “Curso de Itil, Help Desk”, http://itil.osiatis.es/Curso_ITIL, Mayo 2009.
-17-
Centrarse en el cliente y su negocio y no en la tecnología.
Colaborar estrechamente con el cliente para proponer servicios IT realistas y ajustados a
sus necesidades.
Establecer los acuerdos necesarios con clientes y proveedores para ofrecer los servicios
requeridos.
Establecer los indicadores claves de rendimiento del servicio IT.
Monitorizar la calidad de los servicios acordados con el objetivo último de mejorarlos a un
coste aceptable por el cliente.
Elaborar los informes sobre la calidad del servicio y los Planes de Mejora del Servicio
2.4.2 Beneficios
Los principales beneficios de una correcta Gestión de Niveles de Servicio son:
Los servicios IT son diseñados para cumplir sus auténticos objetivos: cubrir las
necesidades del cliente.
Se facilita la comunicación con los clientes impidiendo los malentendidos sobre las
características y calidad de los servicios ofrecidos.
Se establecen objetivos claros y medibles.
Se establecen claramente las responsabilidades respecITvas de los clientes y proveedores
del servicio.
Los clientes conocen y asumen los niveles de calidad ofrecidos y se establecen claros
protocolos de actuación en caso de deterioro del servicio.
La constante monitorización del servicio permite detectar los "eslabones más débiles de la
cadena" para su mejora.
La gestión IT conoce y comprende los servicios ofrecidos lo que facilita los acuerdos con
proveedores y subcontratistas.
El personal del Service Desk dispone de la documentación necesaria (SLAs, OLAs, etc.)
para llevar una relación fluida con clientes y proveedores.
Los SLAs ayudan a la Gestión IT tanto a calcular los cálculos de costes como a justificar su
precio ante los clientes.
-18-
Lo que repercute a la larga en una mejora del servicio con la consecuente satisfacción de clientes y
usuarios.
2.4.3 Proceso.
Las principales actividades de la Gestión de Niveles de Servicio se resumen en:
Planificación:
o Análisis e identificación de las necesidades del cliente.
o Asignación de recursos.
o Elaboración de un catálogo de servicios.
o Desarrollo de SLAs tipo.
o Herramientas para la monitorización de la calidad del servicio.
o Elaboración del los Requisitos de Nivel de servicio (SLR), Hojas de Especificación
del Servicio y Plan de Calidad del Servicio (SQP).
Implementación de los Acuerdos de Nivel del Servicio:
o Negociación.
o Acuerdos de Nivel de Operación.
o Contratos de Soporte.
Supervisión y revisión de los Acuerdos de Nivel de Servicio:
o Elaboración de informes de rendimiento.
o Control de los proveedores externos.
Elaboración de Programas de Mejora del Servicio (SIP).
-19-
Capítulo III. Situación actual de la seguridad en el Soporte Técnico
En este capítulo se revisa la situación actual de las empresas de Outsourcing en la prestación de
servicios de soporte técnico en general y en particular en la parte de seguridad.
En los recientes 30 años se ha generado un avance sin precedente en las tecnologías de
información en forma general y de manera particular en los microprocesadores que son, en la
actualidad, la base para todos los sistemas de cómputo modernos; no ha sucedido lo mismo con
la calidad del servicio prestado a los usuarios por las áreas de información. Para el área de
soporte técnico se presenta una problemática muy particular en cuanto a la calidad de los servicios
ofrecidos a los clientes o usuarios de los mismos. Esto ha generado un área de oportunidad para
crear modelos que permitan mejorar la calidad de este tipo de servicios en especial en aspectos de
seguridad. Como opción a esta necesidad surgió el esquema de tercerización o Outsourcing, sin
embargo este tipo de esquema sigue conservando una buena parte de la problemática que ya
existía y debido a su naturaleza de ser una entidad externa a la organización a la que está dando
el servicio, debe adicionar aspectos de seguridad y confidencialidad de la información de sus
clientes y de la propia compañía de Outsourcing.
El propósito de este capítulo es describir la situación actual de las empresas de Outsourcing que
prestan sus servicios en el área de soporte técnico, destacando sus principal problemática, en
particular, en el área de seguridad. Esta situación actual, tendencias y problemática será
considerada en el modelo de seguridad propuesto como resultado de esta tesina.
3.1 Panorama general del soporte técnico
Como se puede observar en la actualidad la tecnología es utilizada por la mayoría de las
organizaciones, por lo tanto es necesario adaptarse a los cambios que dicha tecnología sufre día
con día, esto significa que los procesos deberían de cambiar a la par.
La mesa de ayuda por regla general por tratarse de un área de servicio atraviesa por problemas
bastante graves que dañan la imagen de la compañía y del departamento de sistemas (IT). A
continuación se describen algunos de los problemas más comunes:
A continuación se plantea los dos posibles panoramas en los que se encuentra las organizaciones
con respecto al servicio de soporte Técnico.
En un primer escenario la organización cuenta con un área de soporte técnico y personal
capacitado, contestando las llamadas, resolviendo los problemas de las áreas, dedicando mucho
de su tiempo en la solución de conflictos recurrentes, todo esto en forma personalizada, y
utilizando valioso tiempo en desplazarse a las áreas correspondientes para resolver situaciones
-20-
que podrían ser resueltas con una llamada telefónica20
. Además, generalmente no queda
constancia del servicio realizado, no se llenan solicitudes de servicio y, si llegan a llenarse, se
cuentan con pocos datos significativos que sirvan para la administración eficiente del servicio, al
punto que se desconoce incluso la cantidad de usuarios atendidos, de qué área son estos
usuarios, cuál o cuáles son los problemas a resolver y cómo se resolvieron.
En un segundo escenario, es en el que se encuentra una organización que carece por completo
de una infraestructura organizada de servicio; el personal del área de informática tiene como
actividad complementaria el atender a los usuarios con problemas en sus equipos, ello
principalmente porque no se le ha dado a la mesa de ayuda la importancia que merece como
Centro de Contacto con el personal de la empresa, y menos aún a los clientes externos21
.
En los dos escenarios nos encontramos con que los usuarios constantemente se quejan del
servicio y que al brindar el soporte requerido no es oportuno ni eficiente.
3.2 Problemática del soporte técnico
De acuerdo con la investigación realizada por la Universidad de Antioquia en Colombia en el
soporte técnico no existe un proceso definido ni un procedimiento de atención de requerimientos, la
mayoría de casos se atienden conforme ingresan al Help Desk por prioridad de llamada22
, cuando
un técnico recibe una llamada, éste se traslada directamente hacia donde se encuentra el usuario
para poder solucionar, dejando el resto de llamadas en cola.
Pero aunque pareciera que con llevar un registro de incidencias es suficiente para mejorar la
situación; sin embargo, la carencia de un sistema de Mesa de Ayuda nos genera diversos
problemas.
A continuación se enlistan los problemas actuales que enfrenta el soporte técnico.
1. Falta de control de las incidencias, que se ve reflejada en:
Bajo registro de incidencias.
Canales informales de ingreso de incidencias.
Indeterminación de los niveles de servicio aceptables definidos con las áreas de
soporte interno y externo en las distintas especialidades.
20
Ocampo Pérez, Esperanza. ”Implementación de una mesa de ayuda exitosa”, publicado en la revista del Instituto Mexicano de Telemarketing, Agosto de 2009. 21
Ocampo Pérez, Esperanza. ”Implementación de una mesa de ayuda exitosa”, publicado en la revista del Instituto Mexicano de Telemarketing, Agosto de 2009. 22
Endara Martínez, Francisco. ” Aplicación de la metodología Seis Sigma sobre un proceso de mesa de ayuda (Help desk)”, http://www.monografias.com/trabajos36/seis-sigma/seis-sigma2.shtml, Agosto 2009.
-21-
Dificultad para brindar soporte On-Site, local, nacional e internacional.
2. Falta de control del proceso, que se ve reflejada en:
Falta de normatividad y procedimientos para el desarrollo de la tarea diaria de los
agentes técnicos.
Inadecuada implementación del sistema de Mesa de Ayuda.
Inapropiada disposición física de los puestos de atención.
3. Falta de control en la infraestructura instalada:
Inexistencia de estadísticas.
Inexistencia de encuestas de calidad de atención.
Inventario de hardware desactualizado y escaso control del movimiento de equipos.
Poco control del software instalado en las estaciones de trabajo.
4. Fallas en la administración de los recursos humanos:
Fallas en la supervisión del personal.
Falta de capacitación al personal de la Mesa de Ayuda, que se manifiesta en un bajo
porcentaje de soluciones en primer nivel.
Falta de control en la calidad y bajo volumen de trabajo asignado al personal del área.
Para la empresa TELSMA, con más de 15 años ofreciendo el servicio de soporte
técnico
o La inadecuada distribución de los recursos hace que un usuario en ocasiones
espere por tiempos prolongados
o El volumen de llamadas que ingresan a la mesa de ayuda son no controlables
o Como los usuarios no son atendidos se generan re llamados, es decir que por
un mismo caso los usuarios llaman más de una vez.
o No existe un método para evaluar a los técnicos ni un control para organizar
las labores de los mismos.
o No existen niveles de servicio, contemplados en indicadores de gestión o
acuerdos de niveles de servicio que permitan hacer mediciones sobre el
proceso.
-22-
o Los técnicos que atienden las llamadas cada día tienen más carga de trabajo y
su labor se torna agotadora y desmotivante por la deficiente distribución de
trabajo.
Conclusión
Las organizaciones pierde tiempo, dinero y la mesa de ayuda se torna en un centro de inoperancia.
Después de conocer la problemática por la que se presenta el servicio de soporte técnico se ha
considera que es necesario el desarrollo de un modelo que ayude a mitigar las mencionadas fallas
y así poder llegar a ofrecer un servicio eficiente.
3.3 Modelos de Help desk
En el ambiente informático los problemas que se nos presentan, responden a la siguiente
distribución:
La mayor cantidad de los mismos son de baja complejidad y los menos son de alta complejidad.
Esto ocurre de manera similar en todas las áreas que componen el área de sistemas:
Comunicaciones, Desarrollo, Seguridad, Redes, etc.
Figura 3.3: Pirámide de composición de la demanda
3.3.1 Consideraciones
Conocer cómo es la distribución y los tipos de incidentes que se recibirán es muy importante. Dado
que cada uno atenderá y resolverá los problemas que sean de su competencia es necesario
equilibrar la demanda con la capacidad operativa del equipo de soporte. La cantidad de incidentes
de un nivel se debe corresponder con la cantidad y las habilidades de los recursos que se asignan
para su resolución.
Otro factor que influye es el tiempo necesario para la resolución de cada tipo de incidentes. Los de
baja complejidad en general son repetitivos y fácilmente localizables en la base de conocimiento.
-23-
Como regla general decimos que el Help Desk resuelve los incidentes ubicados en la base de la
pirámide de composición de la demanda (Figura 3.3) y los especialistas de los grupos de
resolución, los ubicados en el extremo superior.
3.3.2 Documentación
Hay que tener en cuenta que los problemas son complejos hasta que se les encuentra una
solución y ésta puede ser documentada. En ese caso el alcance del Help Desk en porcentajes de
resolución puede aumentar sin necesidad de elevar el perfil técnico de los analistas. Simplemente
entendiendo y siguiendo el procedimiento documentado previamente.
¿Cuál es el conjunto de incidentes que pueden resolver como máximo un Help Desk?
Del 100% de los incidentes recibidos en el Help Desk existen dos límites máximos que acotan la
posibilidad de resolverlos en el primer nivel. Un límite es el funcional o de responsabilidad.
A) Existen incidentes que por su naturaleza son de competencia exclusiva de grupos
especializados. Por ejemplo la asignación de permisos sobre carpetas del servidor o la
creación de usuarios para acceder a las aplicaciones o funciones centralizadas. Estos,
claramente son competencia de Seguridad Informática.
B) El otro límite es el técnico. El Analista de Help Desk dotado de herramientas de control y de
acceso remoto llega a diagnosticar y resolver aquellos incidentes hasta donde sus
posibilidades técnicas se lo permiten. (obviamente quedan excluidos problemas de
hardware, Sistemas operativos que no se cargan completamente, PC que están fuera de
red, etc.)
Figura 3.3.2 Incidentes en el Help desk
-24-
3.3.3 Fallas en la Calidad del Help desk
En el servicio de Help desk las principales fallas que se encuentran en los folios según la empresa
“Joint venture” son las siguientes23
:
Folios mal escalados.
Folios mal documentados.
Folios asignados fuera de tiempo.
Por tal motivo la empresa ya mencionada sugiere implementar controles y establecer métricas en
los folios que genera el Help desk con el propósito de disminuir este tipo de fallas. En las
siguientes graficas se observa como disminuyen este tipo de problemas en dicha empresa.
Figura 3.3.3_1 Porcentaje de Folios mal Asignados
Figura 3.3.3_2 Porcentaje de Folios Mal Documentados
23
Almunia, Joaquín. “Calidad en el Helpdesk”, http://www.ipr-helpdesk.org/newsletter/25/html/ES/RTDeModules.html, Agosto 2009.
-25-
Figura 3.3.3_3 Porcentaje de Folios Asignados Fuera de Tiempo
3.4 Problemáticas en los recursos humanos.
En el area de recursos humanos se presentan diversos problematicas con el personal empezando
desde la contratacion, mientras laboral y despues de dejar de ser empleados de la empresa.
Acontinuacion se presentan algunos datos y estadisticas sobre estas problematicas.
3.4.1 Problemáticas en la contratación de personal
Dentro de los princiapales problemas encontrados en la contracion se encuentran los siguientes:
Detectar al personal capacitado para la realización del Outsourcing.
Referencias personales incorrectas, inventadas o poco confiables de los candidatos.
Detectar perfiles de delicuencia informatica en el entrevistado.
Documentacion falsa de los candidatos.
3.4.2 Problemáticas en el personal mientras labora
Robo de información desde adentro de la empresa.
Las compañías mexicanas son sumamente vulnerables al robo de información sobre todo porque
el enemigo está en casa.24
De acuerdo a Mattica, laboratorio de cómputo forense, el 82% de los robos de información suceden
desde el interior de las empresas.
24
Martínez, José Manuel. “Robo de información, el enemigo en casa” http://www.cnnexpansion.com/tecnologia/2007/10/16/robo-de-informacion-el-enemigo-en-casa, Julio 2009.
-26-
“A diferencia de lo que uno pensaría de que un hacker vulnera a una empresa, vemos que los
mismos empleados usan las memorias USB o hasta los iPods para robar información”, dijo Andrés
Velázquez, director de Investigaciones de Mattica.
El „hackeo‟ representa el 18% de los robos de información, por lo que la empresa recomienda
mejorar los esquemas de seguridad al interior de las empresas.
El robo de secretos industriales y de propiedad intelectual es el delito informático más común con
un 35%, seguido por amenazas y difamaciones (30%), fraudes y abusos de confianza (20%),
fraudes financieros ó phishing (envío de mensajes electrónicos fraudulentos) (10%), y pornografía
infantil y otros (5%).
Los asaltantes ya no sol los que usan un pasamontañas, sino que usan traje y como arma tienen
un USB, estos ladrones cometen el robo de información principalmente por venganza, cuando un
trabajador se siente poco valorado o ha sido despedido, pero también por avaricia cuando por
intereses personales vende la información a un competidor.
Pero además ha aumentado el uso de correos de suscripción gratuita para hurtar la información.
3.4.3 Problemáticas en el personal que deja de ser empleado
Robo de información a las empresas por los empleados despedidos.
En México escasean las cifras por falta de patrocinios de estudios y por una cultura de silencio.
Pero, según el Ponemon Institute, en Estados Unidos, 59% de los empleados se queda con
información de la compañía luego de su despido.
Los datos se fugan por todos lados: desde impresiones en papel hasta equipos asignados y no
devueltos, o en USB llenos de información. Pero el asunto va más allá de una computadora
perdida. El 44% de las empresas en EU ha sido objeto de ataques por parte de empleados y ex
empleados, según un estudio del Computer Security Institute de 2008.
México no es ajeno a estas fugas. Francisco Villegas, director de Protgt, una consultora de
seguridad digital, sabe de ex empleados de instituciones financieras nacionales que usaron
permisos de acceso aún vigentes, para operar fraudes financieros. Y de organismos de gobierno
donde un empleado recién despedido borró archivos de servidores con información crítica.25
25
Peralta, Leonardo. “El robo de de informacion alas empresas por los empleados despedidos” http://archivologo.blogcindario.com/2009/07/02223-el-robo-de-informacion-a-las-empresas-por-los-empleados-despedidos.html, Julio 2009.
-27-
3.5 Problemáticas en las políticas de seguridad de las empresas
Uno de los problemas de seguridad informática que en la actualidad se presentan es la mala
definición de Políticas de Seguridad, ya que en la mayoría de los casos éstas no soy muy claras y
por lo tanto absolutamente inútiles para los empleados.
Muchas veces las políticas definidas son ambiguas y por tal motivo cada persona puede
interpretarlas como mejor les convenga, por tal motivo es recomendable revisar las políticas
frecuentemente.
Las Políticas son aplicadas para todas las personas que perteneces a la organización, algunos
empleados sienten que la seguridad no se aplica a ellos y eso puede provocar muchos incidentes.
Otro problema se presenta cuando algunas prácticas de seguridad agregan una recarga
significativa al proceso productivo y a los ojos del personal es aceptable, no por establecer
medidas de seguridad se debe de descuidar la productividad ya que aumentar la producción y
reducir los costos era primordial para ser exitoso.
3.6 Problemática en la Infraestructura Tecnológica.
Existen diversos aspectos que deben considerarse para la adecuada y segura utilización de la
infraestructura tecnológica, existe una serie de problemática inherente a su utilización. Los
componentes tecnológicos van desde software (archivos) hasta hardware (computadoras
personales, cableado estructurado, etc.).
3.6.1 Problemáticas con la seguridad de los archivos del Sistema
La integridad y confidencialidad y disponibilidad de los archivos del Sistema se enfrenta a un
sinnúmero de problemas principalmente desde el punto de vista de la seguridad de los mismos,
entre los principales:
Información de usuario sin clasificar (i.e. Información Pública, de uso interno, confidencial
y/o restringida).
Acceso a archivos sin ningún medio de autenticación del usuario que los está consultando
Archivos sin protección de ataque de virus informáticos y/u otros software malicioso
Archivos con información confidencial o restringida no es encriptado
No se utiliza software para restringir el acceso al equipo de computo
-28-
Ingeniería Social26
.
Privilegios de administrador sobre el equipo de computo
Utilización de dispositivos de almacenamiento transportable (USB, memorias micro SD,
etc.)
3.6.2 Problemáticas con la aplicación de controles contra software malicioso
Uno de los problemas más severos en la actualidad en los equipos de computo, y que año con año
incrementa su ocurrencia27
, es la proliferación de una gran variedad de software malicioso: virus,
troyanos, spyware, malware, etc. Su difusión se incrementa debido principalmente a:
Carencia de antivirus que protejan la computadora
No se actualiza el antivirus para aplicar las nuevas definiciones para detectar el más
reciente software malicioso
El equipo de computo tiene acceso a internet sin la protección de un firewall
El antivirus y/o software para encontrar el software malicioso no es el adecuado para el
equipo de cómputo donde se instaló. Frecuentemente consumen una gran cantidad de
recursos de la computadora y degradando su performance general
Sobre privilegios de usuarios en el equipo de computo. Lo que facilita el mal uso del mismo
al tener facultades para instalar y/o afectar los archivos del sistema
Utilización de dispositivos de almacenamiento transportable (USB, Micro SD, etc.)
3.6.3 Protección contra fallos de energía eléctrica o eventos del exterior
Asegurar la no interrupción en el servicio de un equipo de cómputo es indispensable para muchas
organizaciones, que deben prestar su servicio de manera continua y confiable. La interrupción en
el servicio por falta de suministro de energía eléctrica, no solo conlleva la falta del mismo, sino
puede ocasionar pérdidas de información y daños en los equipos. Para evitar este tipo de problema
existen los dispositivos de energía ininterrumpida (no brake) que suministran la energía eléctrica
que requiere el equipo o centro de cómputo inmediatamente después que el suministro de energía
normal es interrumpido.
Se deben considerar los siguientes aspectos en relación a los equipos de energía ininterrumpida:
26
Leyden, John. “Ingeniería Social - En la seguridad informática”, http://wappy.ws/ingenieria-social-en-la-seguridad-informatica.html, Agosto 2009. 27
Trend Micro. “Informe anual sobre amenazas” http://es.trendmicro.com/es/about/news/pr/article/20090408175138.html, Agosto 2009.
-29-
El equipo de energía ininterrumpida (no-break) no es de la capacidad adecuada para
proveer el tiempo y la energía suficiente al equipo que se quiere proteger.
Instalación del equipo de cómputo en lugares de alto riesgo (Terremotos, inundaciones,
descontentos sociales, etc.)
Una mala infraestructura eléctrica en el lugar donde está establecido el equipos de
cómputo.
Instalación del equipo de cómputo en lugares de alto riesgo (Terremotos, inundaciones,
descontentos sociales, etc.)
Una mala infraestructura eléctrica en el lugar donde está establecido el equipos de
cómputo.
3.6.4 Problemática en la seguridad del cableado estructurado
El cableado estructurado es un elemento fundamental en la implantación de un centro de
cómputos. La calidad de sus componentes y la capacitación del personal que lo instalan
determinan en gran parte su confiabilidad y rentabilidad posterior.
Una instalación con materiales inadecuados y/o de bajo costo efectuada por personal no
capacitado que no sigue los procedimientos estándares de calidad y seguridad representa un
problema a futuro.
3.6.5 Problemática en el cambio del resguardo en el equipo
El proceso de cambio de resguardo de un equipo de cómputo es especialmente susceptible a ser
un proceso problemático debido a:
Carencia de procedimientos documentados claros para controlar el cambio de un
resguardo en un equipo informático
No se actualiza el nuevo responsable después de un cambio de resguardo de equipo
3.6.6 Problemática en la generación de respaldos
Una actividad básica en cualquier equipo o centro de cómputo es la toma de respaldos que
garanticen la continuidad del servicio, e integridad de la información. Sin embargo la generación de
respaldos es una actividad que conlleva la siguiente problemática:
Inexistencia de un control efectivo de los respaldos generados. La media (cartucho, disco
duro, disco compacto, etc.) o dispositivo donde se efectúa físicamente el respaldo no es
-30-
debidamente identificada y/o fechada, cuando se requiere recuperar el respaldo no se
puede identificar entre toda la media existente.
Respaldos generados con un software o formato que no compatible con el utilizado al
momento de intentar recuperar el respaldo.
No se efectúan pruebas para asegurar que el respaldo generado se puede recuperar y es
completo.
Periodicidad de los toma de respaldos no obedece a las necesidades de la organización.
Capítulo IV. Legislación, Mejores Prácticas y Tecnología
En éste capítulo se hace referencia a la legislación actual existente en la materia, tanto nacional
como internacional para las empresas de Outsourcing. Se mencionan las mejores prácticas que
existen hoy en día para tener un excelente control en la seguridad y tecnologías informáticas, la
importancia de contar con las mismas y sus relaciones con las empresas de Outsourcing. Además
de indicar la tecnología disponible para la gestión y seguridad para el servicio de soporte técnico.
Para la administración y control de tecnología de información existen metodologías y estudios
realizados por instituciones interesadas en la mejora de estos procesos.
A continuación se presentan los principales estudios y recopilaciones internacionales efectuadas
referentes a la administración y control de la tecnología de información.
El conocimiento de la legislación vigente en la materia permitirá que el esquema propuesto cumpla
con la misma, así como las tendencias y adopción de las mejores prácticas vigentes permitirán
contar con un modelo robusto y actual.
4.1 Legislación
Al igual que las tecnologías de información, el Outsourcing así como toda actividad que es
explotada en un mundo cada vez más competitivo y donde sus organizaciones comerciales
buscan sacar ventajas a toda costa de sus competidores, siendo sujeto también a actividades
desleales e ilegales, por parte de gente de y/o ajena a estas organizaciones, necesita ser
legislada y normada. Siendo la legislación responsabilidad de cada Estado, esta suele ir retrasada
de las necesidades reales sobre todo cuando se trata de actividades o tecnologías relativamente
nuevas. Se puede encontrarse una gran disparidad en cuanto al alcance de las mismas según sea
el área geográfica y aun entre países de una misma área.
-31-
Una legislación deficiente ocasiona que haya huecos que son aprovechados para obtener ventajas
o realizar fraudes sin que exista un mecanismo legal que castigue adecuadamente a los
infractores. Por lo anterior, es muy importante conocer la legislación que aplica para detectar
obligaciones e identificar riesgos. Una legislación madura garantiza una competencia más leal y
segura entre organizaciones comerciales, así como un castigo justo a quien no cumpla con la
misma.
4.1.1 Legislación Internacional
Legislación informática internacional.
Venezuela
LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS
A partir del 30 de octubre de 2001 se publicó en la gaceta oficial número 37313 de la República
Bolivariana de Venezuela la “ley especial contra los delitos informáticos”, la cual surge como
respuesta a la necesidad de legislar los delitos informáticos de manera específica.
La ley completa se puede encontrar en la gaceta oficial antes mencionada o también en algunos
sitios de Internet.28
A continuación se mencionan brevemente os artículos que conforman esta ley, y el concepto que
cubren cada uno de ellos
Artículo 1. Objeto de la Ley
La presente Ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de
información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o
cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologías, en
los términos previstos en esta Ley.
Artículo 2. Definiciones
Artículo 3- Extraterritorialidad
Artículo 4- Sanciones
Artículo 5- Responsabilidad de las Personas Jurídicas
TÍTULO II - DE LOS DELITOS29
28
Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, http://www.informatica-juridica.com/anexos/anexo379.asp,Septiembre 2009.
-32-
Capítulo I - De los Delitos Contra los Sistemas que Utilizan Tecnologías de Información
Artículo 6- Acceso Indebido
Artículo 7- Sabotaje o Daño a Sistemas
Artículo 8- Favorecimiento Culposo del Sabotaje o Daño
Artículo 9- Acceso Indebido o Sabotaje a Sistemas Protegidos
Artículo 10- Posesión de Equipos o Prestación de Servicios de Sabotaje
Artículo 11- Espionaje Informático
Artículo 12- Falsificación de Documentos
Capítulo II - De los Delitos Contra la Propiedad 30
Artículo 13- Hurto
Artículo 14- Fraude
Artículo 15- Obtención Indebida de Bienes o Servicios
Artículo 16- Manejo Fraudulento de Tarjetas Inteligentes o Instrumentos Análogos
Artículo 17- Apropiación de Tarjetas Inteligentes o Instrumentos Análogos
Artículo 18- Provisión Indebida de Bienes o Servicios
Artículo 19- Posesión de Equipo para Falsificaciones
Capítulo III - De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones 31
Artículo 20- Violación de la Privacidad de la Data o Información de Carácter Personal
Artículo 21- Violación de la Privacidad de las Comunicaciones
Artículo 22- Revelación Indebida de Data o Información de Carácter Personal
Capítulo IV - De los Delitos Contra Niños, Niñas o Adolescentes 32
29
Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), http://es.wikisource.org/wiki/Ley_Especial_Contra_los_Delitos_Inform%C3%A1ticos_(Venezuela), Septiembre 2009 30
Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), http://es.wikisource.org/wiki/Ley_Especial_Contra_los_Delitos_Inform%C3%A1ticos_(Venezuela), Septiembre 2009 31
Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), http://es.wikisource.org/wiki/Ley_Especial_Contra_los_Delitos_Inform%C3%A1ticos_(Venezuela), Septiembre 2009
-33-
Artículo 23- Difusión o Exhibición de Material Pornográfico
Artículo 24- Exhibición Pornográfica de Niños o Adolescentes
Capítulo V - De los Delitos Contra el Orden Económico
Artículo 25- Apropiación de Propiedad Intelectual
Artículo 26- Oferta Engañosa
TÍTULO III - DISPOSICIONES COMUNES
Artículo 27- Agravantes
Artículo 28- Agravante Especial
Artículo 29- Penas Accesorias
Artículo 30- Divulgación de la Sentencia Condenatoria
Artículo 31- Indemnización Civil
TÍTULO IV - DISPOSICIONES FINALES 33
Artículo 32- Vigencia
Artículo 33- Derogatoria
Se deroga cualquier disposición que colida con la presente Ley.
Austria
Se reformó el Código Penal el 22 de diciembre de 1987. En este instrumento se contemplan dos
modalidades de delitos informáticos: aquéllos en los que la acción del autor va dirigida a destruir
datos personales o los propios programas (destrucción de datos), y cuando se influye en una
operación automática con el fin de causar un perjuicio patrimonial (estafa informática).34
Portugal
32
Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), http://es.wikisource.org/wiki/Ley_Especial_Contra_los_Delitos_Inform%C3%A1ticos_(Venezuela), Septiembre 2009 33
Wikisource, Ley Especial Contra los Delitos Informáticos (Venezuela), http://es.wikisource.org/wiki/Ley_Especial_Contra_los_Delitos_Inform%C3%A1ticos_(Venezuela), Septiembre 2009. 34
Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, http://www.informatica-juridica.com/anexos/anexo379.asp, Septiembre 2009.
-34-
Ley de Protección de Datos Personales Informatizados (29-04-91) sanciona, entre otras conductas,
la utilización ilegal de datos y el acceso no autorizado a las bases de datos.35
Holanda
La ley de Delitos Informáticos (1º-3-93) sanciona la utilización se servicios de telecomunicaciones
evadiendo el pago total o parcial de dicho servicio, la inducción en error a fin de que el afectado
suministre información que no aportaría en condiciones normales y la distribución de virus. Con
respecto a esta última modalidad delictiva se admiten tanto la forma dolosa como la culposa.36
España
El Código Pena reformado en 1995 contempla una serie de conductas íntimamente vinculadas con
la materia informática, es el caso, por ejemplo, de las estafas electrónicas, los daños informáticos,
la interceptación de correo electrónico, la publicidad engañosa, la pornografía infantil y la
revelación de secretos. Además en la actualidad se ha propuesto un Anteproyecto de Ley de
Comercio Electrónico en el que se plantean severas sanciones pecuniarias para quienes incurran,
entre otras conductas, en afección a las comunicaciones comerciales por vía electrónica o se
violente el contenido de un contrato celebrado por esa misma vía.37
Italia
La descripción y sanción de los delitos informáticos se encuentra contemplada en el Código Penal,
instrumento que prevé, entre otros comportamientos, la falsificación informática, el acceso abusivo,
el fraude informático, la violación de la correspondencia electrónica y la introducción de virus
informáticos.38
Colombia
Por su parte Colombia con LEY 1273 DE 2009139
“De la protección de la información y de los datos” y se preservan integralmente los sistemas que
utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.
35
Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, http://www.informatica-juridica.com/anexos/anexo379.asp, Septiembre 2009. 36
Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, http://www.informatica-juridica.com/anexos/anexo379.asp, Septiembre 2009. 37
Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, http://www.informatica-juridica.com/anexos/anexo379.asp, Agosto 2009. 38
Informática Juridica.com, Ley Especial Contra los Delitos Informáticos, http://www.informatica-juridica.com/anexos/anexo379.asp, Agosto 2009. 39
Diario Oficial, Congreso de Colombia, http://www.sic.gov.co/Normatividad/Leyes/2009/Ley_1273_2009.pdf, Mayo 2009.
-35-
Capítulo Primero De los atentados contra la confidencialidad, la integridad y la disponibilidad de
los datos y de los sistemas informáticos
Artículo 269 A. Acceso abusivo a un sistema informático.
El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema
informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en
contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos
legales mensuales vigentes.
Artículo 269 B. Obstaculización ilegítima de sistema informático o red de telecomunicación.
El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a
un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito
sancionado con una pena mayor.
Artículo 269 C. Interceptación de datos informáticos.
El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior
de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema
informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72)
meses.
Artículo 269 D. Daño informático.
El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos
informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269 E: Uso de software malicioso.
El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe,
introduzca o extraiga del territorio nacional software malicioso u otros programas de computación
de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269 F. Violación de datos personales.
-36-
El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile,
sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee
códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios
semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269 G: Suplantación de sitios web para capturar datos personales.
El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute,
programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con
pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de
nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de
que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no
constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores
se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en
la cadena del delito.
Artículo 269 H. Circunstancias de agravación punitiva.
Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la
mitad a las tres cuartas partes si la conducta se cometiere: 1. Sobre redes o sistemas informáticos
o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. 2. Por
servidor público en ejercicio de sus funciones 3. Aprovechando la confianza depositada por el
poseedor de la in-formación o por quien tuviere un vínculo contractual con este. 4. Revelando o
dando a conocer el contenido de la información en perjuicio de otro. 5. Obteniendo provecho para
sí o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa
nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas
conductas es el responsable de la administración, manejo o control de dicha información, además
se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión
relacionada con sistemas de información procesada con equipos computacionales.
Capítulo Segundo De los atentados informáticos y otras infracciones.
Artículo 269 I. Hurto por medios informáticos y semejantes. El que, superando medidas de
seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema
informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un
usuario ante los sistemas de autenticación y de autorización establecidos-
-37-
Perú
La ley N° 27309 del 15 de julio de 2000, incorporó los delitos informáticos al Código Penal,
tipificando la utilización o ingreso indebido a una base de datos, sistema o red de computadoras o
cualquier parte de la misma, la interferencia, interceptación, acceso o copia de información en
tránsito o contenida en una base de datos. De la misma manera se describió la utilización, ingreso
o interferencia indebida de una base de datos, sistema, red o programas de computación con el fin
de alterarlos, dañarlos o destruirlos.40
Legislación internacional para el Outsourcing.
España
Cooperativas de Trabajo Asociado:
Reglamentación especial a través de la Ley 79 de 1988, que clasifica a las cooperativas en razón
del desarrollo de sus actividades en especializadas, multiactivas e integrales. Estas clases de
cooperativas están enmarcadas en el concepto que la misma ley da respecto de lo que es una
cooperativa, que se constituye como una empresa asociativa sin ánimo de lucro, en la cual los
trabajadores o los usuarios, según sea el caso, son simultáneamente los gestores y aportantes de
la empresa, creada con el objeto de producir o distribuir conjunta y eficientemente bienes o
servicios para satisfacer las necesidades de sus asociados y de la comunidad en general.
Al comparar el servicio temporal y las cooperativas de trabajo asociado, sus objetos sociales
difieren sustancialmente, ya que la Ley 50 de 1990 regula de manera clara el servicio temporal al
disponer que consiste en el envío de trabajadores que la ley llama en misión a un tercero
beneficiario del servicio para que en la sede de éste, con la infraestructura y medios de labor de
propiedad del mismo usuario, quien además recibe una autoridad delegada para ejercer su mando
frente al trabajador en misión para la labor que éste desarrolla, conservando la Empresa de
servicios temporales el carácter de verdadero empleador.
En uno y otro caso se está frente a dos servicios. Uno, el servicio temporal, que hace énfasis en el
vínculo laboral, y en el cual el trabajador se constituye como el eje central del proceso dando lugar
a una forma muy específica de flexibilización laboral, mientras que en las Compañías de
Trabajadores Asociados, se encuentran en una relación en la que prevalece el carácter comercial,
dándose propiamente la llamada tercerización o Outsourcing, en la que el usuario recibe un
resultado final fruto del trabajo autónomo e independiente de los cooperadores o asociados en su
propia empresa cooperativa en donde están comprometidos en el funcionamiento, organización y
desarrollo de la actividad, en forma autogestionaria.
40
Soto Coaguila, Carlos Alberto. “El Comercio Electrónico en el Derecho Peruano”, http://www.alfa-redi.org/rdi-articulo.shtml?x=1015, Agosto 2008
-38-
Empresas Asociativas de Trabajo (E.A.T.):
Reguladas por la Ley 10 de 1991 y su Decreto Reglamentario 1100 de 1992. Estas instituciones
se han concebido como organizaciones económicas productivas para cuyo desarrollo se vincula la
capacidad laboral de los asociados por tiempo indefinido, y en algunos casos además de su fuerza
de trabajo se pone a disposición de la organización o destreza u otros activos necesarios para el
cumplimiento de los objetivos de la Empresa Asociativas de Trabajo.
La ley al referirse a la relación que se presenta entre la Empresa Asociativa de Trabajo y sus
asociados, habla de que ésta va a tener un carácter típicamente comercial, ya que se trata de unos
aportes que hacen posible el funcionamiento de la cooperativa y forman su patrimonio para el
cumplimiento de los fines, de manera que el asociado se rige, no por las normas de código
Sustantivo del Trabajo sino por las del derecho comercial, de modo que las E.A.T. tienen
prohibición expresa de la ley que ejerce funciones de intermediación a establecer vínculos de
empleador o patrono con sus asociados.
Teniendo en cuenta los lineamientos anteriores se puede afirmar que la E.A.T. están
desempeñando una labor de carácter comercial al producir, comercializar y distribuir bienes
básicos de consumo familiar, o en su caso, la prestación de servicios, y se están ubicando en la
figura de Outsourcing, ya que el énfasis de su naturaleza jurídica no se da en el vínculo laboral
sino en la asociación de personas para el logro de fines comerciales mediante la relación con
terceros.
Empresa de Servicios Temporales:
La Ley 50 de 1990 especifica que la empresa de servicios temporales se define como la que
contrata la prestación de servicios con terceros beneficiarios para colaborar de manera temporal en
sus actividades y ello a través de personas naturales contratadas directamente por tal empresa.
Esta tiene el carácter de empleadora respecto de esas personas.
La empresa de servicios temporales debe constituirse como persona jurídica. La persona natural o
jurídica que contrata los servidores de ella se llama usuarios.
Sus trabajadores son de dos clases, los trabajadores de planta que desarrollan labores en las
propias dependencias de la empresa y los trabajadores en misión que son los enviados a las
dependencias de los usuarios con el fin de cumplir la tarea o el servicio contratado con ella.
Los servidores temporales que pueden contratar los usuarios se limitan a los siguientes: labores
ocasionales, accidentales o transitorias a que se refiere el artículo 6 del Código Sustantivo del
Trabajo, cuando sea menester reemplazar personal en vacaciones, en uso de licencia, en
incapacidad por enfermedad o maternidad; y para atender incrementos en la producción, el
-39-
transporte, las ventas de productos o mercancías. Los períodos estacionales en cosechas y en la
prestación de servicios, por un término de 6 meses prorrogable hasta por 6 meses más.
Los trabajadores en misión tienen derecho a un salario ordinario equivalente al de los trabajadores
de la empresa usuaria que desempeñen la misma actividad y también recibirán los mismos
beneficios que esta última tenga establecidos para sus trabajadores en el lugar de trabajo, en
materia de transporte, alimentación y recreación. Tienen derecho igualmente a compensación
monetaria por vacaciones y prima de servicios proporcional al tiempo laboral y de su salud
ocupacional es responsable la empresa de servicios temporales.
Chile
La figura de subcontratación laboral ha sido expresamente contemplada por el legislador en el
artículo 64 y 64 bis del Código del Trabajo, mientras que la figura del suministro de trabajadores en
los términos explicados, es completamente extraña a su orden laboral, que no la reconoce.
El artículo 64 del Código del Trabajo, se refiere a la figura en que una empresa, dueña de una obra
o faena, contrata a otra empresa, denominada contratista, mediante un contrato civil o comercial,
para que ejecute a su cuenta y riesgo, con sus propios trabajadores, un determinado trabajo o
servicio, pudiendo esta última a su turno, contratar a otra empresa, denominada subcontratista,
para que lleve a cabo el trabajo o servicio requerido. En este caso, se requiere que todas las
empresas utilicen sus propios trabajadores, no existiendo suministro de mano de obra propiamente
tal.
Ley Nº 20.123
Regula trabajo en régimen de subcontratación, el funcionamiento de las empresas de servicios
transitorios y el contrato de trabajo de servicios transitorios41
Esta ley destaca que las empresas que presten servicios de subcontratación no podrán ser
matrices, filiales, coligadas o relacionadas ni tener algún tipo de interés directo o indirecto con
empresas usuarias que contraten sus servicios, además de que las empresas dedicadas al rubro
deberán inscribirse en un registro público especial.
La normatividad mencionada impone a las empresas que presten estos servicios la obligación de
constituir una garantía permanente, destinada a responder por las obligaciones legales y
contractuales de las empresas con sus trabajadores subcontratados.
41
Ley Nº 20.123. Publicada en el Diario Oficial del 16-10-2006, Chile. Rige a partir del 14-01-2007.
-40-
Establece que si un trabajador continúa prestando servicios después de expirado el plazo del
contrato de servicios temporales, éste se transforma en uno de duración indefinida, contándose la
antigüedad del trabajador desde la fecha del inicio de la prestación de servicio.
Otra de las características para la contratación de trabajadores de servicios temporales a una
empresa usuaria es que la relación de trabajo queda condicionada al cumplimiento de ciertas
prestaciones como licencia médica, descanso maternal, días feriados y actividades o trabajos
urgentes.
La Ley también establece que el trabajador subcontratado podrá afiliarse a la organización sindical
existente en la empresa para la que preste sus servicios, además de que se prevé el hecho de que
los trabajadores que hayan prestado servicios a una misma empresa de servicios subcontratados
durante por lo menos 30 días en un año, tendrán derecho a prestaciones.
La ley aludida obliga a las empresas de servicios temporales a proporcionar capacitación, cada
año al 10% de los trabajadores que pongan a disposición de una empresa usuaria, además de
establecer la prohibición de subcontratar trabajadores para realizar tareas en las cuales se tenga la
facultad de representar a la usuaria, como gerentes, subgerentes, agentes o apoderados. Además
de que tampoco podrá hacerse subcontratación: a) para sustituir a trabajadores en huelga en la
empresa usuaria; b) para reemplazar a trabajadores despedidos de la empresa usuaria en los 12
meses inmediatamente anteriores, como resultado de renuncia, acuerdo, conductas indebidas,
falta de probidad o sin que se haya invocado causal legal, siempre que el tribunal competente haya
declarado que dicho despido fue injustificado o indebido, y c) para ceder trabajadores a otras
empresas de servicios temporales.
Perú
En Perú existen distinciones entre tercerización y Outsourcing, lo que se aprecia en la normatividad
de la materia: la Ley de Intermediación Laboral, aprobada mediante Ley núm.2765; su reglamento
aprobado mediante Decreto Legislativo núm. 003-2002/TR y su modificatoria, aprobada mediante
Decreto Supremo núm. 008-2007/TR.42
En la citada normatividad peruana se encuentran tres conceptos dentro del campo de la
intermediación laboral: empresa de servicios temporales, empresa de servicios complementarios y
empresa de servicios especializados, los cuales merecen abordarse a partir de la Ley de
Intermediación Laboral (artículos 11.1, 11.2, 11.3, respectivamente).
Artículo 4o: De la tercerización de servicios.
42
Echaiz Moreno, Daniel. “El contrato de Outsourcing”, http://www.juridicas.unam.mx/publica/rev/boletin/cont/122/art/art6.htm, Julio 2009.
-41-
No constituye intermediación laboral los contratos de gerencia, los contratos de obra, los
procesos de tercerización externa, los contratos que tienen por objeto que un tercero se
haga cargo de una parte integral del proceso productivo de una empresa (Outsourcing)43
y
los servicios prestados por empresas contratistas o subcontratistas, siempre que asuman
las tareas contratadas por su cuenta y riesgo, que cuenten con sus propios recursos
financieros, técnicos o materiales, y cuyos trabajadores estén bajo la exclusiva
subordinación.
Pueden ser elementos coadyuvantes para la identificación de tales actividades la pluralidad
de clientes, el equipamiento propio y la forma de retribución de la obra o servicio, que
evidencien que no se trata de una simple provisión de personal.
La norma transcripta concluye tácticamente con la discusión en torno a la confusión entre
tercerización y subcontratación.
Las normas intituladas sobre riesgos de tecnología de información, dictadas por la
Superintendencia de Banca, Seguros y Administradoras de Fondos de Pensiones y aprobadas por
la Circular núm. G-105-2002, apreciándose en el artículo 6º. Un caso error al equiparar a la
subcontratación con el Outsourcing, así como el reducir a este último sólo al ámbito de la
tecnología de información.
Articulo 6. Subcontratación (Outsourcing).
La empresa es responsable y debe verificar que se mantengan las características de
seguridad de la información contempladas en la presente norma, incluso cuando ciertas
funciones o procesos críticos puedan ser objeto de una subcontratación. Para ello se
tendrá en cuenta lo dispuesto en la primera disposición final y transitoria del Reglamento.
Asimismo, la empresa debe asegurarse y verificar que el proveedor del servicio sea capaz
de aislar el procedimiento y la información objeto de la subcontratación, en todo momento y
bajo cualquier circunstancia.
Suiza
Regula el contrato de Outsourcing mediante la Circular de la Comisión Federal de Bancos sobre la
externalisation d´ activivités (de 1999). Aunque meritoria, es sectorial pues se restringe al ámbito
bancario. En ella se legisla la definición de Outsourcing, la aplicación territorial para el caso de los
grupos de empresa y sus sucursales en Suiza, las actividades que pueden delegarse, la medidas
de previsión, las responsabilidades del Outsourcer frente a la entidad financiera, la supervisión
43
Echaiz Moreno, Daniel. “El contrato de Outsourcing”, http://www.juridicas.unam.mx/publica/rev/boletin/cont/122/art/art6.htm, Julio 2009.
-42-
estatal, la seguridad en el cargo de la tecnología, el secreto profesional y la información de los
clientes. Respecto a la forma del contrato, la mencionada Circular determina que debe de ser
celebrada por escrito, y que, en sus cláusulas, será obligatorio citar las condiciones que están
contempladas en la referida Circular. En su anexo se enumeran las actividades que estarán
supervisadas por la Comisión Federal, tales como el comercio y la administración de valores, el
control de tráfico de pagos y billetes, los sistemas de tecnologías de información, la gestión de
riesgos, la administración de base de datos y contabilidad, los recursos humanos, la logística, el
funcionamiento de tarjetas de crédito, el control de cartera y la consejería jurídica y fiscal.
4.1.2 Legislación Nacional
La subcontratación laboral desde la perspectiva legal Mexicana
La interpretación del contenido de los artículos 12 al 15 de la Ley Federal del Trabajo permite
afirmar que en nuestro sistema jurídico la figura laboral del intermediario corresponde a aquella
ersona que contrata para beneficio de un tercero la realización de obras o prestación de
servicios.44
De las disposiciones existentes se derivan normas sobre los vínculos de trabajo entre los
empleados de la empresa subcontratante y los trabajadores de la empresa subcontratada. En
estos casos la ley establece dos posibles criterios:
La ley indica que no serán considerados intermediarios, sino patrones, las empresas
establecidas que contraten trabajos para ejecutarlos con elementos propios y suficientes
para cumplir las obligaciones que se dependan de las relaciones con sus trabajadores.
Esto es, que en caso contrario, serán solidariamente responsables con los beneficiarios
directos de la obra o servicios, por las obligaciones contraídas con los trabajadores.
En el caso de las empresas que ejecutan obras o servicios en forma exclusiva o principal
para otra y que no disponga de los elementos propios y suficientes para cumplir con las
obligaciones que deriven de la relaciones con sus trabajadores
La subcontratación, que es conocida también bajo el anglicismo de Outsourcing, comenzó a tener
auge internacional al inicio de la década de 1970, mayormente en las áreas de tecnología de
información. En México, este tipo de modalidad laboral incrementó su importancia a partir de 1960,
cuando comenzó a hacerse práctica común.
Acceso ilegal a Sistemas y equipos de Información
Código Penal de la Federación
44
Ley Federal del Trabajo, México, últimas reformas publicadas en el Diario Oficial de la Federación el 17 de enero de 2006.
-43-
Artículo 211 bis 1
“Al que sin autorización modifique, destruya o provoque pérdida de información contenida en
Sistemas o Equipos de Informática protegidos por algún mecanismo de seguridad, se le impondrán
de seis meses a dos años de prisión y de cien a trescientos días multa”.
“Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año
de prisión y de cincuenta a ciento cincuenta días multa“.
Artículo 211 bis 2
“Al que sin autorización modifique, destruya o provoque perdida de información contenida en
sistemas o equipos de informática del estado, protegidos por algún mecanismo de seguridad, se le
impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa“.
“Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis
meses a dos años de prisión y de cien a trescientos días multa.”
Artículo 211 bis 3
“Al que estando autorizado para acceder a sistemas y equipos de informática del estado,
indebidamente modifique, destruya o provoque perdida de información que contengan, se le
impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa“.
“Al que estando autorizado para acceder a sistemas y equipos de informática del estado,
indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión
y de ciento cincuenta a cuatrocientos cincuenta días multa”.
Artículo 211 bis 4
“Al que sin autorización modifique, destruya o provoque perdida de información contenida en
sistemas o equipos de informática de las instituciones que integran el sistema financiero,
protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de
prisión y de cien a seiscientos días multa. “
“Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo
de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos
días multa.”
Artículo 211 bis 5
-44-
“Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones
que integran el sistema financiero, indebidamente modifique, destruya o provoque perdida de
información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a
seiscientos días multa. “
“Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones
que integran el sistema financiero, indebidamente copie información que contengan, se le
impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. “
“Las penas previstas en este articulo se incrementaran en una mitad cuando las conductas sean
cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero. “
Artículo 211 bis 6
“Para los efectos de los artículos 211 bis 4 y 211 bis 5 anteriores, se entiende por instituciones que
integran el sistema financiero, las señaladas en el artículo 400 bis de este código. “
Artículo 211 bis 7
“Las penas previstas en este capítulo se aumentaran hasta en una mitad cuando la información
obtenida se utilice en provecho propio o ajeno.”
Ley Federal de Derecho de Autor
Es el conjunto de normas jurídicas que van a regular los derechos de autor en el ámbito de la
informática, al regular la forma en que se publicarán dichas obras.
Artículo 2. Las disposiciones de esta Ley son de orden público, de interés social y de cobertura
general en todo el territorio nacional
Artículo 13. Los derechos de autor a que se refiere esta Ley se reconocen respecto de las obras
de las siguientes ramas:
XI. Programas de cómputo
XIV. De compilación, integrada por las colecciones de obras, tales como las enciclopedias,
las antologías, y otros elementos como las bases de datos.
Artículo 102. Los programas de computación se protegen en los mismos términos que las obras
literarias.
Artículo 105. El usuario legítimo de un programa de computación podrá realizar el número de
copias que le autorice la licencia concedida por el titular de los derechos de autor.
-45-
Artículo 107. Las bases de datos, que por razones de selección y disposición de su contenido
constituyan creaciones intelectuales, quedarán protegidas como compilaciones.
Artículo 108. Las bases de datos que no sean originales quedan, sin embargo, protegidas en su
uso exclusivo por quien las haya elaborado, durante un lapso de 5 años.
Artículo 109. El acceso a información de carácter privado relativa a las personas contenida en las
bases de datos a que se refiere el artículo anterior, así como la publicación, reproducción,
divulgación, comunicación pública y transmisión de dicha información, requerirá la autorización
previa de las personas de que se trate.
Artículo 112. Queda prohibida la importación, fabricación, distribución y utilización de aparatos o la
prestación de servicios destinados a eliminar la protección técnica de los programas de cómputo,
de las transmisiones a través del espectro electromagnético y de redes de telecomunicaciones y de
los programas de elementos electrónicos señalados en el artículo anterior.
Código Penal del Estado de Sinaloa
Articulo 217. Comete delito informático, la persona que dolosamente y sin derecho:
1. Use o entre a una base de datos, sistemas de computadoras o red de
computadoras o a cualquier parte de la misma, con el propósito de diseñar,
ejecutar o alterar un esquema o artificio con el fin de defraudar, obtener dinero,
bienes o información
2. Intercepte, interfiera, reciba, use, altere, dañe o destruya un soporte lógico o
programa de computadora o los datos contenidos en la misma, en la base,
sistemas o red. Al responsable del delito informático se le impondrá una pena de
seis meses a dos años de prisión o de noventa a trescientos días de multa.
4.2 Mejores Prácticas
Hoy por hoy, el perfeccionamiento y optimización de los procesos es un elemento clave para
cualquier organización que desee sobrevivir en un mundo inmerso en una competencia
despiadada, metódica, fría e interminable. Este tipo de competencia da como resultado
organizaciones cuyo compromiso social es un factor que solo es considerado en el discurso, pero
sin ser un elemento de “real” importancia para las mismas. Las organizaciones que no logran un
grado importante de eficiencia y competitividad no pueden ser exitosas y tienden a desaparecer en
el corto o mediano plazo.
Como parte de esta búsqueda por el perfeccionamiento y optimización de sus procesos, las
organizaciones se dieron cuenta que deben buscar no sólo dentro de las mismas, sino voltear a ver
-46-
lo que hacen otras organizaciones y encontrar las mejores prácticas para un proceso o área de
conocimiento especifica. Esta necesidad ha sido identificada y atacada por diferentes asociaciones
y organismos que se han preocupado por proponer, definir e integrar modelos de mejores prácticas
para un área específica. Estas mejores prácticas han demostrado su utilidad y han sido adoptadas
por muchas organizaciones exitosas, siendo en algunos casos indispensables para la
sobrevivencia de las mismas.
4.2.1 ITIL
Service Management - ITIL (IT Infrastructure Library) ITIL es la más ampliamente aceptada para la
gestión de los servicios de TI en el mundo. Proporcionando un conjunto coherente de las normas
de buenas prácticas procedentes de los sectores público y privado en todo el mundo,
recientemente ha experimentado una gran e importante proyecto de actualización.
Administración de servicios de IT (ITSM) deriva enormes beneficios a partir de un enfoque de
mejores prácticas. ITSM porque es impulsada por la tecnología y la amplia gama de entornos
organizativos en los que opera, es en un estado de constante evolución. Mejores prácticas,
basadas en el asesoramiento de expertos y las aportaciones de los usuarios de ITIL es a la vez
actual y práctico, combinando las teorías más recientes con el sonido, el sentido común de
orientación.
4.2.1.1 ITIL: Descripción y Beneficios45
ITIL proporciona un enfoque sistemático y profesional a la gestión de la prestación de servicios de
TI. La adopción de su orientación ofrece a los usuarios una amplia gama de beneficios que
incluyen:
La reducción de los costos.
Mejora de servicios de TI mediante el uso de procesos de las mejores prácticas.
Mejora de la satisfacción del cliente a través de un enfoque más profesional a la prestación
de servicios.
Normas y directrices.
Mejora de la productividad.
Mejora de la utilización de habilidades y experiencia, y
45
Sitio Oficial Best Management Practice. “Service Management”, http://www.best-management-practice.com/Knowledge-Centre/Best-Practice-Guidance/ITIL/, Agosto 2009.
-47-
Mejorar la prestación de servicios de terceros a través de la especificación de ITIL o ISO
20000 como el estándar para la prestación de servicios en los servicios públicos.
4.2.1.2 Seguridad en ITIL46
Según ITIL los principales objetivos de la Gestión de la Seguridad se resumen en:
Diseñar una política de seguridad, en colaboración con clientes y proveedores
correctamente alineada con las necesidades del negocio.
Asegurar el cumplimiento de los estándares de seguridad acordados.
Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.
La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la
organización TI para establecer protocolos de seguridad que aseguren que la información esté
accesible cuando se necesita por aquellos que tengan autorización para utilizarla.
Una vez comprendidos cuales son los requisitos de seguridad del negocio, la Gestión de la
Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs
correspondientes y de esta forma garantizar su cumplimiento.
La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está
expuesta la infraestructura TI, y que no necesariamente tienen porque figurar en un SLA, para
asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del
servicio.
Es importante que la Gestión de la Seguridad sea proactiva y evalúe los riesgos de seguridad que
pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera.
La Gestión de la Seguridad está estrechamente relacionada con prácticamente todos los otros
procesos TI y necesita para su éxito la colaboración de toda la organización.
Para que esa colaboración sea eficaz es necesario que la Gestión de la Seguridad:
Establezca una clara y definida política de seguridad que sirva de guía a todos los otros
procesos.
Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los
servicios prestados a los clientes como en los acuerdos de servicio firmados con
proveedores internos y externos.
46
Osiatis. “Curso de Itil, Gestión de la Seguridad”, http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/, Agosto 2009.
-48-
Implemente el Plan de Seguridad.
Monitorice y evalúe el cumplimiento de dicho plan.
Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos
y vulnerabilidades.
Realice periódicamente auditorías de seguridad.
4.2.1.3 Gestión de Servicios TI47
Las tecnologías de la información son tan antiguas como la historia misma y han jugado un
importante papel en la misma. Sin embargo, no ha sido hasta tiempos recientes que mediante la
automatización de su gestión se han convertido en una herramienta imprescindible y clave para
empresas e instituciones.
La información es probablemente la fuente principal de negocio en el primer mundo y ese negocio
a su vez genera ingentes cantidades de información. Su correcta gestión es de importancia
estratégica y no debe considerarse como una herramienta más entre muchas otras.
Hasta hace poco las infraestructuras informáticas se limitaban a dar servicios de soporte y de
alguna forma eran equiparables con el otro material de oficina: algo importante e indispensable
para el correcto funcionamiento de la organización pero poco más.
Sin embargo, en la actualidad esto ha cambiado y los servicios TI representan generalmente una
parte sustancial de los procesos de negocio. Algo de lo que es a menudo responsable el
advenimiento de ubicuas redes de información: sirva de ejemplo la Banca Electrónica.
Los objetivos de una buena gestión de servicios TI han de ser:
Proporcionar una adecuada gestión de la calidad
Aumentar la eficiencia
Alinear los procesos de negocio y la infraestructura TI
Reducir los riesgos asociados a los Servicios TI
Generar negocio
ITIL nace como un código de buenas prácticas dirigidas a alcanzar esas metas mediante:
47
Osiatis. ”Curso de Itil, Gestión de Servicios de IT”, http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/vision_general_gestion_servicios_TI/vision_general_gestion_servicios_TI.php, Septiembre 2009.
-49-
Un enfoque sistemático del servicio TI centrado en los procesos y procedimientos
El establecimiento de estrategias para la gestión operativa de la infraestructura TI
4.2.1.4 Soporte al Servicio
El soporte al servicio se preocupa de de todos los aspectos que garanticen la continuidad,
disponibilidad y calidad del servicio prestado al usuario.48
4.2.1.5 Provisión del Servicio
La provisión del servicio se ocupa de los servicios ofrecidos en sí mismos. En particular de los
Niveles de servicio, su disponibilidad, su continuidad, su viabilidad financiera, la capacidad
necesaria de la infraestructura TI y los niveles de seguridad requeridos.49
4.2.1.6 ITIL V.350
El 26 de junio de 2007 se presenta la tercera versión de este código de buenas prácticas. ITIL 3
eleva las TI a un nivel estratégico. Sólo las organizaciones que hayan madurado en experiencia
con la versión anterior serán capaces de afrontar la nueva. Para organizaciones de pequeño y
mediano tamaño la versión 3, se presenta más compleja.
Los objetivos del marco de trabajo de ITIL, para las empresas que basan su modelo en la versión 3
son:
- Primer objetivo
Alinear los servicios de TI con las necesidades actuales y futuras del negocio y sus clientes.
- Segundo objetivo
Mejorar la calidad de los servicios proporcionados.
- Tercer objetivo
Reducir los costes de la provisión de servicios a largo plazo.
ITIL en su propuesta de la versión 3, está basado en cinco libros, estos son:
1. Estrategia del servicio (Service Strategy)
48
Osiatis. “Curso de Itil, Soporte al Servicio”, http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/soporte_al_servicio.php, Agosto 2009. 49
Osiatis. “Curso de Itil, Provision del Servicio”, http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/provision_del_servicio.php, Agosto 2009. 50
Pink Elephant. “Presentación de la 5a Conferencia de IT Service Management”, Septiembre 28-29/2009.
-50-
Marca la pauta en el diseño y desarrollo de cómo las iniciativas del negocio deben integrarse a
través de un portafolio de servicios, establecer el presupuesto adecuado para el diseño, desarrollo,
liberación y operación de nuevos servicios o cambios a los ya existentes, atender la demanda de
servicios verificando los patrones de comportamiento en el uso de los servicios y como establecer
una estrategia para que estos nuevos servicios brinden el valor necesario al negocio y los usuarios.
Esta fase busca conseguir el alineamiento entre el negocio y TI. Es decir pretende entender y
trasladar las necesidades del negocio a las estrategias de TI y proporciona las herramientas para
una planeación de la gestión de servicio de TI.
2. Diseño del servicio (Service Design)
En el diseño se realizan actividades en los procesos, basadas en la estrategia, para establecer el
nivel de servicio que se va a ofertar, incluirlos en el catálogo de servicios que se publicarán en la
organización, el porcentaje de disponibilidad acordado con el negocio de acuerdo al presupuesto
asignado, la capacidad con la que se cuenta actualmente y la necesaria para operar el o los
servicios, las medidas de seguridad que se deben implementar, los planes de continuidad y de
recuperación de desastres que se deben desarrollar y cómo administrar a los proveedores ya sea
por una parte o por la totalidad del servicio.
Esta etapa suministra una guía en la producción y mantenimiento del diseño de arquitecturas y
políticas de TI sobre el desarrollo de servicios incluyendo insourcing y Outsourcing.
3. Transición del servicio (Service Transition)
En este libro las estrategias realizadas en la etapa anterior se realizan de acuerdo a un plan de
liberación que abarca toda la infraestructura necesaria, el personal, los recursos, el software, el
hardware, etc. para operar el servicio, se controlan los cambios que se debe realizar a la
infraestructura para habilitar el servicio, se considera también las relaciones de cada uno de los
componentes de un servicio con otros componentes y son almacenados en un repositorio llamado
sistema de administración de configuraciones (Configuration Management System). Se realizan las
pruebas de operación del servicio y se comienza a construir un repositorio del conocimiento.
Después de definida la estrategia de servicio y diseñado el servicio este se debe poner en
producción, así que esta fase se centra en el rol de gestión de cambios y en las prácticas de
lanzamientos.
4. Operación del servicio (Service Operation)
En este libro se entiende que los servicios ya están liberados y en operación. Durante esta fase se
gestionan, monitorean y miden los eventos, mismos que pueden convertirse en alertas o bien en
-51-
incidentes, si estos incidentes son repetitivos se clasificaran como problemas en donde se hará
uso constante del repositorio del conocimiento. También se realiza una gestión de los accesos
físicos y lógicos hacia o desde los servicios en operación y finalmente las actividades
operacionales que es en donde se administran las aplicaciones y se capacita a la mesa de
servicios.
Explica cómo gestionar los servicios en un entorno de producción y se centra en los procesos de
entrega y control que permiten tener servicios controlados.
5. Mejora Continua del Servicio (Continual Service Improvement)
En la fase de mejora continua las mediciones son sumamente importantes para saber cómo los
servicios que están operando se han entregado con el nivel de calidad requerido, así mismo, se
generan los reportes que ayudaran al negocio a la toma de decisiones, por ejemplo como parte de
un Balanced Score Card. Existe un modelo de 7 pasos para la mejora continua que plantea la
mejora integral de todas las fases, la retroalimentación entre ellas y finalmente plantea un proceso
para medir la mejora continua.
Se enfoca en las entradas y salidas necesarias para el adecuado ciclo de mejora continua sobre
los servicios existentes.
4.2.2 COBIT
COBIT: Control Objectives for Information and related Technology (Objetivos de Control para la
información y Tecnologías relacionadas) Es un conjunto de mejores prácticas para el manejo de
información creado por la Asociación para la Auditoría y Control de Sistemas de Información
(ISACA: Information Systems Audit and Control Association), y el Instituto de Administración de las
Tecnologías de la Información (ITGI: IT Governance Institute) en 1992.51
4.2.2.1 Objetivo
El objetivo principal de COBIT consiste en proporcionar una guía a alto nivel sobre puntos en los
que establecer controles internos con tal de:
Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes,
accionistas, empleados, etc.).
Garantizar el cumplimiento normativo del sector al que pertenezca la organización.
51
Enciclopedia libre Wikipedia. “Objetivos de Control para la Información y Tecnología”, http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas, Agosto 2009.
-52-
Mejorar la eficacia y eficiencia de los procesos y actividades de la organización.
Garantizar la confidencialidad, integridad y disponibilidad de la información.
4.2.2.2 Control y Objetivos de Control
El estándar define el término control como: “Políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para proveer aseguramiento razonable de que se lograrán los
objetivos del negocio y se prevendrán, detectarán y corregirán los eventos no deseables”
Por tanto, la definición abarca desde aspectos organizativos (p.ej. flujo para pedir autorización a
determinada información, procedimiento para reportar incidencias, selección de proveedores, etc.)
hasta aspectos más tecnológicos y automáticos (p.ej. control de acceso a los sistemas,
monitorización de los sistemas mediante herramientas automatizadas, etc.).
Todo control tiene por naturaleza un objetivo. Es decir, un objetivo de control es un propósito o
resultado deseable como por ejemplo: garantizar la continuidad de las operaciones ante
situaciones de contingencias.
En consecuencia, para cada objetivo de control de nuestra organización podremos implementar
uno o varios controles (p.ej. ejecución de copias de seguridad periódicas, traslado de copias de
seguridad a otras instalaciones, etc.) que nos garanticen la obtención del resultado deseable (p.ej.
continuidad de las operaciones en caso de contingencias).
Obviamente, los ejemplos expuestos son muy generalistas y poco detallados, pero se muestran de
forma práctica las diferentes definiciones.
4.2.2.3 Dominios
COBIT clasifica los procesos de negocio relacionados con las Tecnologías de la Información en
cuatro dominios:
Plan and Organise PO (Planificación y Organización).
Acquire and Implement AI (Adquisición e Implementación).
Deliver and Support DS (Entrega y Soporte).
Monitor and Evaluate ME (Monitoreo y Evaluación).
En definitiva, cada dominio contiene procesos de negocio (desglosables en actividades) para los
cuales se pueden establecer objetivos de control e implementar controles organizativos o
automatizados.
-53-
4.2.2.4 COBIT y el Soporte Técnico
Establecer controles para lograr un objetivo de control es una buena forma para asegurar el buen
manejo de la TI en las organizaciones modernas. Las empresas que ofrecen sus servicios de
Outsourcing en el área de soporte técnico no escapan a la necesidad de implementar los controles
más adecuados para regir su TI. Así, COBIT debe ser considerado también por este tipo de
empresas como una mejor práctica para lograr sus objetivos de control.
La relación del soporte técnico y los dominios que establece COBIT se tocara a continuación.
4.2.2.4.1 Adquisición e Implementación AI
AI2 Adquirir y mantener software aplicativo
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este
proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y
requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares.
Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las
aplicaciones automatizadas correctas.
AI2.4 Seguridad y disponibilidad de las aplicaciones.
Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los
riesgos identificados, de acuerdo con la clasificación de datos, la arquitectura de seguridad en la
información de la organización y el perfil de riesgo. Los asuntos a considerar incluyen derechos de
acceso y administración de privilegios, protección de información sensible en todas las etapas,
autenticación e integridad de las transacciones y recuperación automática.
AI2.5 Configuración e implantación de software aplicativo adquirido
Personalizar e implantar la funcionalidad automatizada adquirida con el uso de procedimientos de
configuración, aceptación y prueba. Los aspectos a considerar incluyen la validación contra los
términos contractuales, la arquitectura de información de la organización, las aplicaciones
existentes, la interoperabilidad con las aplicaciones existentes y los sistemas de bases de datos, la
eficiencia en el desempeño del sistema, la documentación y los manuales de usuario, integración y
planes de prueba del sistema.
AI2.6 Actualizaciones importantes en sistemas existentes
Seguir un proceso de desarrollo similar al de desarrollo de sistemas nuevos en el caso que se
presenten modificaciones importantes en los sistemas existentes, que resulten en un cambio
-54-
significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar incluyen análisis
de impacto, justificación costo/beneficio y administración de requerimientos.
AI2.10 Mantenimiento de software aplicativo
Desarrollar una estrategia y un plan para el mantenimiento y liberación de aplicaciones de
software. Los asuntos a considerar incluyen liberación planeada y controlada, planeación de
recursos, reparación de defectos de programa y corrección de fallas, pequeñas mejoras,
mantenimiento de documentación, cambios de emergencia, interdependencia con otras
aplicaciones e infraestructura, estrategias de actualización, condiciones contractuales tales como
aspectos de soporte y actualizaciones, revisión periódica de acuerdo a las necesidades del
negocio, riegos y requerimientos de seguridad.
AI3 Adquirir y mantener infraestructura tecnológica
Las organizaciones deben contar con procesos para adquirir, implantar y actualizar la
infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y
proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición
del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo
para las aplicaciones del negocio.
AI3.2 Protección y disponibilidad del recurso de infraestructura
Implantar medidas de control interno, seguridad y auditabilidad durante la configuración,
integración y mantenimiento del hardware y del software de la infraestructura para proteger los
recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las
responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que
desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso.
AI3.3 Mantenimiento de la Infraestructura
Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se
controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la
organización. Incluir una revisión periódica contra las necesidades del negocio, administración de
parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de
seguridad.
AI4 Facilitar la operación y el uso
El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la
generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento
para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.
-55-
AI4.4 Transferencia de conocimiento al personal de operaciones y soporte
Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de
operaciones que entregue, apoye y mantenga la aplicación y la infraestructura asociada de manera
efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La transferencia del
conocimiento debe incluir al entrenamiento inicial y continuo, el desarrollo de las habilidades, los
materiales de entrenamiento, los manuales de operación, los manuales de procedimientos y
escenarios de atención al usuario.
4.2.2.4.2 Entrega y Soporte DS
DS1 Definir y administrar los niveles de servicio
Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio,
hace posible una comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto
de los servicios requeridos. Este proceso también incluye el monitoreo y la notificación oportuna a
los participantes sobre el cumplimiento de los niveles de servicio. Este proceso permite la
alineación entre los servicios de TI y los requerimientos de negocio relacionados.
DS1.1 Marco de trabajo de la administración de los niveles de servicio
Definir un marco de trabajo que brinde un proceso formal de administración de niveles de servicio
entre el cliente y el prestador de servicio. El marco de trabajo mantiene una alineación continua
con los requerimientos y las prioridades de negocio y facilita el entendimiento común entre el
cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la creación de
requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio (SLAs),
acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento. Estos atributos están
organizados en un catálogo de servicios. El marco de trabajo define la estructura organizacional
para la administración del nivel de servicio, incluyendo los roles, tareas y responsabilidades de los
proveedores externos e internos y de los clientes.
DS1.2 Definición de servicios
Definiciones base de los servicios de TI sobre las características del servicio y los requerimientos
de negocio, organizados y almacenados de manera centralizada por medio de la implantación de
un enfoque de catálogo/portafolio de servicios.
DS1.3 Acuerdos de niveles de servicio
Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base
en los requerimientos del cliente y las capacidades en TI. Esto incluye los compromisos del cliente,
los requerimientos de soporte para el servicio, métricas cualitativas y cuantitativas para la medición
-56-
del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y de
financiamiento, y los roles y responsabilidades, incluyendo la revisión del SLA. Los puntos a
considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, niveles de
soporte, planeación de continuidad, seguridad y restricciones de demanda.
DS1.4 Acuerdos de niveles de operación
Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados
técnicamente los servicios para soportar el (los) SLA(s) de manera óptima. Los OLAs especifican
los procesos técnicos en términos entendibles para el proveedor y pueden soportar diversos SLAs.
DS1.5 Monitoreo y reporte del cumplimento de los niveles de servicio
Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los
reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un formato que sea
entendible para los interesados. Las estadísticas de monitoreo son analizadas para identificar
tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto.
DS1.6 Revisión de los acuerdos de niveles de servicio y de los contratos
Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y
los contratos de apoyo, para asegurar que son efectivos, que están actualizados y que se han
tomado en cuenta los cambios en requerimientos.
DS2 Administrar los servicios de terceros
La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos
del negocio, requiere de un proceso efectivo de administración de terceros. Este proceso se logra
por medio de una clara definición de roles, responsabilidades y expectativas en los acuerdos con
los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos
acuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio
asociados con proveedores que no se desempeñan de forma adecuada.
DS2.1 Identificación de las relaciones con todos los proveedores
Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de
proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones técnicas
y organizacionales incluyendo los roles y responsabilidades, metas, expectativas, entregables
esperados y credenciales de los representantes de estos proveedores.
DS2.2 Administración de las relaciones con los proveedores
-57-
Formalizar el proceso de administración de relaciones con proveedores por cada proveedor. Los
responsables de las relaciones deben coordinar a los proveedores y los clientes y asegurar la
calidad de las relaciones con base en la confianza y la transparencia (por ejemplo, a través de
acuerdos de niveles de servicio).
DS2.3 Administración de riesgos del proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener una
efectiva entrega de servicios de forma segura y eficiente sobre una base de continuidad. Asegurar
que los contratos están de acuerdo con los estándares universales del negocio de conformidad con
los requerimientos legales y regulatorios. La administración del riesgo debe considerar además
acuerdos de confidencialidad (NDAs), contratos de garantía, viabilidad de la continuidad del
proveedor, conformidad con los requerimientos de seguridad, proveedores alternativos,
penalizaciones e incentivos, etc.
DS2.4 Monitoreo del desempeño del proveedor
Establecer un proceso para monitorear la prestación del servicio para asegurar que el proveedor
está cumpliendo con los requerimientos del negocio actuales y que se apega de manera continua a
los acuerdos del contrato y a los convenios de niveles de servicio, y que el desempeño es
competitivo respecto a los proveedores alternativos y a las condiciones del mercado.
DS3 Administrar el desempeño y la capacidad
La necesidad de administrar el desempeño y la capacidad de los recursos de TI requiere de un
proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos de TI.
Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de
carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los
recursos de información que soportan los requerimientos del negocio están disponibles de manera
continua.
DS3.4 Disponibilidad de recursos de TI
Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de
trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los
recursos de TI. Deben tomarse medidas cuando el desempeño y la capacidad no están en el nivel
requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y prácticas de
asignación de recursos. La gerencia debe garantizar que los planes de contingencia consideran de
forma apropiada la disponibilidad, capacidad y desempeño de los recursos individuales de TI.
DS4 Garantizar la continuidad del servicio
-58-
La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar
planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma
periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios,
minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre
funciones y procesos claves del negocio.
DS4.1 IT Marco de trabajo de continuidad
Desarrollar un marco de trabajo de continuidad de TI para soportar la continuidad del negocio con
un proceso consistente a lo largo de toda la organización. El objetivo del marco de trabajo es
ayudar en la determinación de la resistencia requerida de la infraestructura y de guiar el desarrollo
de los planes de recuperación de desastres y de contingencias. El marco de trabajo debe tomar en
cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas
y las responsabilidades de los proveedores de servicios internos y externos, su administración y
sus clientes; así como las reglas y estructuras para documentar, probar y ejecutar la recuperación
de desastres y los planes de contingencia de TI. El plan debe también considerar puntos tales
como la identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos
críticos, el procesamiento alternativo y los principios de respaldo y recuperación.
DS4.2 Planes de continuidad de TI
Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseñado para reducir el
impacto de una interrupción mayor de las funciones y los procesos clave del negocio. Los planes
deben considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de
recuperación de todos los servicios críticos de TI. También deben cubrir los lineamientos de uso,
los roles y responsabilidades, los procedimientos, los procesos de comunicación y el enfoque de
pruebas.
DS4.3 Recursos críticos de TI
Centrar la atención en los puntos determinados como los más críticos en el plan de continuidad de
TI, para construir resistencia y establecer prioridades en situaciones de recuperación. Evitar la
distracción de recuperar los puntos menos críticos y asegurarse de que la respuesta y la
recuperación están alineadas con las necesidades prioritarias del negocio, asegurándose también
que los costos se mantienen a un nivel aceptable y se cumple con los requerimientos regulatorios y
contractuales. Considerar los requerimientos de resistencia, respuesta y recuperación para
diferentes niveles de prioridad, por ejemplo, de una a cuatro horas, de cuatro a 24 horas, más de
24 horas y para periodos críticos de operación del negocio.
DS4.4 Mantenimiento del plan de continuidad de TI
-59-
Exhortar a la gerencia de TI a definir y ejecutar procedimientos de control de cambios, para
asegurar que el plan de continuidad de TI se mantenga actualizado y que refleje de manera
continua los requerimientos actuales del negocio. Es esencial que los cambios en los
procedimientos y las responsabilidades sean comunicados de forma clara y oportuna.
DS4.5 Pruebas del plan de continuidad de TI
Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden
ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece
aplicable. Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de
las pruebas y, de acuerdo con los resultados, la implementación de un plan de acción. Considerar
el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas
integrados, en pruebas de punta a punta y en pruebas integradas con el proveedor.
DS4.6 Entrenamiento del plan de continuidad de TI
Asegurarse de que todos las partes involucradas reciban sesiones de capacitación de forma
regular respecto a los procesos y sus roles y responsabilidades en caso de incidente o desastre.
Verificar e incrementar el entrenamiento de acuerdo con los resultados de las pruebas de
contingencia.
DS4.7 Distribución del plan de continuidad de TI
Determinar que existe una estrategia de distribución definida y administrada para asegurar que los
planes se distribuyan de manera apropiada y segura y que estén disponibles entre las partes
involucradas y autorizadas cuando y donde se requiera. Se debe prestar atención en hacerlos
accesibles bajo cualquier escenario de desastre.
DS4.8 Recuperación y reanudación de los servicios de TI
Planear las acciones a tomar durante el período en que TI está recuperando y reanudando los
servicios. Esto puede representar la activación de sitios de respaldo, el inicio de procesamiento
alternativo, la comunicación a clientes y a los interesados, realizar procedimientos de reanudación,
etc. Asegurarse de que los responsables del negocio entienden los tiempos de recuperación de TI
y las inversiones necesarias en tecnología para soportar las necesidades de recuperación y
reanudación del negocio.
DS4.9 Almacenamiento de respaldos fuera de las instalaciones
Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros
recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del
negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los
-60-
responsables de los procesos de negocio y el personal de TI. La administración del sitio de
almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y
a las prácticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que
los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año,
respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad
del hardware y del software para poder recuperar los datos archivados y periódicamente probar y
renovar los datos archivados.
DS4.10 Revisión post-reanudación
Una vez lograda una exitosa reanudación de las funciones de TI después de un desastre,
determinar si la gerencia de TI ha establecido procedimientos para valorar lo adecuado del plan y
actualizar el plan en consecuencia.
DS5 Garantizar la seguridad de los sistemas
La necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere
de un proceso de administración de la seguridad. Este proceso incluye el establecimiento y
mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos
de TI. La administración de la seguridad también incluye realizar monitoreos de seguridad y
pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de
seguridad identificados. Una efectiva administración de la seguridad protege todos los activos de TI
para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
DS5.1 Administración de la seguridad de TI
Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las
acciones de administración de la seguridad estén en línea con los requerimientos del negocio.
DS5.2 Plan de seguridad de TI
Trasladar los requerimientos de información del negocio, la configuración de TI, los planes de
acción del riesgo de la información y la cultura sobre la seguridad en la información a un plan
global de seguridad de TI. El plan se implementa en políticas y procedimientos de seguridad en
conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las políticas y
procedimientos de seguridad se comunican a los interesados y a los usuarios.
DS5.3 Administración de identidad
Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación
de negocio, operación del sistema, desarrollo y mantenimiento) deben ser identificables de manera
única. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con
-61-
necesidades de negocio definidas y documentadas y con requerimientos de trabajo. Los derechos
de acceso del usuario son solicitados por la gerencia del usuario, aprobados por el responsable del
sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y
los derechos de acceso se mantienen en un repositorio central. Se implementan y se mantienen
actualizadas medidas técnicas y procedimientos rentables, para establecer la identificación del
usuario, realizar la autenticación y habilitar los derechos de acceso.
DS5.4 Administración de cuentas del usuario
Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas
de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de
usuario. Debe incluirse un procedimiento que describa al responsable de los datos o del sistema
como otorgar los privilegios de acceso. Estos procedimientos deben aplicar para todos los
usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para
casos normales y de emergencia. Los derechos y obligaciones relacionados al acceso a los
sistemas e información de la empresa son acordados contractualmente para todos los tipos de
usuarios. La gerencia debe llevar a cabo una revisión regular de todas las cuentas y los privilegios
asociados.
DS5.5 Pruebas, vigilancia y monitoreo de la seguridad
Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-
activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene
el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y de monitoreo permite la
detección oportuna de actividades inusuales o anormales que pueden requerir atención. El acceso
a la información de ingreso al sistema está alineado con los requerimientos del negocio en
términos de requerimientos de retención y de derechos de acceso.
DS5.6 Definición de incidente de seguridad
Garantizar que las características de los posibles incidentes de seguridad sean definidas y
comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma
apropiada por medio del proceso de administración de problemas o incidentes. Las características
incluyen una descripción de lo que se considera un incidente de seguridad y su nivel de impacto.
Un número limitado de niveles de impacto se definen para cada incidente, se identifican las
acciones específicas requeridas y las personas que necesitan ser notificadas.
DS5.7 Protección de la tecnología de seguridad
Garantizar que la tecnología importante relacionada con la seguridad no sea susceptible de
sabotaje y que la documentación de seguridad no se divulgue de forma innecesaria, es decir, que
-62-
mantenga un perfil bajo. Sin embargo no hay que hacer que la seguridad de los sistemas dependa
de la confidencialidad de las especificaciones de seguridad.
DS5.9 Prevención, detección y corrección de software malicioso
Garantizar que se cuente con medidas de prevención, detección y corrección (en especial contar
con parches de seguridad y control de virus actualizados) a lo largo de toda la organización para
proteger a los sistemas de información y a la tecnología contra software malicioso (virus, gusanos,
spyware, correo basura, software fraudulento desarrollado internamente, etc.).
DS8 Administrar la mesa de servicio y los incidentes
Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI,
requiere de una mesa de servicio bien diseñada y bien ejecutada, y de un proceso de
administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio
con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz y resolución.
Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida
de consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre
entrenamiento a los usuarios) a través de un proceso de reporte efectivo.
DS8.1 Mesa de Servicios
Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar,
comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio
y solicitudes de información. Deben existir procedimientos de monitoreo y escalamiento basados
en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier
problema reportado como incidente, solicitud de servicio o solicitud de información. Medir la
satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI.
DS8.2 Registro de consultas de clientes
Establecer una función y sistema que permita el registro y rastreo de llamadas, incidentes,
solicitudes de servicio y necesidades de información. Debe trabajar estrechamente con los
procesos de administración de incidentes, administración de problemas, administración de
cambios, administración de capacidad y administración de disponibilidad. Los incidentes deben
clasificarse de acuerdo al negocio y a la prioridad del servicio y enrutarse al equipo de
administración de problemas apropiado y se debe mantener informados a los clientes sobre el
estatus de sus consultas.
DS8.3 Escalamiento de incidentes
-63-
Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan
resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites
acordados en el SLA y, si es adecuado, brindar soluciones alternas. Garantizar que la asignación
de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios,
independientemente de qué grupo de TI esté trabajando en las actividades de resolución.
DS8.4 Cierre de incidentes
Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los clientes.
Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si la conoce, y
confirmar que la acción tomada fue acordada con el cliente.
DS8.5 Análisis de tendencias
Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el
desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de
problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.
DS9 Administrar la configuración
Garantizar la integridad de las configuraciones de hardware y software requiere establecer y
mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la recolección
de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría
de la información de la configuración y la actualización del repositorio de configuración conforme se
necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza
los problemas de producción y resuelve los problemas más rápido.
DS9.1 Repositorio de configuración y línea base
Establecer un repositorio central que contenga toda la información referente a los elementos de
configuración. Este repositorio incluye hardware, software aplicativo, middleware, parámetros,
documentación, procedimientos y herramientas para operar, acceder y utilizar los sistemas y los
servicios. La información importante a considerar es el nombre, números de versión y detalles de
licenciamiento. Una línea base de elementos de configuración debe mantenerse para cada sistema
y servicio, como un punto de control al cual regresar después de realizar cambios.
DS9.2 Identificación y mantenimiento de elementos de configuración
Contar con procedimientos en orden para:
Identificar elementos de configuración y sus atributos
-64-
Registrar elementos de configuración nuevos, modificados y eliminados
Identificar y mantener las relaciones entre los elementos de configuración y el repositorio
de configuraciones.
Actualizar los elementos de configuración existentes en el repositorio de configuraciones.
Prevenir la inclusión de software no-autorizado Estos procedimientos deben brindar una
adecuada autorización y registro de todas las acciones sobre el repositorio de
configuración y estar integrados de forma apropiada con los procedimientos de
administración de cambios y administración de problemas.
DS9.3 Revisión de integridad de la configuración
Revisar y verificar de manera regular, utilizando cuando sea necesario herramientas apropiadas, el
estatus de los elementos de configuración para confirmar la integridad de la configuración de datos
actual e histórica y para comparar con la situación actual. Revisar periódicamente contra la política
de uso de software, la existencia de cualquier software personal o no autorizado de cualquier
instancia de software por encima de los acuerdos de licenciamiento actuales. Los errores y las
desviaciones deben reportarse, atenderse y corregirse.
DS10 Administrar los problemas
Una efectiva administración de problemas requiere la identificación y clasificación de problemas, el
análisis de las causas desde su raíz, y la resolución de problemas. El proceso de administración de
problemas también incluye la identificación de recomendaciones para la mejora, el mantenimiento
de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso
de administración de problemas mejora los niveles de servicio, reduce costos y mejora la
conveniencia y satisfacción del usuario.
DS10.1 Identificación y clasificación de problemas
Implementar procesos para reportar y clasificar problemas que han sido identificados como parte
de la administración de incidentes. Los pasos involucrados en la clasificación de problemas son
similares a los pasos para clasificar incidentes; son determinar la categoría, impacto, urgencia y
prioridad. Los problemas deben categorizarse de manera apropiada en grupos o dominios
relacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir
con las responsabilidades organizacionales o con la base de usuarios y clientes, y son la base para
asignar los problemas al personal de soporte.
DS10.2 Rastreo y resolución de problemas
-65-
El sistema de administración de problemas debe mantener pistas de auditoría adecuadas que
permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados
considerando:
Todos los elementos de configuración asociados.
Problemas e incidentes sobresalientes.
Errores conocidos y sospechados.
Identificar e iniciar soluciones sostenibles indicando la causa raíz, incrementando las solicitudes de
cambio por medio del proceso de administración de cambios establecido. En todo el proceso de
resolución, la administración de problemas debe obtener reportes regulares de la administración de
cambios sobre el progreso en la resolución de problemas o errores. La administración de
problemas debe monitorear el continuo impacto de los problemas y errores conocidos en los
servicios a los usuarios. En caso de que el impacto se vuelva severo, la administración de
problemas debe escalar el problema, tal vez refiriéndolo a un comité determinado para incrementar
la prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que resulte
más pertinente. El avance de la resolución de un problema debe ser monitoreado contra los SLAs.
DS10.3 Cierre de problemas
Disponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la
eliminación exitosa del error conocido o después de acordar con el negocio cómo manejar el
problema de manera alternativa.
DS10.4 Integración de las administraciones de cambios, configuración y problemas
Para garantizar una adecuada administración de problemas e incidentes, integrar los procesos
relacionados de administración de cambios, configuración y problemas. Monitorear cuánto esfuerzo
se aplica en apagar fuegos, en lugar de permitir mejoras al negocio y, en los casos que sean
necesarios, mejorar estos procesos para minimizar los problemas.
DS13 Administrar las operaciones
Un procesamiento de información completo y apropiado requiere de una efectiva administración del
procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definición de
políticas y procedimientos de operación para una administración efectiva del procesamiento
programado, protección de datos de salida sensitivos, monitoreo de infraestructura y
mantenimiento preventivo de hardware. Una efectiva administración de operaciones ayuda a
mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de
TI.
-66-
DS13.5 Mantenimiento preventivo del hardware
Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la
infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución del
desempeño.
4.2.2.4.3 Monitoreo y Evaluación ME
ME2 Monitorear y evaluar el control interno
Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de
monitoreo. Este proceso incluye el monitoreo y el reporte de las excepciones de control, resultados
de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del
control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el
cumplimiento de las leyes y regulaciones aplicables.
ME2.6 Control interno para terceros
Determinar el estado de los controles internos de cada proveedor externos de servicios. Confirmar
que los proveedores externos de servicios cumplan con los requerimientos legales y regulatorios y
con las obligaciones contractuales. Esto puede ser provisto por una auditoría externa o se puede
obtener de una revisión por parte de auditoría interna y por los resultados de otras auditorias.
4.2.3 ISO 27001
Con el fin de complementar este capítulo y tratando de cubrir las mejores prácticas se decidió
incluir en esta investigación el estándar para la seguridad de la información ISO/IEC 27001
(Information technology - Security techniques - Information security management systems -
Requirements) SGSI.
Este estándar de acuerdo a lo publicado n la norma específica los requisitos necesarios para
establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información
(SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799
(actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad
de normalización británica, la [British Standards Institution] (BSI)52
.
52
Dimitris Petropoulos Managing Director ENCODE Middle East, “ISO/IEC 27001:2005 A brief introduction”, http://www.fvc.com/FVC/FvcWeb/Files/ISO27001%20Introduction.pdf, Septiembre 2009.
-67-
4.2.3.1 Finalidad del modelo
Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar el ISMS en una organización.
Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar
eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar
entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son
aprovechadas nuevamente como entradas, generando una realimentación de los mismos.53
Los objetivos que se persigue la norma se enlistan a continuación:
Evaluar la efectividad de las medidas de seguridad del SMSI con respecto a las métricas
preestablecidas.
Evaluar el ISMS y su permanente actualización.
Proveer una guía estándar para evaluar las revisiones, facilitar las mejoras y para proveer
trazar para posibles auditorias
Comunicar, dentro de la organización, la importancia de la seguridad.
Ser una herramienta para el análisis y tratamiento del riesgo.
4.2.3.2 Beneficios de la implementación de la ISO 27001
La norma ISO establece en el documento ISO/IEC 27001:2005 A brief introduction, que como
principales beneficios que otorga la norma a la empresa que la implanta se menciona a
continuación:54
Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
Reducción del riesgo de pérdida, robo o corrupción de información.
Los clientes tienen acceso a la información a través medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
53
Dimitris Petropoulos Managing Director ENCODE Middle East, “ISO/IEC 27001:2005 A brief introduction”, http://www.fvc.com/FVC/FvcWeb/Files/ISO27001%20Introduction.pdf, Septiembre 2009. 54
ISO27000IEC, “Sistema de Gestión de Seguridad de la información SGSI”, http://www.iso27000.es/iso27000.html, Septiembre 2009.
-68-
4.2.3.3 Proceso de Implementación del ISMS
Con el fin de que la norma se establezca de acuerdo a los requerimientos de esta misma, se
desarrollo una serie de pasos que concluirán con la exitosa implementación.55
Reunir al equipo de trabajo
Definir el alcance
Identificar activos de información
Determinar el valor de los activos
Determinar los riesgos
Determinar las políticas y el grado de aseguramiento y controles
Identificar los objetivos de control y controles
Definir las políticas, procedimientos y controles a implementar.
Implantación de políticas, procedimientos y controles
Complementar los requerimientos del ISMS
Auditoria y revisión del ISMS
A continuación se detallan las principales pasos del proceso:
Políticas de seguridad: El estándar define como obligatorias las políticas de seguridad
documentadas y procedimientos internos de la organización que permitan su actualización
y revisión por parte de un Comité de Seguridad.
Organización de activos y recursos: Para ayudarle a administrar la seguridad de la
información dentro de la organización.
Clasificación y control de activos: El análisis de riesgos generará el inventario de activos
que deberá ser administrado y controlado con base en ciertos criterios de clasificación y
etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel
de confidencialidad.
55
ISO27000IEC, “Sistema de Gestión de Seguridad de la información SGSI”, http://www.iso27000.es/iso27000.html, Septiembre 2009.
-69-
Seguridad del personal: Proporcionar controles a las acciones del personal que opera con
los activos de información.
El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar
el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades
por parte del personal en materia de seguridad de la información.
Seguridad ambiental y física: Identificar los perímetros de seguridad, de forma que se
puedan establecer controles en el manejo de equipos, transferencia de información y
control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.
Definir alcance del SGSI: en función de características del negocio, organización,
localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene
por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance
limitado.
4.2.3.4 La norma ISO Áreas que se deben cubrir
Entre los aspectos que debe considerar y no solo considerarlos si no que deben de estar cubiertos
para garantizar el cumplimiento de la norma.
Marco de las normas de gestión de la seguridad de la información.
Sistema de gestión de la seguridad de la información.
Análisis y gestión de riesgos.
Controles y salvaguardas.
Auditoria.
Directrices de implantación de los sistemas de gestión de la seguridad de la información.
Difusión y concienciación.
Así también, cabe considerar aspectos tales como los siguientes:
o Productos y servicios.
o Política y procedimientos.
o Personal
o Seguridad Física
-70-
o Esquemas de Reporte.56
Se resume que esta norma pretende aportar las bases para tener en consideración todos y cada
uno de los aspectos que puede suponer un incidente en las actividades de negocio de la
organización.
4.2.4 COSO
COSO: Committee of Sponsoring Organizations (COSO) of the Treadway Commission. Es una
organización privada y voluntaria dedicada a mejorar la calidad de los reportes financieros a través
de la ética de negocios, controles internos efectivos y gobierno corporativo. En 1992, trabajó para
definir un nuevo marco conceptual de control interno capaz de integrar las diversas definiciones y
conceptos que se utilizan sobre este tema. El informe resultante marcó un hito en el ámbito del
control interno. El control integrado, al que con frecuencia se hace referencia como “COSO” brinda
una base sólida para establecer los sistemas de control interno y determinar su eficacia57
.
4.2.4.1 Control interno
El control interno se define como el proceso efectuado por el consejo de administración, la
dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado
de seguridad razonable en cuanto a la consecución de los objetivos.
4.2.4.2 COSO y el soporte técnico
El control interno es una parte fundamental de las organizaciones modernas. Las empresas que
ofrecen sus servicios de Outsourcing en el área de soporte técnico no escapan a la necesidad de
contar con un control interno eficaz, eficiente y efectivo. Así, COSO es una mejor práctica que
puede ser considerado por este tipo de empresas como una mejor práctica para su control interno.
4.2.4.3 Objetivos de COSO alineados al soporte técnico
El marco conceptual definido tiene como objetivos generales el que los controles internos definidos
en una organización aseguren:
La efectividad y eficiencia de las operaciones
56
Aenor, asociación española de normalización y certificación “El control interno es un proceso llevado a cabo por las personas de una organización”,http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp, Septiembre 2009. 57
Bermúdez Gómez, Hernando. ”Nuevos desarrollos del modelo de control interno sugerido por coso”, http://74.125.47.132/search?q=cache:ClNiZ2qowEJ:www.javeriana.edu.co/personales/hbermude/ensayos/coso2008monitoreo.ppt+Enterprise+Risk+Management+Framework+%E2%80%93+Executive+Summary+(COSO)&cd=3&hl=es&ct=clnk&gl=mx&lr=lang_es, Septiembre 2009.
-71-
4.2.4.4 Actividades de control relacionadas con el soporte técnico58
Las actividades de control deben ser diseñadas tomando en consideración sus objetivos, los
riesgos existentes y su interrelación con los elementos de control. Estas actividades incluyen entre
otras acciones: aprobación, autorización, verificación, conciliación, inspección, revisión de
indicadores de performance, protección de recursos, segregación de funciones, supervisión, y
capacitación.
Algunas de las actividades de control se encuentran integradas en sistemas computarizados que
se establecen para asegurar la confiabilidad de la información financiera y gerencial, sistemas de
alarma y de seguridad de acceso. Este tipo de controles se pueden agrupar en dos grupos:
Controles Generales. Tienen el propósito de asegurar su operación y continuidad
adecuada, e incluyen el control sobre el centro de computo y su seguridad física,
contratación y mantenimiento del software y hardware, el desarrollo y mantenimiento a los
sistemas, el soporte técnico, la administración de la base de datos, así como contingencias
Controles de Aplicación. Están dirigidos para trabajar dentro de los sistemas con el fin de
lograr el procesamiento, la integridad y confiabilidad de la información mediante la
autorización y validación correspondiente.
4.2.4.5 Monitoreo relacionado con el soporte técnico
Los procesos de Soporte técnico son monitoreados por el control interno el cual requiere de
supervisión, es decir, un proceso que compruebe que se mantienen funcionando adecuadamente a
lo largo del tiempo. Esto se consigue mediante actividades de supervisión continua, evaluaciones
periódicas o una combinación de ambas cosas. La supervisión continua se da en el transcurso de
las operaciones. Incluye tanto las actividades normales de dirección y supervisión, como otras
actividades que lleva a cabo el personal en la realización de sus funciones.
4.2.5 ISO 20000-1:2005
La existencia de normas internacionales para la gestión de servicios de TI permite a las
organizaciones de todo el mundo trabajar en colaboración y les ofrece unas directrices de gran
valor para reafirmar su credibilidad en el mercado.”Una nueva norma recientemente publicada, la
ISO 20000, ofrece a las compañías la oportunidad de demostrar a sus clientes y accionistas la
58
Bermúdez Gómez, Hernando. “Nuevos desarrollos del modelo de control interno sugerido por coso”, http://74.125.47.132/search?q=cache:ClNiZ2qowEJ:www.javeriana.edu.co/personales/hbermude/ensayos/coso2008monitoreo.ppt+Enterprise+Risk+Management+Framework+%E2%80%93+Executive+Summary+(COSO)&cd=3&hl=es&ct=clnk&gl=mx&lr=lang_es, Septiembre 2009.
-72-
integridad y seguridad de sus operaciones, y promueve una cultura de mejora continua de la
calidad en materia de gestión de servicios tecnológicos”59
.
Este nuevo estándar promueve la adopción de un modelo de procesos integrados destinado a
mejorar la eficacia en la prestación de los servicios tecnológicos y establece las directrices para
una gestión de servicios de TI de calidad (véase la Figura 4.2.5). La publicación de la ISO 20000
demuestra que las Tecnologías de la Información (TI) han llegado a un punto de madurez que
obliga a la mayoría de las organizaciones a adoptarlas para poder sobrevivir. La documentación
donde se definen las especificaciones de la norma se publicó en 2005.
Figura 4.2.5
La nueva norma se basa en la norma británica BS 15000 y está estrechamente ligada al modelo
ITIL® (IT Infrastructure Library). La ISO 20000 es un código que proporciona las bases para medir
y validar el éxito de una organización a la hora de implementar las buenas prácticas definidas por
ITIL.
La ISO 20000, que sustituye a la norma BS 15000, proporciona una fórmula estándar para verificar
que las organizaciones han adoptado las mejores prácticas de Gestión de Servicios de TI según lo
establecido por el modelo ITIL, que ha estado actuando como estándar de facto en materia de
gestión de servicios durante casi 20 años. La BS 15000, una norma británica publicada por primera
vez en el año 2000 para impulsar la adopción de un modelo de procesos integrados destinado a
una prestación más eficaz de los servicios tecnológicos, se basa en el modelo ITIL.
4.2.6 PMI60
59
ISO/IEC 20000-1:2005.”Abstract”, http://www.iso.org/iso/catalogue_detail?csnumber=41332, Septiembre 2009.
-73-
PMI Internacional fue fundado en 1969 con socios voluntarios. Durante los años setenta PMI se
desarrolló principalmente en el campo de la ingeniería, mientras tanto el mundo de los negocios
desarrollaba sus proyectos a través de especialistas de la misma empresa y formaban grupos de
trabajo llamados “Task Force”. Para los años ochenta, el mundo de los negocios comenzó
gradualmente a dirigir sus esfuerzos por proyectos.
Durante este tiempo el PMI, a través del comité de estándares y colaboradores (entre ellos
empresas, universidades, asociaciones de profesionales, especialistas y consultores en proyectos)
realizó el estudio, evaluación y revisión de los estándares generalmente aceptados a nivel
internacional, dando como resultado los estándares que representan el cuerpo de conocimientos
de la Dirección de Proyectos, cuyo título original es “Project Management Body of Knowledge”
(PMBOK). En 1987 se publicó su primera edición.
4.2.6.1 Actividades
El PMI está activamente involucrado en abogar por la profesión, estableciendo estándares
profesionales, conduciendo investigación y proveyendo acceso a un acervo muy vasto de
información y recursos. Del mismo modo, el PMI promueve el desarrollo de la profesión ofreciendo
la posibilidad de hacer networking, creación de oportunidades de colaboración y de participar como
voluntario en proyectos globales, y ofreciendo tres certificaciones, entre ellas, una de las más
respetadas mundialmente:
• PMP
• CAPM
• PgMP
El PMI (Project Management Institute – Instituto de Gerencia de Proyectos), es la institución líder
en el mundo, dedicada a impulsar la gestión de proyectos.
El PMBOK (Project Management Body of Knowledge - Cuerpo de Conocimiento de Gerencia de
Proyectos), es el libro que rige los conocimientos para la administración de proyectos.
60
Project Management Institute. “¿Qué es el Project Management Institute?”, http://www.pmimexico.org/wb/pmi/pmi_que_es_pmi, Julio 2009.
-74-
4.2.6.2 Características de un proyecto
Figura 4.2.6.2: Características de un proyecto
Características de un Proyecto:
1. Tiene un principio y un fin.
2. Tiene un calendario definido de ejecución.
3. Se planea.
4. Necesita la concurrencia de varias personas en función de unas necesidades específicas.
5. Cuenta con un conjunto de recursos.
4.2.6.3 Etapas de la Administración de Proyectos
Figura 4.2.6.3: Etapas de la Administración de Proyectos
Origen
Carta
INICIO PLANEACIÓN EJECUCIÒN CONTROL CIERRE
Equipo del Proyecto
Alcance
Plan Avance
Aceptación
Entrega
PPRROODDUUCCTTOO
FFIINNAALL
-75-
Inicio
o Carta Proyecto.
o Organización del proyecto.
Planeación
o Plan del proyecto.
o Control de cambios.
Ejecución y control
o Reporte de estado: avances y desviaciones.
Cierre
o Carta entrega/aceptación de servicios.
4.3 Tecnología
El uso de tecnología o herramientas para la administración del servicio de soporte técnico
aumenta la calidad y mejora de este servicio, además de facilitar esta tarea. A continuación se
describe la herramienta principal para la gestión del servicio de soporte técnico.
4.3.1 Tecnología para la Mesa de Ayuda
Se encargan del seguimiento y control de eventos, con un fuerte enfoque y especialización hacia
el soporte y mantenimiento de redes, sistemas (servidores) y aplicaciones.
Permiten el seguimiento completo de cualquier incidente, desde la apertura hasta el cierre,
garantizando el cumplimiento de los niveles de servicio acordados; ya sea enviando notificaciones
oportunas mediante correo electrónico a las personas encargadas, realizando encuestas de
satisfacción de usuario, ó generando reportes.
4.3.1.1 Características Generales
Se accesan vía web a través de cualquier navegador (Internet Explorer, mozilla firefox,
safari etc.), por lo cual no es necesario instalar ningún programa o plugin especifico, y
puede ser accesadas desde cualquier parte del mundo.
Basadas en tecnologías de Servidor de Aplicaciones Empresarial lo cual garantiza:
o Alta seguridad
-76-
Cumplen con todos los requisitos de un Servidor de Aplicaciones
Empresarial, resistencia a ataques de red, encriptación, etc.
Acceso a ellas únicamente de personal autorizado, los cuales pueden ser
manejados desde un LDAP (Active Directory, OpenLdap, etc.)
Su código fuente cumple con las especificaciones de estándares
empresariales, lo cual le asegura resistencia a ataques en código.
o Alto desempeño, disponibilidad y escalabilidad.
Altamente configurables: Los catálogos (fallas, dispositivos, sucursales, etc.), las etapas ó
ciclo de vida que debe seguir un evento, los niveles de servicio (incluyendo calendarios
para días festivos y los horarios de atención por día de la semana) y los usuarios que lo
usan y los que reportan, son totalmente configurables.
Manejan multilenguaje: Todos los títulos, etiquetas y mensajes de error aparecen en el
idioma configurado en el navegador web. Usualmente se tiene en inglés y español, pero
puede ser adicionado cualquier otro idioma.
Cuentan con múltiples perfiles de acceso: Se tienen definidos distintos perfiles a los cuales
se les permite ó no ver partes de la aplicación o realizar determinadas acciones:
administrador, supervisor, agente, operativo, cliente.
Se encargan del seguimiento completo y control de eventos: Se tiene el control total de la
historia de las etapas y el tiempo en cada una de ellas, los comentarios de todos los
involucrados. Asimismo, se pueden enviar notificaciones por correo, por ejemplo, que un
ticket le ha sido asignado a un Ingeniero de campo, o que un evento tiene un porcentaje de
tiempo dado en base al nivel de servicio asignado hacia los responsables.
Aplican encuesta de satisfacción: Para pasar un ticket a estado cerrado, es necesario que
el usuario final llene una encuesta de satisfacción vía WEB. Se cuenta con reportes de
estas encuestas, para saber, por ejemplo, la opinión desde el punto de vista usuario final
de la calidad del servicio recibido en un mes, en determinada sucursal.
Generan reportes: Se generan reportes predefinidos, algunos de los cuales aceptan
parámetros como fechas y estados de los tickets para su generación, y son exportables a
formatos Excel, PDF y Word. Se puede crear reportes personalizados de acuerdo a las
necesidades especificas del cliente (se diseñan de forma independiente a la aplicación) y
agregarlos fácilmente.
-77-
Multiempresa: La aplicación puede ser usada para dar atención a más de una empresa. Si
un cliente accede, solo vera la información que le pertenece, la información de otros
clientes permanece totalmente oculta, inclusive en los reportes.
4.3.1.2 Descripción Detallada
Las mesas de ayuda son sistemas que permiten el registro, seguimiento y control del ciclo de vida
de un evento denominado TICKET.
El sistema es una aplicación Web, esto quiere decir que se puede tener acceso a la aplicación
desde cualquier computador con acceso a Internet siempre y cuando se disponga de un nombre y
una clave de usuario.
Este tipo de sistemas están formados por un menú que esta divido en 2 grandes módulos:
Módulo de Catálogos
Módulo donde se concentra la información requerida para que el sistema pueda operar, en este
apartado se incluye el calendario laboral y los niveles de servicio que son la base para la gestión
de los tickets en cada uno de los estados predefinidos.
Módulo de reportes
Modulo que contiene los reportes prediseñados con la información requerida tanto para coordinar y
supervisar la operación del día a día de la empresa como la necesaria para la toma de decisiones.
Al tratarse de mesas de ayuda que gestiona eventos, están especializadas en el seguimiento del
ticket tomando como base 2 grandes rubros:
Funciones generales
1. Acceso vía web a través de cualquier navegador (Internet Explorer, mozilla firefox, safari,
etc.)
2. Función de uso independiente del Sistema Operativo, se puede utilizar Windows, Ubuntu,
etc.)
3. Seguridad de acceso utilizando un servidor de aplicaciones.
4. Interfaz gráfica amigable.
5. Alta, modificación y eliminación de registros en cada uno de los catálogos que forman el
menú.
-78-
6. Creación de ticket capturando información general tal como, nombre del cliente, detalle de
falla, localización del lugar donde se localiza la falla.
7. Modificación de información del evento aun cuando este se encuentre activo.
8. Identificación del evento por medio de una ID única para cada ticket.
9. Ventana de tiempo de sesión configurable de acuerdo a la necesidad del cliente,
representada por medio de un cronómetro en pantalla.
10. Asignación del evento a personal de campo
11. Especificación de estatus del evento (abierto, en atención, pendiente, cerrado) con la
ventaja de poder aumentarlos de acuerdo a las necesidades.
12. Generación de reportes predefinidos utilizando periodos de tiempo específicos.
13. Personalización de reportes atendiendo necesidades especificas de información.
Especificación de atención al seguimiento del ticket, la supervisión y el control del
mismo.
Ventanas de tiempo de atención (nivel de servicio) definidas para cada cliente;
especificando diferentes horarios para cada tipo de atención.
Las ventanas de tiempo son apoyadas por la creación de un calendario laboral especifico
para cada cliente y tipo de atención, la funcionalidad básica se centra no solamente en el
ciclo de vida de del ticket (apertura, seguimiento y cierres) La gestión de los eventos
(tickets) se basa en la transición a través de estatus previamente definidos y la secuencia
entre cada uno de ellos.
Envío de alertas vía correo electrónico activadas por los siguientes eventos:
o Cuando se asigna el evento a un usuario registrado en la aplicación, con copia a su
jefe inmediato.
o Cuando se termina el evento o a la cancelación del mismo, tanto al personal asignado
como a su jefe inmediato.
o Notificaciones vía correo electrónico a cualquier dirección electrónica; indicando el
avance del ciclo de vida del ticket (al 50%, 75% y 100%) de acuerdo a la ventana de
tiempo total asignado al nivel del servicio del cual depende el ticket registrado.
-79-
o Notificaciones vía correo electrónico a cualquier dirección electrónica, con un espacio
de tiempo configurable indicando la expiración del estatus en el que se encuentra el
evento.
o Indicadores en pantalla con la duración del evento, tomando en cuenta calendario
laboral y tiempo y nivel de servicio asignado (ventana de tiempo)
o Indicadores en pantalla visualizado como una tabla con la trama del evento, estatus
por el cual ha pasado, duración en cada estatus y responsable de la operación por
estatus.
o Campos para capturar información adicional que pueda ser relevante para el
seguimiento del evento.
4.3.2 Sistemas de automatización del ciclo de vida de TI
Ofrecen soluciones de automatización del ciclo de vida de TI diseñadas para ayudar a las
organizaciones de TI a administrar, asegurar y respaldar todos los activos de TI, ofreciendo una
entrega de servicios efectiva, pueden reducir los costos operativos, aumentar la eficacia de las
operaciones, establecer la base del crecimiento futuro y hacer que TI se ajuste a las prioridades de
la empresa.
4.3.2.1 Funciones principales
Aportan soluciones integradas de administración del ciclo de vida de TI.
Poseen consola común basada en Web.
Repositorio único extensible y base de datos de administración de configuraciones.
Instalación y migración de SO sin intervención del usuario.
Inventario integrado de hardware y software.
Administración de software basada en políticas.
Administración de parches automatizada.
Auto reparación de aplicaciones y administración de configuraciones.
4.3.2.2 Ventajas de su uso
Disminuyen los costos derivados de la entrega de servicios y mejoran la calidad de los
servicios.
-80-
Obtienen visibilidad y control de los recursos informáticos.
Automatizan los procesos manuales.
Aumentan el nivel de seguridad del sistema.
Estandarizan y consolidan procesos.
Disminuyen el tiempo de creación de imágenes, implementación y migración.
Disminuyen el costo total de los activos informáticos corporativos.
Reducen el tiempo fuera de servicio y los errores humanos.
4.3.3 Tecnología de Seguridad
Las empresas deben estar preparadas para defenderse contra los riesgos actuales de la
información electrónica, y no solo responder ante una intrusión, es una cuestión que va más allá de
los virus.
Personas y accesos.
Normativa y aspectos legales.
Auditabilidad y monitorización.
El cambio es claro, cada pérdida de información empresarial impacta en el negocio negativamente,
por tal motivo debe de cubrirse la seguridad interna y externa, desde los perímetros de acceso
hasta los sistemas internos, de empleados que hagan mal uso, usuarios externos y accesos no
autorizados.
Datos electrónicos
Redes y puntos de entrada
Aplicaciones y procesos
Por esta razón que el grado de incorporación de tecnología e innovación, y las exigencias en
seguridad digital, son uno de los principales pilares de cualquier organización en la actualidad, a
continuación se describen algunas herramientas que se encargan de dicha seguridad.
4.3.3.1 Software de encriptación de datos
Son programas de encriptación para seguridad personal y profesional. Permiten proteger la
privacidad de archivos, carpetas, y mensajes confidenciales encriptándolos (cifrándolos) con
-81-
diferentes tipos algoritmos de encriptación robustos. Una vez que la información ha sido
encriptada, puede ser almacenada en un medio inseguro, o transmitida por una red insegura (como
Internet), y aún así permanecer secreta. Luego, la información puede ser desencriptada
(descifrada) a su formato original. Este tipo de Software es usado principalmente para encriptar
discos duros enteros, particiones, dispositivos como unidades de memoria USB, archivos,
carpetas, y email además de dar la posibilidad de creación de unidades de disco virtuales. La
mayoría de estos Software de encriptación tienen la característica de seleccionar la vida útil que
tendrán nuestros datos, mediante el establecimiento de una fecha para su auto-destrucción.
Pasada dicha fecha la información se vuelve ilegible.
4.3.4 Tecnología de Monitoreo
En la actualidad la calidad de los servicios que ofrecen las Empresas, se ve reflejada en gran
medida, en la disponibilidad y continuidad en la operación de su infraestructura de cómputo. Es por
esta razón, que las áreas responsables de monitorear el funcionamiento de los equipos de
cómputo y comunicaciones, requieren de herramientas que les permitan recibir e interpretar los
diferentes mensajes, que de forma continua están enviando estos dispositivos y de ésta manera,
contar con información valiosa, que les permita prevenir o corregir situaciones de error que puedan
entorpecer o detener su operación de negocio.
El monitoreo en tiempo real de los equipos de cómputo y comunicaciones, permite conocer
información valiosa para prevenir -y posteriormente corregir, situaciones de error o de alerta que
puedan entorpecer o detener los servicios y afectar la continuidad de operación de la plataforma
tecnológica.
4.3.4.1 Herramientas de monitoreo
Conforme a la recomendación de las mejores prácticas de ITIL para la selección de herramientas,
la evaluación se debe basar en la capacidad de la herramienta para soportar la funcionalidad del
proceso y la capacidad de soportar la interacción y flujo de información entre los procesos
Las principales razones porque las Empresas requieren de herramientas son:
Las demandas de los clientes son más complejas.
Mayor dependencia del Negocio en los Servicios de TI.
Mejorar la seguridad y servicio al cliente.
Integración de ambientes de diferentes proveedores.
Mayor complejidad en la infraestructura de TI.
-82-
Creación de estándares internacionales.
Incremento en el alcance y frecuencia de los cambios.
Mayor exigencia en demostrar el ROI de los Servicios de TI.
Incremento en la demanda de compartir datos entre los procesos de la Administración de
Servicios de TI.
Se deben tener claros cuales son los alcances para los que las Herramientas se van a orientar,
desde el punto de vista de Administración de Servicios, se considera que esté enfocada en
tecnología, que se permita el Monitoreo de componentes, que facilite la Gestión de sistemas y que
integre una Perspectiva de TI.
Para el enfoque desde la Administración de Servicios, se considera que maneje Integración entre
los procesos, que permita el Mapeo de los Servicios de TI como son consumidos /
experimentados, que funcione como Repositorio de datos compartido para la generación de
reportes y permita la generación de Métricas de la perspectiva del cliente y de TI.
Es recomendable para la selección de la herramienta, basar la decisión en el proceso de definición
del servicio y operación de la Empresa. Por lo que se deberán considerar los requerimientos de la
herramienta desde las etapas de Estrategia y Planeación, es decir incluir cuales son las
herramientas y tecnología actual son empleadas para:
Mesa de Servicio / herramientas de Administración de Servicios
Herramientas de monitoreo y descubrimiento
4.3.4.2 Funciones principales
Las funciones principales que se deben considerar en la selección de la herramienta, tenemos:
Monitoreo de los Niveles de Servicio, tiempos de respuesta y resolución.
Escalabilidad.
Clientes distribuidos con una base de datos centralizada y compartida.
Conversión de datos previamente almacenados.
Respaldo y almacenamiento de datos.
Tipo de Reportes.
-83-
Alternativas de soporte ofrecidas por el proveedor.
Opciones de capacitación ofrecidas por el proveedor.
Costos: Software / Hardware (compra e instalación) Vs. los de Capacitación / desarrollo y
customización / consultoría / mantenimiento y soporte.
Seguridad, estructura de datos, manejo de datos e integración.
Integración con herramientas de distintos proveedores.
Alineado con estándares abiertos.
Flexibilidad para la implementación, uso y compartir datos.
Facilidad de uso (amigable).
Capacidad de importar paquetes de datos (listas de correo, hojas de cálculo, CSV, etc.).
Reputación y trayectoria del proveedor.
Referencias con implementaciones similares (ej. Tamaño, industria, ubicaciones,
distribución, etc.).
Funcionalidad.
Arquitectura.
Requerimientos del Sistema.
4.3.4.3 Ventajas de uso
Son independientes de la plataforma.
Son independientes de la fuente de información.
Alta escalabilidad.
Alta confiabilidad.
Alta disponibilidad
Monitorean información en tiempo real.
Son flexibles para adaptación al cambio de reglas de negocio.
-84-
Tienen capacidad para conexión con otros sistemas, por ejemplo: Mesas de Ayuda y
Sistemas de Análisis de Información para toma de decisiones.
-85-
Capítulo V. Propuesta de Modelo de seguridad para Empresas de
Outsourcing
En este capítulo se presenta un modelo para facilitar la obtención de un adecuado control de
riesgos para una Empresa que presta servicios de Outsourcing de Soporte Técnico dentro de las
Tecnologías de Información y Comunicación, que permita entre otros evitar y/o disminuir las fallas
en los sistemas, redes, equipo de cómputo y así como el software y el manejo de los mismo datos,
de cualquier tipo de ataques o desastres antes de que estos sucedan. Además, de minimizar los
riesgos propios a la información que se maneja.
5.1 Objetivos del Modelo
Promover la adopción de un enfoque donde se establezcan las pautas para definir, formalizar,
implementar, operar, monitorear y ajustar el proceso de servicio de soporte técnico de una
organización considerando las medidas de seguridad adecuadas que mitiguen los riesgos a los
que se enfrenta en cada una de sus etapas del ciclo del servicio. Buscando:
Lograr una mejor alineación de las capacidades TI con las necesidades y las estrategias
de negocio, garantizando la seguridad de la operación y del manejo de la información.
Mejorar el control de la provisión de los servicios TI para el negocio.
5.2 Finalidad del Modelo
Consiste en implementar una serie normas, políticas y procedimientos basados en los modelos de
mejores prácticas y de normas internacionales que se describieron en el capítulo III de este
documento, para verificar que la operación de cualquier Empresa dedicada a brindar los servicios
de soporte técnico en Outsourcing, cumpla con las condiciones mínimas de seguridad, tanto en el
manejo mismo de la información, como en cada una de las actividades que se llevan a cabo para
la entrega del servicio al cliente final. Como resultado de la verificación, se generarán las
recomendaciones propias a la Empresa, para que complemente, corrija o modifique su operación,
para lograr cumplir con los objetivos de minimizar y mitigar los potenciales riesgos de seguridad
encontrados.
Así mismo, se harán las recomendaciones para que de manera regular, una vez implementado
dicho modelo, se busque la mejora continua dentro de los procesos de la Empresa.
Debido a que en las Empresas de servicio, el personal es uno de sus activos principales, se
considera un análisis específico y detallado en medidas y recomendaciones de seguridad, que
-86-
implican desde los procesos de reclutamiento y selección, hasta la entrega del servicio y la
evaluación de desempeño por parte del cliente final.
De los principales aspectos de seguridad que se incluyen en el modelo son:
Desarrollo e implantación de políticas, estándares y procedimientos operativos de
seguridad.
Desarrollo, configuración y operación de controles de seguridad congruentes con la
estrategia de seguridad de la empresa.
Identificar vulnerabilidades en la infraestructura tecnológica y lograr su corrección.
Monitoreo de indicadores de control y de cumplimiento normativo.
Asesoría y apoyo a la organización en requerimientos de seguridad de la información.
Proveer a la organización de reportes operativos periódicos de seguridad de la
información.
En esencia, el modelo propuesto busca cambiar la visión tradicional que se tiene en la prestación
de servicios, hacia una orientación sustentada, como hemos hecho énfasis, en las mejores
prácticas descritas en el capítulo anterior. Se busca la implementación de un ciclo completo y bien
definido del servicio, que permita la entrega final del Valor que el cliente espera.
Figura 5.2: Transformación de TI Tradicional a TI Orientado.61
Para la construcción de nuestro modelo, se tomó como lineamiento principal la definición de
servicios propuesta en ITIL, esto es, nuestro modelo hace referencia a las etapas del ciclo de vida
61
Pink Elephant. ”Metodología ITIL V3”, https://www.pinkelephant.com/Products/PinkONLINE/PinkScan.htm, Septiembre 2009.
-87-
de servicio, y las complementamos con las recomendaciones y sugerencias, normas y
procedimientos que promuevan la seguridad en cada etapa del ciclo.
5.3 Arquitectura del Modelo
Este modelo considera los principales elementos referidos en las normas, recomendaciones de
mejores prácticas y estándares internacionales relacionados con la seguridad de la información,
según se describe en el capítulo III de este documento.
Uno de los beneficios adicionales de contar con este modelo, es el reforzamiento a encaminarse
hacia el “Gobierno de las TI”, aún y cuando en su diseño no se enfocó esta orientación, ya que
esto implica que no solo se cubran temas de seguridad y de riesgos, sino que al mismo tiempo
apoya a lograr aspectos de estructura organizacional, descripciones de cargo y tareas, definiciones
de misión y visión, no solo a nivel gerencial, operacional y directivo, sino que a nivel de cada área
de TI.
Se presenta el modelo de seguridad propuesto para Empresas de servicios de soporte técnico de
Outsourcing en forma esquemática. Se resume agrupando todas las actividades, con la
recomendación de en que cada una de estas, se deberá aplica el ciclo de mejora continua de
manera permanente.
Las actividades son secuenciales y a la vez se comportan en un estado cíclico con periodos de
tiempos en su ciclo, que varían dependiendo de cada organización y del estado de avance que ella
tenga respecto a temas de seguridad de la información.
El diagrama conceptual del modelo es el siguiente:
Figura 5.3 Modelo de Seguridad.
Modelo de Seguridad
Detección de necesidades
Análisis de Riesgo
Apoyo de la Dirección Oficial de la S. I.Sensibilización
Elaboración de PSI
Elaboración de
Procedimientos
Controles de las TI
Evaluación y control
Evidencias
Control de la
documentación
Planes de Acción
Mejora Continua
-88-
A continuación se presenta una descripción de cada una de las fases y actividades que ellas
consideran, basadas en las normas y recomendaciones de las mejores prácticas: COSO, COBIT,
ITIL, ISO 20000 e ISO 27001.
1 Detección de Necesidades: Corresponde al levantamiento de todas las actividades
relacionadas con los impactos que la organización pueda tener en relación con su seguridad
de la información. Incluye una identificación clara de las dependencias, relaciones y límites
que existen entre el alcance definido y aquellas partes que no hayan sido consideradas
2 Análisis y evaluación de Riesgo: Corresponde a evaluar todos los potenciales riesgos en los
cuales se pueda ver envuelta la organización por aspectos emanados de las TI y que
impactan en la seguridad de la información. Incluye la preparación del Informe resultado de
aplicar la Metodología de Evaluación de riesgos, que es la descripción de cómo se realizará
la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en
relación a los activos de información contenidos dentro del alcance seleccionado, así como el
tratamiento y desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo
aceptables.
3 Apoyo de la Dirección: Corresponde a la presentación del resultado de las etapas anteriores
con el fin de conseguir el apoyo para concretar la implementación de la seguridad de la
información. Incluye la elaboración del Plan de tratamiento de riesgos, documento que
identifica las acciones de la Alta Dirección, los recursos, las responsabilidades y las
prioridades para gestionar los riesgos de seguridad de la información, en función de las
conclusiones obtenidas en el análisis y evaluación de riesgos, de los objetivos de control
identificados, de los recursos disponibles (presupuestos, personal, capacitación, etc.).
4 Oficial de la Seguridad de la información - OSI: La organización debe designar a un OSI
para que realice, apoye, dirija y pueda llevar el control de implementación y posterior
seguimiento a todo el modelo de seguridad de la información. Además el OSI estará presente
en todas las actividades y con énfasis en la fase de aplicación en la cual participa en forma
activa en todas las actividades que se indican de aquí en adelante.
5 Elaboración de la Política de Seguridad de la Información - PSI: Corresponde al diseño de
las Políticas de Seguridad de la Información de la organización. Documento que establece el
compromiso de la Alta Dirección y el enfoque de la organización en la gestión de la seguridad
de la información.
6 Elaboración de procedimientos, instructivos y guías: Corresponde al desarrollo de
documentos que formalicen como se deben realizar las actividades y que información es la
que se debe retener como evidencia para dar conformidad a las PSI y que regulan el propio
-89-
funcionamiento del modelo. Documentación necesaria para asegurar la planificación,
operación y control de los procesos de seguridad de la información, así como para la medida
de la eficacia de los controles implantados -Métricas.
7 Controles de las TI: Esta etapa es la que constituye la principal herramienta para que las
Empresas lleven a cabo la implementación de controles y por lo tanto es la que se aplicará en
el capítulo siguiente, donde se da a conocer el caso práctico con la empresa Net & Services
Trantor. En esta etapa se diseñan y definen los procesos, objetivos de control, controles y
evidencias formales de las actividades de seguridad que darán sustento a los procesos de
revisiones o auditorias del modelo. Nuestro modelo cubre los siguientes conceptos basados
en las mejores prácticas estudiadas en el capítulo IV:
Política de Seguridad
Organización de la Seguridad de la Información
Gestión de Activos
Seguridad de los recursos humanos
Seguridad física y mental
Gestión de las comunicaciones y operaciones.
Control de acceso
Adquisición, desarrollo y mantenimiento de los sistemas de información.
Gestión de incidentes en la seguridad de la información.
Gestión de la continuidad comercial.
Cumplimiento
8 Evaluación y control: En esta etapa se debe realizar, preparar y desarrollar la revisión que
avale que todos los procesos de TI se están cumpliendo y llevando a cabo adecuadamente, lo
cual será evaluado por el mismo proceso de auditoría que se defina (interna y/o externa).
9 Evidencias: En esta etapa se busca verificar de manera adecuada que todos los registros de
TI para todos sus procesos y controles estén disponibles para cualquier tipo de revisión,
particularmente a los procesos de auditoría.
10 Control de la Documentación: Se debe establecer, documentar, implantar y mantener un
procedimiento que defina las acciones de gestión necesarias para garantizar en los
documentos los cambios, sus versiones, que sean legibles, vigentes y disponibles,
identificados, su distribución controlada, obsolescencia y administración de uso y consulta.
-90-
11 Planes de Acción: Esta etapa consiste en la aplicación de los planes de acción conforme a
los plazos y actividades que fueron indicados en el proceso de auditoria. Estos planes de
acción pueden conformar la revisión y ajustes de todo tipo de actividades ya sea a nivel de
procesos de seguridad, de evidencias, de políticas o de cualquier otra actividad que sea
identificada.
12 Sensibilización: Esta etapa permite entregar constante información a la organización sobre la
importancia de mantener la seguridad de la información y el resguardo de todas las
actividades de TI, y evidentemente en cada etapa del modelo. Recibe un apoyo directo de la
dirección de la organización.
El detalle de cada uno de los controles que componen el modelo propuesto, se validará mediante
el uso de una matriz de cumplimiento basada en las normas ISO 27001:2005/ CobIT e ITIL, donde
se detallan los rubros específicos, los documentos de referencia para los controles de seguridad de
la información y la evidencia del estatus de implantación que tiene la Empresa de servicios de
Outsourcing.
5.4 Bases del modelo
Para la estructuración del modelo se basó en las mejores prácticas y estándares internacionales
tales como COSO, COBIT, ITIL, ISO 20000 e ISO 27001.
El modelo que proponemos para implementar en la Empresa, se basa en los siguientes alcances
de acuerdo a los estándares y procesos de mejores prácticas:
Figura 5.4 Bases del Modelo62
62
Pink Elephant,Presentación de la 5a Conferencia de IT Service Management.”Mejores Practicas”, Septiembre 28-29/2009.
-91-
Con base en lo descrito en el capítulo anterior de las mejores prácticas, sustentamos la estructura
de nuestro modelo propuesto en lo siguiente:
Cumplir con los procesos de ITIL a través de la implementación de la norma ISO 20000-
1:2005 Los procesos de la ISO 20000-1:2005 aplicarán a todas las áreas de la Empresa
de Servicios de Outsourcing, de acuerdo a la interacción de los rubros considerados en el
Modelo del Sistema de Gestión Integral.
Todo el proceso de seguridad de la información, proceso exigido por ITIL y por
consiguiente, por la norma ISO 20000-1:2005 en su requisito 6.6, se aplicará a través de la
implementación de los controles establecidos por la norma ISO 27001:2005, como código
de buenas prácticas se considera lo establecido en la norma ISO 17799:2005.
Para manejar los planes de continuidad, exigidos por la norma ISO 27001:2005, se tomará
de referencia lo establecido en el estándar BS 25999:2005.
Como modelo se auditoria para los controles de seguridad se aplicará lo establecido por
CobIT. La metodología PMI aplicará para la gestión de todos los proyectos de Outsourcing
en materia de TI, manejados por la Project Management Office.
-92-
Capítulo VI. Aplicación del Modelo de seguridad Net & Services
Trantor
En este capítulo se hace una introducción de la empresa a la que se le aplicará el modelo de
seguridad propuesto, a fin de conocer el perfil de la misma.
Se mencionan sus datos generales, valores, antigüedad en el mercad, su giro, tamaño y cobertura,
las certificaciones con las que cuenta, así como el tipo de mercado que atiende. Se describen los
principales servicios que presta a sus clientes.
Atendiendo las recomendaciones de Cobit e ITIL, se describen los conceptos de seguridad
mínimos que serán validados en la implementación del modelo.
En base a los lineamientos de las normas ISO (27002) se describe la utilización de una matriz, la
cual se usará para validar el cumplimiento de cada uno de los rubros definidos. En cada caso se
señalará si la empresa cumplió o no con las recomendaciones de seguridad del modelo.
6.1 Generalidades
El objetivo de Net & Services Trantor, es dar soluciones reales y efectivas, apegadas a la
estructura particular de cada uno de los clientes que atienden, buscando siempre satisfacer sus
necesidades y demandas de manera integral y en el menor tiempo posible a través de sus más de
450 técnicos e Ingenieros especializados ubicados en toda la República Mexicana.
Por más de trece años se ha enfocado todo su esfuerzo en lo que consideran el factor más
importante: la satisfacción total del cliente, ofreciendo productos y servicios cuya calidad está
respaldada con la certificación en ISO 9001:2000, lo cual refuerza su compromiso con la mejora
continúa.
Están comprometidos con la búsqueda constante de estrategias innovadoras que les permitan
posicionarse conjuntamente con sus clientes, a la vanguardia en las tecnologías de punta y que
faciliten: tener información oportuna, automatizar procesos, mejorar la toma de decisiones, ahorrar
tiempo, tener una mejor organización y obtener el control del negocio, propio de sus clientes.
6.1.1 Giro
El Giro de Empresa es la prestación de Servicios de Administración y Soporte de la Infraestructura
Tecnológica de sus clientes.
El Giro de Negocio es: “Administradores de Servicios de Infraestructura Tecnológica”.
-93-
Su enfoque de Negocio, es: “Estamos en el Negocio de Conocimiento Especializado (Ingenieros de
Servicio) para mantener funcionando (Servicio) la Infraestructura Tecnológica de los clientes”.
“Brindamos un Servicio a través del Conocimiento Especializado de nuestro personal”.
El Valor de Empresa está basado en el “Servicio”, ellos dicen: “Nos Integramos al Cliente, para
apoyarlo en la Administración del Servicio de su Infraestructura Tecnológica”.
“Somos las manos del cliente para la administración de Infraestructura Tecnológica”.
Su Visión es:
Ser el socio de Infraestructura Tecnológica predilecto de cualquier empresa corporativa,
Estar a la vanguardia del mercado de infraestructura tecnológica, diseñando y
desarrollando nuevos modelos y estándares de servicio
Crecimiento sustentado en el desarrollo profesional de nuestros colaboradores y
asociados.
Su propósito es: “Brindar la Tranquilidad de que su Infraestructura Tecnológica funcione y opere
eficientemente, habilitando y manteniendo altos estándares de nivel de servicio”
6.1.2 Tamaño y cobertura
Organigrama actual:
Figura 6.1.2_1 Organigrama Actual
DIRECTOR GENERAL
ASISTENTE
DIRECCIÓN
DIRECTOR
OPERACIONES TI
DIRECTOR GENERAL
ADJUNTO
GERENTE
INGENIERÍA DE
PROYECTOS
GERENTE
PROYECTOS
ESPECIALES
GERENTE
SERVICIOS EN
CAMPO
GERENTE VENTAS
GERENTE
PERSONAL
GERENTE
INFORMACIÓN
CONTADOR
GENERAL
COORDINADOR
CALIDAD Y CRM
COORDINADOR
LOGISTICA
1
1
1 1
111111
1
1
1
SUBGERENTE
ZONA SUR
SUBGERENTE
ZONA NORTE
SUBGERENTE
SERVICIOS
INTERNOS
1
1
11
1
-94-
El total de colaboradores directos de la empresa es de 550, siendo la base operativa la que cuenta
con el mayor número de personas a su cargo, cerca del 80%.
Cobertura
Los últimos años han permitido que la organización haya extendido sus servicios al interior de la
República de manera más organizada. Cuentan con oficinas propias en 7 Estados de la República,
a través de las que atienden a 25 estados.
Las oficinas regionales son:
La Oficina Matriz en México, D.F.
Para cobertura de la zona sur del país, se tienen las oficinas regionales de Centro-Sur en
Puebla, Puebla, Sureste en Tuxtla Gutiérrez, Chiapas y Península en Mérida, Yucatán.
Para cobertura de la zona norte del país, las oficinas regionales son: Norte en Monterrey,
Nuevo León, Bajío en León, Guanajuato y Noroccidente en Guadalajara, Jalisco.
Regiones y estados con cobertura de servicio con personal asignado en sitio.
Figura 6.1.2_2 Mapa de territorio
-95-
6.1.3 Tipo de mercado que atiende
Dada su amplia experiencia en el Sector Financiero, han podido especializar su operación para
atender los requerimientos de Tecnologías Estratégicas del Sector, operación que se ha certificado
por los diferentes fabricantes y asociados con los que trabaja.
Su cliente objetivo es toda empresa que cuente con un corporativo, oficinas distribuidas y tenga
presencia regional, o bien, cuente con una base instalada de más de 1,000 equipos de cómputo.
Actualmente atiende a clientes de acuerdo a los siguientes sectores:
En el Sector Financiero atienden a clientes como: Banorte, Scotiabank, Banca Afirme, Bancomer,
Prudential Financial, Afore Siglo XXI, entre otros.
En el Sector Industria atienden clientes como: Comex, Nadro, ETN, Estafeta, entre otros.
En el Sector Servicios atienden a clientes como: Televisa, UVM, HP, IBM, Dell, entre otros.
6.1.4 Servicios actuales que brinda
A) Multivendor
Este servicio garantiza la disponibilidad del equipo de cómputo y periféricos. Permite a los
usuarios finales operar en forma continua y eficiente, lo cual se refleja en la productividad de
nuestros clientes.
Alcances:
Mantenimientos Preventivos y Correctivos
Atención de Requerimientos y proyectos de TI
Instalación y desinstalación física de equipos
Instalación y configuración de software y periféricos
Eventos relacionados con Virus
Instalación y reubicación de servicios de voz y datos
Métricas del nivel de disponibilidad
Es una solución integral de servicios que asegura la máxima disponibilidad de sus equipos de
cómputo y le permite dedicarse a actividades de valor, propias de su negocio, convirtiéndolos
en una extensión de su empresa en servicios de Tecnologías de Información (T.I.).
-96-
Para lograr la administración y control de la infraestructura tecnológica de sus clientes, así
como la resolución de sus necesidades informáticas, incluyen los siguientes servicios:
Levantamientos de inventarios: Le permite conocer y mantener actualizada la información
del equipo de cómputo con el que cuentan sus usuarios (hardware y software).
Mantenimiento Preventivo: Previene posibles fallas en el equipo de cómputo. Se realizan dos
servicios al año.
Mantenimiento Correctivo: Se atienden todas las fallas que se reporten del equipo de
cómputo y periféricos en las instalaciones del cliente, incluyendo las refacciones necesarias.
Equipo de respaldo: En caso de falla por la cual se requiera llevar el equipo a nuestro
laboratorio, dejamos un equipo de respaldo de características iguales o superiores.
Help Desk: Soluciona vía telefónica los problemas de funcionamiento en el hardware del
cliente durante su operación cotidiana, de manera efectiva y rápida.
Administración de software: Permite tener un control total de los programas que utiliza la
empresa y su licenciamiento, con el fin de evitar problemas legales y restringir programas no
autorizados.
Administración de garantías: Representa al cliente ante los Centros Autorizados de Servicio
para hacer efectiva la garantía de los equipos y periféricos que se encuentren vigentes.
Administración de redes: Facilita tener funcionando al 100% la red del cliente y apoyarlo en
su administración.
B) Cableado estructurado, conectividad y redes
Cuentan con un grupo de especialistas en conectividad y comunicaciones, con los que atienden
requerimientos que van desde la reubicación o corrección de una salida para voz/datos, hasta
la elaboración de soluciones integradas de Cableados Estructurados.
Dentro de las actividades que realizan están:
Diseño e instalación de cableado estructurado (cobre y/o fibra óptica)
Mantenimiento de sites y centros de datos
Instalación, configuración y puesta a punto de equipo activo, como hubs, switches, routers,
módems, etc.
Instalación, configuración, soporte y mantenimiento a equipos telefónicos
-97-
División Voice
Cuentan con certificaciones de las principales soluciones de cableado, como son: Systimax,
Panduit y R&M. Además de tener relaciones comerciales con los integradores de mayor
participación en el mercado mexicano.
C) Outsourcing
Net & Services Trantor ofrece la contratación externa de recursos humanos en T.I. para las
empresas, con el objetivo principal de proporcionar personal calificado y especializado que
el área demande. O bien, buscando la asignación en sitio de personal que desarrolle
actividades que complementen su oferta de servicios al cliente.
6.2 Implantación del Modelo
En concordancia con la clasificación de procesos de operación del servicio que hoy se llevan a
cabo en Net & Services Trantor, a quien llamaremos la Empresa, - y que es en ella donde
validaremos el Modelo de Seguridad propuesto, y con base en las recomendaciones CobIT e ITIL,
y las normas ISO, se describen a continuación los conceptos de seguridad mínimos que serán
validados en la implementación de dicho modelo.
Se elaboró una matriz con los lineamientos exigidos por la norma ISO 27001 y se buscó
complementarlos con las recomendaciones de las mejores prácticas, puesto que el modelo
propone cubrir la seguridad desde varios aspectos: físicos, lógicos, administrativos y operativos.
Se aplicó la validación de cumplimiento de la matriz elaborada a la Empresa y se presentan los
resultados para cada uno de los rubros definidos.
Se señala en cada aspecto, si la Empresa cuenta o no con el cumplimiento de la recomendación
de seguridad, se hace referencia al procedimiento, instructivo o guía específico donde la Empresa
describe la política de seguridad, su control y supervisión de cumplimiento, o bien se hace la nota
puntual descriptiva de la situación actual, y se incluyen acciones directas a considerar para la
mejora de la seguridad y para dar trámite con la norma. O bien, en casos donde no se cuenta con
evidencia del cumplimiento, se señala la recomendación para la elaboración del procedimiento
respectivo.
Para los casos en los que por alcances de los procesos operativos de la Empresa, no aplique el
rubro, simplemente se marca como No Aplica o NA, y se validará al cierre si este punto debe o no
considerarse dentro del procesos de mejor continua o bien efectivamente queda fuera del alcance
de las funciones de la Empresa.
-98-
6.2.1 Procesos y procedimientos
El resultado de la aplicación de la Matriz para la empresa Net & Services Trantor, es el siguiente:
Plan de Implementación de un Modelo de Seguridad
Matriz de Cumplimiento/Documentos referencia para los Controles de Seguridad de la
Información
Matriz de rubros a considerar para el Modelo de Seguridad propuesto, basado en las normas y
mejores prácticas ISO 27001:2005/ CobIT e ITIL
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
A.5. Política de Seguridad
A.5.1. Política de Seguridad de Información
1
A.5.1.1. Se debe documentar una
política de seguridad de información
La gerencia debe aprobar un documento de política, este se
debe publicar y comunicar a todos los empleados y
entidades externas relevantes.
Aplicación: “Política de seguridad de la Infraestructura TI”.
Publicación en la Intranet de la organización.
2
A.5.1.2. Revisión de la política de
seguridad de la información
La política de la seguridad de la información debe ser
revisada regularmente a intervalos planeados o si ocurren
cambios significativos para asegurar la continua idoneidad,
eficiencia y efectividad.
Aplicación: Se revisa la “Política de seguridad de la
Infraestructura TI” conforme al “Procedimiento de control de
documentos y registros”.
A.6. Organización de la Seguridad de la Información
A.6.1. Organización interna
3
A.6.1.1. Compromiso de la gerencia
con la seguridad de la información
La gerencia debe apoyar activamente la seguridad dentro de
la organización a través de una dirección clara, compromiso
demostrado, asignación explicita y reconocimiento de las
responsabilidades de la seguridad de la información.
-99-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Aplicación: “Política de seguridad de la Infraestructura TI”.
4
A.6.1.2. Coordinación de la
seguridad de información
Las actividades de la seguridad de la información deben ser
coordinadas por representantes de las diferentes partes de
la organización con las funciones y roles laborales
relevantes.
Aplicación: “Descripciones y perfiles de puesto” conforme lo
establece el “Instructivo para la descripción y perfiles de
puestos”.
5
A.6.1.3. Asignación de
responsabilidades de la seguridad
de la información.
Se deben definir claramente las responsabilidades de la
seguridad de la información.
Aplicación: “Descripciones y perfiles de puesto” del
personal involucrado en la seguridad de la información
conforme lo establece el “Instructivo para la descripción y
perfiles de puestos” y la “Política de seguridad de la
Infraestructura TI”.
6
A.6.1.4. Proceso de autorización
para los medios de procesamiento
de información.
Se debe definir e implementar un proceso de autorización
gerencial para los nuevos medios de procesamiento de
información.
Aplicación: “Procedimiento de servicios internos” /
“Procedimiento de atención de requerimientos fuera de
contrato y nuevas propuestas”
7
A.6.1.5. Acuerdos de
confidencialidad.
Se deben identificar y revisar regularmente los
requerimientos de confidencialidad o los acuerdos de no-
divulgación reflejando las necesidades de la organización
para la protección de la información.
Aplicación: “Carta convenio de confidencialidad individual y
actividades desempeñadas con clientes”.
8 A.6.1.6. Contacto con autoridades. Se deben mantener los contactos apropiados con las
-100-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
autoridades relevantes.
Aplicación: Contactos con la Secretaría de Economía
/STPS/CNBV.
9
A.6.1.7. Contacto con grupos de
interés especial.
Se deben mantener contactos apropiados con los grupos de
interés especial u otros foros de seguridad especializados y
asociaciones profesionales.
Aplicación: Acuerdos de Colaboración con organizaciones
como ALAPSI, ISACA, BSI.
10
A.6.1.8. Revisión independiente de
la seguridad de la información.
El enfoque de la organización para manejar la seguridad de
la información y su implementación (es decir, objetivos de
control, controles, políticas, procesos y procedimientos para
la seguridad de la información) se debe revisar
independientemente a intervalos planeados, o cuando
ocurran cambios significativos para la implementación de la
seguridad.
Aplicación: Contratación de organizaciones que realicen
auditorías en ISO 27001:2005 para evaluar el cumplimiento
de los controles de seguridad de la información de forma
imparcial.
A.6.2. Entidades Externas
11
A.6.2.1. Identificación de riesgos
relacionados con entidades
externas.
Se deben identificar los riesgos que corren la información y
los medios de procesamiento de información de la
organización y se deben implementar los controles
apropiados antes de otorgar acceso.
Aplicación: Análisis de riesgos a través de la metodología
MEHARI conforme lo requiere las normas ISO 27001:2005 –
Sistemas de gestión de seguridad de la información y la
BS 25999:2007- Gestión de la continuidad del negocio.
12 A.6.2.2. Tratamiento de la seguridad Se deben tratar todos los requerimientos de seguridad
-101-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
cuando se trabaja con clientes. identificados antes de otorgar a los clientes acceso a la
información o activos de la organización.
Aplicación: “Procedimiento de ventas” / “Procedimiento de
atención de requerimientos fuera de contrato y nuevas
propuestas”.
13
A.6.2.3. Tratamiento de la seguridad
en contratos con terceras personas.
Los acuerdos que involucran acceso, procesamiento,
comunicación o manejo por parte de terceras personas a la
información o los medios de procesamiento de información
de la organización; agregar productos o servicios a los
medios de procesamiento de la información deben abarcar
los requerimientos de seguridad necesarios relevantes.
Aplicación: “Procedimiento de evaluación y control de
proveedores de servicios de TI”.
A.7. Gestión de Activos
A.7.1. Responsabilidad por los activos
14
A.7.1.1. Inventarios de activos. Todos los activos deben estar claramente identificados; y se
deben elaborar y mantener un inventario de todos los activos
importantes.
Aplicación: Programa inventario – para los activos
electrónicos (computadoras, impresoras, faxes, etc)
“Inventario de equipos de medición” – Servicios generales
“Inventario de mobiliario” – Contabilidad
“Cartas custodia” – equipo refacciones de ingenieros de
servicio.
15
A.7.1.2. Propiedad de los activos. Toda la información y los activos asociados con los medios
de procesamiento de la información deben ser “propiedad”
de una parte designada de la organización.
-102-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Aplicación: “Procedimiento de servicios internos”.
16
A.7.1.3. Uso aceptable de los
activos.
Se deben identificar, documentar e implementar las reglas
para el uso aceptable de la información y los activos
asociados con los medios de procesamiento de la
información.
Aplicación: “Procedimiento de servicios internos” / “Política
de seguridad de la Infraestructura TI”.
A.7.2. Clasificación de la Información
17
A.7.2.1. Lineamientos de
clasificación.
La información debe ser clasificada en términos de su valor,
requerimientos legales, confidencialidad y grado crítico para
la organización.
Aplicación: Documento de capacitación “Las 9 acciones
básicas para la seguridad de la información”.
Acción: Clasifica y maneja la información de la Empresa de
servicios y de los clientes correctamente. La clasificación de
la información en:
Confidencial: Toda aquella información que de ser
manejada incorrectamente puede afectar los intereses de la
Empresa de Servicios. Un incidente de seguridad manejando
información CONFIDENCIAL, tendrá el estatus de “muy
grave”. Toda información de los clientes en principio se
considera confidencial, al menos que sea clasificada en otra
categoría, la información financiera, información crítica de los
proyectos, expedientes del personal, reportes de ventas,
indicadores administrativos, estados de cuentas, son
algunos ejemplos de información confidencial.
Privada: Información interna de la organización, áreas,
departamentos, gerencias, proyectos de mejora, etc. Un
incidente de seguridad manejando información PRIVADA,
tendrá el estatus de “mayor”. Toda la información de la
-103-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Intranet, por ejemplo se considera PRIVADA.
Pública: Toda información disponible para el público en
general y que puede ser publicada en cualquiera de los
medios de difusión externos: Publicidad de la Empresa de
Servicios.
18
A.7.2.2. Etiquetado y manejo de la
información.
Se debe desarrollar e implementar un apropiado conjunto de
procedimiento para etiquetar y manejar la información en
concordancia con el esquema de clasificación adoptado por
la organización.
Aplicación: Documento de capacitación “9 acciones básicas
para la seguridad de la información”, etiquetado de la
información sólo la confidencial.
Acción: Clasifica y maneja la información de la Empresa de
servicios y de los clientes correctamente.
Opciones para el etiquetado:
1) En ELECTRÓNICO: Documentos, programas,
presentaciones y registros.
Incluir al final del nombre del archivo, la palabra
confidencial, ejemplo: Reporte de ventas
2009_CONFIDENCIAL y/o;
Poner en el pie de página la leyenda “Documento
CONFIDENCIAL” y/o;
Utilizar la marca de agua con la leyenda
“CONFIDENCIAL”.
Ver listado de programas CONFIDENCIALES (RSP,
COI, NOMINA, ETC).
Para el caso de mails – indicar en asunto
“CONFIDENCIAL” después del título del mail, o
-104-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
bien, al final o principio de la escritura del mail
escribir la leyenda “CONFIDENCIAL”.
2) En FISICO: Documentos, registros, impresiones, CD´s,
DVD´s.
Utilizar el sello de “CONFIDENCIAL”, y sellar el
documento, ya sea por la parte principal o en la
parte de atrás de la hoja.
Almacenar en carpetas donde se señale que es
información CONFIDENCIAL (señalarlo en el lomo
de la carpeta o en cualquier otra parte visible).
Marcar los CD´s y DVD´s con la leyenda
“CONFIDENCIAL”.
A.8. Seguridad de los recursos humanos
A.8.1. Antes del empleo
19
A.8.1.1. Roles y responsabilidades. Se debe definir y documentar los roles y responsabilidades
de seguridad de los empleados, contratistas y terceros en
concordancia con la política de la seguridad de información
de la organización.
Aplicación: “Descripciones y perfiles de puesto” conforme lo
establece el “Instructivo para la descripción y perfiles de
puestos”.
20
A.8.1.2. Selección. Se deben llevar a cabo chequeos de verificación de
antecedentes de todos los candidatos a empleados,
contratistas y terceros en concordancia con las leyes,
regulaciones y ética relevante, y deben ser proporcionales a
los requerimientos comerciales, la clasificación de la
información a la cual se va a tener acceso y los riesgos
percibidos.
Aplicación: “Procedimiento de gestión de los recursos
-105-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
humanos” –
Carta de antecedentes no penales para Ingenieros de
servicio (en aquéllos casos en donde tendrán acceso a
las instalaciones bancarias).
Estudios socioeconómicos para las personas con puestos
de autoridad.
Cartas de recomendación.
Llamadas para pedir referencias personales del personal
que se desea contratar.
21
A.8.1.3. Términos y condiciones de
empleo
Como parte de su obligación contractual; los empleados,
contratistas y terceros deben aceptar y firmar los términos y
condiciones de su contrato de empleo, el cual debe
establecer sus responsabilidades y las de la organización
para la seguridad de la información.
Aplicación: “Procedimiento de gestión de los recursos
humanos”
Contrato de trabajo.
Carta convenio de confidencialidad individual y
actividades desempeñadas con clientes (Documento que
se refiera al tratamiento de la seguridad de la
información)
Expedientes de personal.
A.8.2. Durante el empleo.
22
A.8.2.1. Gestión de
responsabilidades.
La gerencia debe requerir que los empleados, contratistas y
terceros apliquen la seguridad en concordancia con las
políticas y procedimientos establecidos por la organización.
Aplicación: “Procedimiento de gestión de los recursos
-106-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
humanos” .
23
A.8.2.2. Capacitación y educación
en seguridad de la información.
Todos los empleados de la organización y, cuando sean
relevantes, los contratistas y terceros, deben recibir el
apropiado conocimiento, capacitación y actualizaciones
regulares de las políticas y procedimientos organizacionales,
conforme sean relevantes para su función laboral.
Aplicación: “Procedimiento de capacitación” otorgar un
programa de capacitación para los ingenieros de servicio
relacionada a la seguridad de la información.
24
A.8.2.3. Proceso disciplinario. Debe existir un proceso disciplinario formal para los
empleados que han cometido una violación en la seguridad.
Aplicación: “Reglamento interno de trabajo” aplicación de
las “Interacciones administrativas” y “Actas administrativas”.
A.8.3. Terminación o cambio del empleo
25
A.8.3.1. Responsabilidades de
terminación
Se deben definir y asignar claramente las responsabilidades
para realizar la terminación o cambio del empleo.
Aplicación: “Procedimiento de recursos humanos”, contrato
de los trabajadores - estipulados por proyectos.
Responsabilidad de la gerencia de recursos humanos.
26
A.8.3.2. Devolución de activos. Todos los empleados, contratistas y terceros deben devolver
todos los activos de la organización que estén en su
posesión a la terminación de su empleo, contrato o acuerdo.
Aplicación: “Procedimiento de gestión de los recursos
humanos” / “Procedimiento de servicios internos” actividades
de la coordinación de logística operativa – utilización de los
check list de lo que cada ingeniero de servicio tiene –
gerente de personal recoge dicho material al concluir un
contrato.
-107-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
27
A.8.3.3. Eliminación de derechos de
acceso.
Los derechos de acceso de todos los empleados,
contratistas y terceros a la información y medios de
procesamiento de la información deben ser eliminados a la
terminación de su empleo, contrato o acuerdo, o se deben
ajustar al cambio.
Aplicación: “Procedimiento de servicios internos”, incluir el
apartado de políticas lo relacionada a la eliminación de
claves, contraseñas, etc.
A.9. Seguridad física y mental
A.9.1. Áreas seguras
28
A.9.1.1. Perímetro de seguridad
física.
Se deben utilizar perímetros de seguridad (barreras tales
como paredes y puertas de ingreso controlado o
recepcionistas) para proteger áreas que contienen
información y medios de procesamiento de información.
Aplicación: Site debe estar bajo seguro, con puertas y
acceso controlado.
Colocación en el área de servicios internos puerta y cerrarla
bajo llave para evitar el robo de información, así como el
acceso a los sistemas operativos de la Empresa de
servicios.
29
A.9.1.2. Controles de entrada
físicos.
Se deben proteger las áreas seguras mediante controles de
entrada apropiados para asegurar que solo se permita
acceso al personal autorizado.
Aplicación: “Política de acceso a instalaciones”.
30
A.9.1.3. Seguridad de oficinas,
habitaciones y medios.
Se debe diseñar y aplicar seguridad física en las oficinas,
habitaciones y medios.
Aplicación: “Política de protección y vigilancia” –
cumplimiento de las normas oficiales:
-108-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
NOM-001-STPS-1999 - Edificios, locales, instalaciones y
áreas en los centros de trabajo- Condiciones de Seguridad e
Higiene.
NOM-002-STPS-2000 - Condiciones de seguridad,
prevención, protección y combate de incendio en los centros
de trabajo
NOM-018-STPS-2000 - Sistema para la identificación y
comunicación de peligros y riesgos por sustancias químicas
peligrosas en los centro de trabajo.
NOM-019-STPS-2004 - Constitución, organización y
funcionamiento de las comisiones de seguridad e higiene en
los centros de trabajo.
NOM-025-STPS-2005 - Condiciones de iluminación en los
centros de trabajo.
NOM-026-STPS-1998 - Colores y señales de seguridad e
higiene, e identificación de riesgos por fluidos conducidos en
tuberías.
31
A.9.1.4. Protección contra amenazas
externas y ambientales.
Se debe diseñar y aplicar protección física contra daño por
fuego, inundación, terremoto, explosión, disturbios civiles y
otras formas de desastre natural o creado por el hombre.
Aplicación: “Plan de emergencias” - extintores contra
incendios, brigadas de evacuación, primeros auxilios y
contra incendios.
32
A.9.1.5. Trabajo en áreas seguras. Se debe diseñar y aplicar protección física y lineamientos
para trabajar en áreas seguras.
Aplicación: “Política de protección y vigilancia” –
cumplimiento de las normas oficiales:
NOM-001-STPS-1999 - Edificios, locales, instalaciones y
áreas en los centros de trabajo- Condiciones de Seguridad e
-109-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Higiene.
NOM-002-STPS-2000 - Condiciones de seguridad,
prevención, protección y combate de incendio en los centros
de trabajo
NOM-018-STPS-2000 - Sistema para la identificación y
comunicación de peligros y riesgos por sustancias químicas
peligrosas en los centro de trabajo.
NOM-019-STPS-2004 - Constitución, organización y
funcionamiento de las comisiones de seguridad e higiene en
los centros de trabajo.
NOM-025-STPS-2005 - Condiciones de iluminación en los
centros de trabajo.
NOM-026-STPS-1998 - Colores y señales de seguridad e
higiene, e identificación de riesgos por fluidos conducidos en
tuberías.
33
A.9.1.6. Áreas de acceso publico,
entrega y carga.
Se deben controlar los puntos de acceso como las áreas de
entrega y descarga y otros puntos donde personas no-
autorizadas pueden ingresar a los locales, y cuando fuese
posible, se deben aislar de los medios de procesamiento de
la información para evitar un acceso no autorizado.
Aplicación: Site – con acceso controlado – Las áreas de
carga y descarga están limitadas en la parte del
estacionamiento de la organización. No se permite el acceso
de proveedores a las oficinas.
A.9.2. Seguridad del equipo.
34
A.9.2.1. Ubicación y protección del
equipo.
El equipo debe estar ubicado o protegido para reducir los
riesgos de las amenazas y peligros ambientales, y las
oportunidades para el acceso no autorizado.
-110-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Aplicación: Instalaciones de los equipos.
35
A.9.2.2. Servicios públicos. El equipo debe estar protegido de fallas de energía y otras
interrupciones causadas por fallas en los servicios públicos.
Aplicación: Instalación de loa UPS – Renovación,
presentar opciones, tales como: Compra de No-Break para
proteger equipos críticos. Opción de compra de planta de
luz, SOLO PARA EL SITE.
36
A.9.2.3. Seguridad en el cableado. El cableado de la energía y de las telecomunicaciones que
llevan data o sostienen los servicios de información debe ser
protegido de la intercepción o daño.
Aplicación: “Procedimiento de servicios internos”, incluir la
aplicación de revisiones periódicas del estado de cableado
de la Empresa de servicios.
37
A.9.2.4. Mantenimiento de equipo. El equipo debe ser mantenido correctamente para permitir su
continua disponibilidad e integridad.
Aplicación: “Procedimiento de servicios internos” y
“Política de seguridad de la Infraestructura TI” - la
subgerencia de Servicios Internos aplicación de la
mantenimientos correctivos y preventivos. Mantenimientos
preventivos 1 vez al año.
38
A.9.2.5. Seguridad del equipo fuera
del local.
Se debe aplicar seguridad al equipo fuera del local tomando
en cuenta los diferentes riesgos de trabajar fuera del local de
la organización.
Aplicación: Manejo de seguridad de la información
conforme a lo establecido en las “9 acciones básicas para la
seguridad de la información” – Material de capacitación:
Acción: En caso de utilizar lap top, protégela de robos en
todo momento.
-111-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Lap tops cuentan con seguros. Al momento de
transportarla, se elige un back pack.
No se llevan en transporte público, se elige un taxi
de sitio.
En el coche, se transporta en la parte de la cajuela.
Durante viajes en avión, no se documentan.
Utilizar candados para mantener la computadora
segura de ladrones. Se utiliza la misma lógica
cuando se usa el cinturón de seguridad – PROTEGE
Y PREVIENE ¡¡¡¡¡
Se utiliza solamente para asuntos de la
organización; No la lleves contigo a eventos
personales, sí esto pasara, resguárdala en un lugar
seguro, sí te es posible con el candado puesto.
Siempre que transportes tu Laptop asegúrate de
apagarla.
Rregístrala a la entrada de las instalaciones de la
Empresa de servicios conforme a la “Política de
acceso de instalaciones”.
No guardes las contraseñas en el portátil; no
permita al equipo recordar las claves porque de lo
contrario en caso de perderla, la primera persona
que la encuentra podrá ingresar al sistema con sólo
prenderla. Por otro lado, las contraseñas deben ser
lo más complejas posibles que ya obviamente a
mayor simpleza más posibilidades de descifrarlas
hay.
39 A.9.2.6. Eliminación segura o re-uso Todos los ítems de equipo que contengan medios de
almacenaje deben ser chequeado para asegurar que se
-112-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
del equipo. haya removido o sobre-escrito de manera segura cualquier
data confidencial y software con licencia antes de su
eliminación.
Aplicación: “Procedimiento de servicios de laboratorio”
40
A.9.2.7. Traslado de propiedad. Equipos, información o software no deben ser sacados fuera
de la propiedad sin previa autorización.
Aplicación: “Procedimiento de servicios de laboratorio” /
“Procedimiento de servicios de almacén”.
A.10. Gestión de las comunicaciones y operaciones.
A.10.1. Procedimientos y responsabilidades operacionales.
41
A.10.1.1. Procedimientos de
operación documentados.
Se deben documentar y mantener los procedimientos de
operación, y se deben poner a disposición de todos los
usuarios que los necesiten.
Aplicación: FPCC-15-2 “Lista maestra de documentos
internos”
42
A.10.1.2. Gestión de cambio. Se deben controlar los cambios en los medios y sistemas de
procesamiento de la información.
Aplicación: “Procedimiento para la gestión de cambios”
basado en las buenas prácticas ITIL y requerimientos de la
ISO/IEC 20000-1:2005 Sistema de gestión de los
servicios TI requisito 9.2.
43
A.10.1.3. Segregación de deberes. Se deben segregar los deberes y áreas de responsabilidad
para reducir las oportunidades de una modificación no-
autorizada o no-intencionada o un mal uso de los activos de
la organización.
Aplicación: “Descripciones y perfiles de puesto” del
personal involucrado en la seguridad de la información
conforme lo establece el “Instructivo para la descripción y
-113-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
perfiles de puestos”.
44
A.10.1.4. Separación de los medios
de desarrollo y operacionales.
Se deben separar los medios de desarrollo, prueba y
operacionales para reducir los riesgos de accesos no-
autorizados o cambios en el sistema de operación.
Aplicación: “Procedimiento para la gestión de cambios”
basado en las buenas prácticas ITIL y requerimientos de la
ISO/IEC 20000-1:2005 Sistema de gestión de los
servicios TI requisito 9.2.
A.10.2. Gestión de la entrega del servicio de terceros.
45
A.10.2.1. Entrega del servicio. Se debe asegurar que los terceros implementen, operen y
mantengan los controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el contrato de
entrega del servicio de terceros.
Aplicación: “Procedimiento de evaluación y control de
proveedores de servicios de TI”.
46
A.10.2.2. Monitoreo y revisión de los
servicios de terceros.
Los servicios, reportes y registros provistos por terceros
deben ser monitoreados y revisados regularmente, y las
auditorias se deben llevar a cabo regularmente.
Aplicación: “Procedimiento de evaluación y control de
proveedores de servicios de TI” / “Procedimiento de
auditorías internas”.
47
A.10.2.3. Manejar los cambios en los
servicios de terceros.
Se deben manejar los cambios en la provisión de servicios,
incluyendo el mantenimiento y mejoramiento de las políticas,
procedimientos y controles de seguridad existentes, tomando
en cuenta el grado critico de los sistemas y procesos
comerciales involucrados y la re-evaluación de los registros.
Aplicación: “Procedimiento de evaluación y control de
proveedores de servicios de TI” / “Procedimiento de atención
-114-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
de requerimientos fuera de contrato y nuevas propuestas”.
A.10.3. Planeación y aceptación del sistema.
48
A.10.3.1. Gestión de capacidad. Se deben monitorear, afinar y realizar proyecciones del uso
de los recursos para asegurar el desempeño del sistema
requerido.
Aplicación: “Procedimiento de gestión de la capacidad”
basado en las buenas prácticas ITIL y requerimientos de la
ISO/IEC 20000-1:2005 Sistema de gestión de los
servicios TI requisito 6.5.
49
A.10.3.2. Aceptación del sistema. Se deben establecer los criterios de aceptación para los
sistemas de información nuevos, actualizaciones y versiones
nuevas y se deben llevar pruebas adecuadas del(los)
sistema(s) durante su desarrollo y antes de su aceptación.
Aplicación: “Procedimiento para la gestión de cambios”
basado en las buenas prácticas ITIL, incluyendo el proceso
de gestión de las versiones y requerimientos de la ISO/IEC
20000-1:2005 Sistema de gestión de los servicios TI
requisito 9.2.
A.10.4. Protección contra software malicioso y código móvil.
50
A.10.4.1. Controles contra software
malicioso.
Se deben implementar controles de detección, prevención y
recuperación para protegerse de códigos maliciosos y se
deben implementar procedimientos de conciencia
apropiados.
Aplicación: Manejo de seguridad de la información
conforme a lo establecido en las “9 acciones básicas para la
seguridad de la información” – Material de capacitación:
Acción: Asegúrate que recibas las actualizaciones de
antivirus.
-115-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Aplica el “Think before you click”, al momento de
abrir cualquier mail de remitente desconocido o bien,
un archivo adjunto sospechoso de virus de algún
mail enviado por alguien conocido.
Aprende a identificar virus.
Toma responsabilidad en el aseguramiento de tu
sistema, protégelo a través de las actualizaciones
de los antivirus.
Verifica contra virus todos los dispositivos de
almacenamiento portátil antes de ejecutarlos,
aunque solo sea de datos.
No ejecutes programas de origen dudoso.
Detección de virus:
Desconfiguración del (los) sitio(s) web ó se altera ó
reemplaza la pagina principal.
Cuando tengas negación al servicio tanto web como
al servidor. (el servidor puede estar infectado con un
virus o abordado por un intruso).
Los programas comienzan a ocupar más espacio de
lo habitual, ya que el virus al entrar al sistema de
almacena en la memoria RAM.
Aparecen o desaparecen los archivos, ya que los
virus tienden a “colisionar” con otras aplicaciones, lo
que provoca también la aparición de mensajes de
error no comunes.
Cambia el tamaño de un programa o un objeto,
programas que normalmente funcionaban bien,
comienzan a fallar y generar errores durante la
-116-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
sesión.
Aparecen mensajes u objetos extraños en la
pantalla.
Los objetos que se encuentran en la pantalla
aparecen ligeramente distorsionados.
Las operaciones se realizan con más lentitud, ya
que los virus son programas y como tales requieren
de recursos del sistema para funcionar y su
ejecución al ser repetitiva, lleva a un enlentecimiento
y distorsión global de las operaciones.
Se modifican sin razón aparente el nombre de los
ficheros.
No se puede acceder al disco duro.
51
A.10.4.2. Controles contra códigos
móviles.
Cuando se autoriza el uso de un código móvil, la
configuración debe asegurar que el código móvil autorizado
opere de acuerdo a una política de seguridad claramente
definida, y se debe evitar que se ejecute un código móvil no-
autorizado.
Para la configuración aplica lo establecido por el proceso de
la gestión de la configuración de las buenas prácticas de
ITIL.
A.10.5. Respaldo (back-up)
52
A.10.5.1. Back-up o respaldo de la
información.
Se deben realizar copias de back-up o respaldo de la
información comercial y software esencial y se debe probar
regularmente de acuerdo a la política.
Aplicación: Vía Servidor Backup de ASPEL y Aplicaciones
Administrativas (Respaldos programados).
-117-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Documento de capacitación “Las 9 acciones básicas para la
seguridad de la información”
Acción: Asegúrate que la información crítica que manejas
sea respaldada; Diariamente, semanalmente o
quincenalmente, con servicios internos.
Asegúrate respaldar la información crítica.
Recuerda que la perdida de información puede
ocurrir, ya sea; por daño del equipo (disco duro, etc),
borrado accidental, desastre natural (incendio,
sismo, etc), daño en los archivos por un virus y
robos.
El respaldo de la información no es un asunto de
servicios internos solamente, es también un asunto
de la disciplina del personal. Eres responsable de
solicitar los respaldos de tu información ¡¡¡¡¡ .
A.10.6. Gestión de seguridad de redes
53
A.10.6.1. Controles de redes. Las redes deben ser adecuadamente manejadas y
controladas para poderlas proteger de amenazas, y para
mantener la seguridad de los sistemas y aplicaciones
utilizando la red, incluyendo la información en transito.
Aplicación: “Procedimiento de servicios internos” ,
aplicando segmentos de red de IP fijas otorgando permisos
personalizados por grupos de PCs.
54
A.10.6.2. Seguridad de los servicios
de red.
Se deben identificar los dispositivos de seguridad, niveles de
servicio y los requerimientos e incluirlos en cualquier
contrato de servicio de red, ya sea que estos servicios sean
provistos en-casa o sean abastecidos externamente.
Aplicación: “Procedimiento de servicios internos”. Arreglo
-118-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
de Discos en Servidores y Configuración de Servidor
Principal y Backup.
A.10.7. Gestión de los medios
55
A.10.7.1. Gestión de los medios
removibles.
Deben existir procedimientos para la gestión de los medios
removibles.
Aplicación: “Política de seguridad de la infraestructura TI”.
Manejo de seguridad de la información conforme a lo
establecido en las “9 acciones básicas para la seguridad de
la información” – Material de capacitación:
Acción: Dispón y almacena correctamente los medios de
almacenamiento portátiles; CD‟s, DVD‟s, USB´s, Disco duro
externo, información impresa.
Ejemplos de los medios de almacenamiento
portátiles que debemos de proteger en todo
momento:
DVD´s
CD´s
USB´s
Discos duros externos
Mails impresos
Información impresa
Todos los medios de almacenamiento
portátiles con información crítica deben ser
puestos bajo llave, en caso de que no se
utilicen.
56 A.10.7.2. Eliminación de medios. Los medios deben ser eliminados utilizando procedimientos
formales y de una manera segura cuando ya no se les
-119-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
requiere.
Aplicación: “Política de seguridad de la infraestructura TI” /
“Procedimiento de servicios internos”.
57
A.10.7.3. Procedimiento de manejo
de la información.
Se deben establecer los procedimientos para el manejo y
almacenaje de la información para proteger dicha
información de una divulgación no autorizada o un mal uso.
Aplicación: “Política de seguridad de la infraestructura TI” /
“Procedimiento de servicios internos”. Inicio con la Intraweb
al separar las carpetas en pública, privada y confidencial, se
va a extender a la intranet. Para los sistemas administrativos
tales como ASPEL, Control de Pedidos y Dystick se otorgan
los accesos por usuario y contraseña, además que por parte
de RH se firma una carta de confidencialidad de la
información.
58
A.10.7.4. Seguridad de
documentación del sistema.
Se debe proteger la documentación de un acceso no
autorizado.
Aplicación: “Política de seguridad de la infraestructura TI” /
“Procedimiento de servicios internos”.
A.10.8. Intercambio de la información.
59
A.10.8.1. Procedimientos y políticas
de información y software.
Se deben establecer políticas, procedimientos y controles de
intercambio formales para proteger el intercambio de
información a través del uso de todos los tipos de medios de
comunicación.
Aplicación: “Procedimiento de ventas” / “Procedimiento de
atención de requerimientos fuera de contrato y nuevas
propuestas” / “Política de seguridad de la infraestructura TI”.
60 A.10.8.2. Acuerdos de intercambio. Se deben establecer acuerdos para el intercambio de
información y software entre la organización y entidades
-120-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
externas.
Aplicación: “Procedimiento de ventas” / “Procedimiento de
atención de requerimientos fuera de contrato y nuevas
propuestas” / “Política de seguridad de la infraestructura TI”.
61
A.10.8.3. Medios físicos en transito. Los medios que contienen información deben ser protegidos
contra un acceso no-autorizado, mal uso o corrupción
durante el transporte más allá de los límites físicos de una
organización.
Aplicación: “Procedimiento de servicios de laboratorio” /
“Procedimiento de servicios de almacén” / “Procedimiento de
servicios de mensajería y distribución”.
62
A.10.8.4. Mensajes electrónicos. Se deben proteger adecuadamente los mensajes
electrónicos.
Aplicación: Cada cuenta de correo queda protegido con
usuario y contraseña.
63
A.10.8.5. Sistemas de información
comercial.
Se deben desarrollar e implementar políticas y
procedimientos para proteger la información asociada con la
interconexión de los sistemas de información comercial.
Aplicación: “Política de seguridad de la infraestructura TI”.
A.10.9. Servicios de comercio electrónico.
64
A.10.9.1. Comercio electrónico. Se debe proteger la información involucrada en el comercio
electrónico que se transmite a través de redes públicas de
cualquier actividad fraudulenta, disputa contractual y
divulgación y modificación no autorizada.
Aplicación: Solo el administrador de sitio web, cuanta con el
usuario y contraseña para acceso al ftp de la Empresa de
servicios.
65 A.10.9.2. Transacciones en línea. Se debe proteger la información involucrada en las
-121-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
transacciones en línea para evitar la transmisión incompleta,
rutas equivocadas, alteración no autorizada de mensaje,
divulgación no autorizada, y duplicación o re-envió no
autorizado del mensaje.
Aplicación: “Política de seguridad de la infraestructura TI”.
66
A.10.9.3. Información disponible
públicamente.
Se debe proteger la integridad de la información disponible
públicamente para evitar la modificación no autorizada.
Aplicación: Existen 2 publicaciones de la Empresa de
servicios en la web, la página web y la Intraweb, y en la
página web solo se muestra información comercial para
venta de servicios y en la intraweb está protegida por usuario
y contraseña.
A.10.10. Monitoreo
67
A.10.10.1. Registro de auditoria. Se deben producir registro de las actividades de auditoria,
excepciones y eventos de seguridad de la información y se
deben mantener durante un periodo acordado para ayudar
en investigaciones futuras y monitorear el control de acceso.
Aplicación: “Procedimiento de servicios internos”. Se
realizan monitoreos aleatorios sobre la consulta en web,
descargas aplicativas abiertas.
68
A.10.10.2. Uso del sistema de
monitoreo.
Se deben establecer procedimiento para monitorear el uso
de los medios de procesamiento de información y el
resultado de las actividades de monitoreo se debe revisar
regularmente.
Aplicación: “Procedimiento de servicios internos”.
69
A.10.10.3. Protección de la
información del registro.
Se deben proteger los medios de registro y la información
del registro contra alteraciones acceso no autorizado.
Aplicación: Los accesos son en todos los casos por usuario
-122-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
y contraseña.
70
A.10.10.4. Registros del
administrador y operador.
Se deben registrar las actividades del administrador y
operador del sistema.
Aplicación: “Procedimiento de help desk y soporte a 1er
Nivel”. Quedan registradas en los tickets Dystick y son
presentadas en los indicadores y reportes a la Direcciones
de la Empresa de servicios.
71
A.10.10.5. Registro de fallas. Las fallas se deben registrar, analizar y se deben tomar la
acción apropiada.
Aplicación: “Procedimiento de servicios internos” /
“Procedimiento de Help Desk y soporte a 1er nivel”.
72
A.10.10.6. Sincronización de relojes. Los relojes de los sistemas de procesamiento de información
relevantes de una organización o dominio de seguridad
deben estar sincronizados con una fuente de tiempo exacta
acordada.
Aplicación: Todos los equipos PC, que se encuentran
dentro del dominio de la Empresa de servicios y quedan
sincronizados por política de usuario con el servidor de
dominio.
A.11. Control de acceso
A.11.1. Requerimiento comercial para el control del acceso.
73
A.11.1.1. Política de control de
acceso.
Se debe establecer, documentar y revisar la política de
control de acceso en base a los requerimientos de seguridad
y comerciales.
Aplicación: “Política de seguridad de la infraestructura TI”.
A.11.2. Gestión del acceso del usuario.
74 A.11.2.1. Inscripción del usuario. Debe existir un procesamiento formal para la inscripción y
-123-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
des-inscripción para otorgar acceso a todos los sistemas y
servicios de información.
Aplicación: “Procedimiento de servicios internos”.
75
A.11.2.2. Gestión de privilegios. Se debe restringir y controlar la asignación y uso de los
privilegios.
Aplicación: “Procedimiento de servicios internos”.
76
A.11.2.3. Gestión de la clave del
usuario.
La asignación de claves se debe controlar a través de un
proceso de gestión formal.
Aplicación: “Procedimiento de servicios internos”.
77
A.11.2.4. Revisión de los derechos
de acceso del usuario.
La gerencia debe revisar los derechos de acceso de los
usuarios a intervalos regulares utilizando un proceso formal.
Aplicación: “Procedimiento de servicios internos”
A.11.3. Responsabilidades del usuario.
78
A.11.3.1. Uso de clave. Se debe requerir que los usuarios sigan buenas prácticas de
seguridad en la selección y uso de claves.
Aplicación: “Procedimiento de servicios internos”. Manejo
de seguridad de la información conforme a lo establecido en
las “9 acciones básicas para la seguridad de la información”
– Material de capacitación:
Acción: Protege tus contraseñas y cualquier otra credencial
de acceso; Usa contraseña de inicio al encender tu equipo.
Lo que SI debo hacer:
• Cambia tu contraseña cada 3 meses.
• Selecciona contraseñas complejas, pero que sean
fáciles de recordar.
• Usa diferentes contraseñas para los diferentes
-124-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
sistemas y/o aplicaciones.
• Reporta cualquier sospecha de robo de contraseña
a servicios internos.
• Elige contraseñas alfanuméricas, mezclando
MAYUSCULAS Y minúsculas.
Lo que NO debo hacer:
• No compartas tus contraseñas.
• No utilices la opción “save password” en cualquier
aplicación.
• No divulgues tu contraseña.
• No utilices información personal al momento de
establecer tu contraseña, como tu nombre, nombre
de hijos, apodos, fecha de nacimiento, número de
licencia, CURP, etc.
• No utilices símbolos para sustituir letras, por
ejemplo: $@nch3z.
79
A.11.3.2. Equipo de usuario
desatendido.
Se debe requerir que los usuarios se aseguren de dar la
protección adecuada al equipo desatendido.
Aplicación: Manejo de seguridad de la información
conforme a lo establecido en las “9 acciones básicas para la
seguridad de la información” – Material de capacitación.
80
A.11.3.3. Política de pantalla y
escritorio limpio.
Se debe adoptar una política de escritorio limpio para los
documentos y medios de almacenaje removibles y una
política de pantalla limpia para los medios de procesamiento
de la información.
Aplicación: “Política de seguridad de la infraestructura TI”.
-125-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
A.11.4. Control de acceso a redes.
81
A.11.4.1. Política sobre el uso de
servicios de redes.
Los usuarios solo deben tener acceso a los servicios para
los cuales han sido específicamente autorizados a usar.
Aplicación: “Política de seguridad de la infraestructura TI”.
82
A.11.4.2. Autenticación del usuario
para conexiones externas.
Se debe utilizar medios de autenticación para controlar el
acceso de usuarios remotos.
Aplicación: “Política de seguridad de la infraestructura TI”.
83
A.11.4.3. Identificación del equipo
en red.
Se debe considerar la identificación automática del equipo
como un medio para autenticar las conexiones desde
equipos y ubicaciones especificas.
Aplicación: “Política de seguridad de la infraestructura TI”.
84
A.11.4.4. Protección del puerto de
diagnostico remoto.
Se debe controlar el acceso físico y lógico a los puertos de
diagnostico y configuración.
Aplicación: “Política de seguridad de la infraestructura TI”.
85
A.11.4.5. Segregación en redes. Los servicios de información, usuarios y sistemas de
información se deben segregar en las redes.
Aplicación: “Política de seguridad de la infraestructura TI”.
86
A.11.4.6. Control de conexiones de
redes.
Se debe restringir la capacidad de conexión de los usuarios
en las redes compartidas, especialmente aquellas que se
extienden a través de los límites organizacionales, en
concordancia con la política de control de acceso y los
requerimientos de las aflicciones comerciales.
Aplicación: “Política de seguridad de la infraestructura TI”.
87
A.11.4.7. Control de “routing” de
redes.
Se deben implementar controles “routing” para las redes
para asegurar que las conexiones de cómputo y los flujos de
información no infrinjan la política de control de acceso de
-126-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
las aplicaciones comerciales.
Aplicación: “Política de seguridad de la infraestructura TI”.
A.11.5. Control de acceso al sistema de operación.
88
A.11.5.1. Procedimiento de registro
en el terminal.
Se debe controlar el acceso a los servicios operativos
mediante un procedimiento de registro seguro.
Aplicación: “Procedimiento de servicios internos”.
89
A.11.5.2. Identificación y
autentificación y autenticación del
usuario.
Todos los usuarios deben tener un identificador singular (ID
de usuario) para su uso personal y exclusivo, se debe elegir
una técnica de autenticación adecuada para identificar la
identidad del usuario.
Aplicación: “Procedimiento de servicios internos”.
90
A.11.5.3. Sistema de gestión de
claves.
Los sistemas de manejo de claves deben ser interactivos y
deben asegurar la calidad de las claves.
Aplicación: “Procedimiento de servicios internos”. Manejo
de seguridad de la información conforme a lo establecido en
las “9 acciones básicas para la seguridad de la información”
– Material de capacitación:
Acción: Protege tus contraseñas y cualquier otra credencial
de acceso; Usa contraseña de inicio al encender tu equipo.
Lo que SI debo hacer:
• Cambia tu contraseña cada 3 meses.
• Selecciona contraseñas complejas, pero que sean
fáciles de recordar.
• Usa diferentes contraseñas para los diferentes
sistemas y/o aplicaciones.
• Reporta cualquier sospecha de robo de contraseña
-127-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
a servicios internos.
• Elige contraseñas alfanuméricas, mezclando
MAYUSCULAS Y minúsculas.
Lo que NO debo hacer:
• No compartas tus contraseñas.
• No utilices la opción “save password” en cualquier
aplicación.
• No divulgues tu contraseña.
• No utilices información personal al momento de
establecer tu contraseña, como tu nombre, nombre
de hijos, apodos, fecha de nacimiento, número de
licencia, CURP, etc.
No utilices símbolos para sustituir letras, por ejemplo:
$@nch3z.
91
A.11.5.4. Uso de utilidades del
sistema.
Se debe restringir y controlar estrictamente el uso de los
programas de utilidad que podrían superar al sistema y los
controles de aplicación.
Aplicación: “Procedimiento de servicios internos”.
92
A.11.5.5. Sesión inactiva. Las sesiones inactivas deben cerrarse después de un
periodo de inactividad definido.
Aplicación: “Procedimiento de servicios internos”.
93
A.11.5.6. Limitación de tiempo de
conexión.
Se debe utilizar restricciones sobre los tiempos de conexión
para proporcionar seguridad adicional a las aplicaciones de
alto riesgo.
Aplicación: “Procedimiento de servicios internos” / “Política
de seguridad de la infraestructura TI”.
-128-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
A.11.6. Control de acceso a la aplicación e información.
94
A.11.6.1. Restricción al acceso a la
información.
Se debe restringir el acceso de los usuarios y personal de
soporte al sistema de información y aplicación en
concordancia a la política de control de acceso definida.
Aplicación: “Procedimiento de servicios internos” / “Política
de seguridad de la infraestructura TI”.
95
A.11.6.2. Aislamiento del sistema
sensible.
Los sistemas sensibles deben tener un ambiente de cómputo
adecuado (aislado).
Aplicación: “Procedimiento de servicios internos” / “Política
de seguridad de la infraestructura TI”.
A.11.7. Computación móvil y tele-trabajo.
96
A.11.7.1. Computación móvil y
comunicaciones.
Se debe establecer una política formal y adoptar las medidas
de seguridad apropiadas para proteger contra los riesgos de
utilizar medios de computación y comunicación móviles.
Aplicación: “Política de seguridad de la infraestructura TI”.
97
A.11.7.2. Tele-trabajo. Se deben desarrollar e implementar políticas, planes
operacionales y procedimientos para actividades de tele-
trabajo.
Aplicación: “Política de seguridad de la infraestructura TI”.
A.12. Adquisición, desarrollo y mantenimiento de los sistemas de información.
A.12.1. Requerimientos de seguridad de los sistemas.
98
A.12.1.1. Análisis y especificaciones
de los requerimientos de seguridad.
Los enunciados de los requerimientos comerciales para
sistemas nuevos, o mejorar los sistemas existentes deben
especificar los requerimientos de los controles de seguridad.
Aplicación: “Procedimiento de atención de requerimientos
fuera de contrato y nuevas propuestas” / “Procedimiento
-129-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
para la gestión de ambios”.
A.12.2. Procesamiento correcto en las aplicaciones.
99
A.12.2.1. Validación de data de
insumo.
El insumo de data en las aplicaciones debe ser validado para
asegurar que esta data sea correcta y apropiada.
Aplicación: “Procedimiento de servicios internos”.
10
0
A.12.2.2. Control de procesamiento
interno.
Se deben incorporar chequeos de validación en las
aplicaciones para detectar cualquier corrupción de la
información a través de errores de procesamiento o actos
deliberados.
Aplicación: “Procedimiento de servicios internos”.
10
1
A.12.2.3. Integridad del mensaje. Se deben identificar los requerimientos para asegurar la
autenticidad y protección de la integridad del mensaje en las
aplicaciones, y se deben identificar e implementar los
controles adecuados.
Aplicación: “Procedimiento de servicios internos”.
10
2
A.12.2.4. Validación de data de
output.
Se debe validar el output de data de una aplicación para
asegurar que le procesamiento de la información
almacenada sea correcto y apropiado para las
circunstancias.
Aplicación: “Procedimiento de servicios internos”.
A.12.3. Controles criptográficos
10
3
A.12.3.1. Política sobre el uso de
controles criptográficos.
Se debe desarrollar e implementar una política sobre el uso
de controles criptográficos para la protección de la
información.
NA
10 A.12.3.2. Gestión clave. Se debe utilizar una gestión clave para dar soporte al uso de
-130-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
4 las técnicas de criptografía en la organización.
NA
A.12.4. Seguridad de los archivos del sistema.
10
5
A.12.4.1. Control de software
operacional.
Se debe contar con procedimientos para controlar la
instalación de software en los sistemas operacionales.
Aplicación: Procedimiento de servicios internos”.
10
6
A.12.4.2. Protección de la data de
prueba del sistema.
Se debe seleccionar cuidadosamente, proteger y controlar la
data de prueba.
Aplicación: Procedimiento de servicios internos”.
10
7
A.12.4.3. Control de acceso al
código fuente del programa.
Se debe restringir el acceso al código fuente del programa.
Aplicación: Procedimiento de servicios internos”.
A.12.5. Seguridad en los procesos de desarrollo y soporte.
10
8
A.12.5.1. Procedimientos de control
de cambio.
La implementación de cambios se debe controlar mediante
el uso de procedimientos formales de control de cambios.
Aplicación: “Procedimiento para la gestión de cambios”
basado en las buenas prácticas ITIL, incluyendo el proceso
de gestión de las versiones y requerimientos de la ISO/IEC
20000-1:2005 Sistema de gestión de los servicios TI
requisito 9.2.
10
9
A.12.5.2. Revisión técnica de las
aplicaciones después de cambios en
el sistema operativo.
Cuando se cambien los sistemas operativos, se deben
revisar y aprobar las aplicaciones críticas del negocio para
asegurar que no exista un impacto adverso en las
operaciones o seguridad organizacional.
Aplicación: “Procedimiento para la gestión de cambios”
basado en las buenas prácticas ITIL, incluyendo el proceso
de gestión de las versiones y requerimientos de la ISO/IEC
20000-1:2005 Sistema de gestión de los servicios TI
-131-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
requisito 9.2.
11
0
A.12.5.3. Restricciones sobre los
cambios en los paquetes de
software.
No se deben fomentar las modificaciones a los paquetes de
software, se deben limitar a los cambios necesarios y todos
los cambios deben ser controlados estrictamente.
Aplicación: “Procedimiento para la gestión de cambios”
basado en las buenas prácticas ITIL, incluyendo el proceso
de gestión de las versiones y requerimientos de la ISO/IEC
20000-1:2005 Sistema de gestión de los servicios TI
requisito 9.2.
11
1
A.12.5.4. Filtración de información. Se deben evitar las oportunidades de filtraciones en la
información.
Aplicación: : “Política de seguridad de la infraestructura TI”.
11
2
A.12.5.5. Desarrollo de outsourced
software.
El desarrollo de software que ha sido outsourced debe ser
supervisado y monitoreado por la organización.
No Aplica
A.12.6. Gestión de vulnerabilidad técnica.
11
3
A.12.6.1. Control de vulnerabilidades
técnicas.
Se debe obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de información en
uso; se debe evaluar la exposición de la organización ante
esas vulnerabilidades; y se deben tomar las medidas
apropiadas para tratar el riesgo asociado.
Aplicación: Análisis de riesgos y detección de
vulnerabilidades a través de la metodología MEHARI.
A.13. Gestión de incidentes en la seguridad de la información.
A.13.1. Reporte de eventos y debilidades en la seguridad de la información.
11A.13.1.1. Reporte de eventos en la Los eventos de la seguridad de la información deben
reportarse a través de los canales gerenciales apropiados lo
-132-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
4 seguridad de la información. más rápidamente posible.
Aplicación: “Procedimiento de servicios internos” /
“Procedimiento de Help Desk y soporte a 1er nivel”.
11
5
A.13.1.2. Reporte de debilidades en
la seguridad.
Se debe requerir que todos los empleados, contratistas y
terceros usuarios de los sistemas y servicios de información
tomen nota y reporten cualquier debilidad observada o
sospechada en la seguridad de los sistemas o servicios.
Aplicación: “Procedimiento de servicios internos” /
“Procedimiento de Help Desk y soporte a 1er nivel”.
A.13.2. Gestión de incidentes y mejoras en la seguridad de la información.
11
6
A.13.2.1. Responsabilidades y
procedimientos.
Se deben establecer las responsabilidades y procedimientos
gerenciales para asegurar una respuesta rápida, efectiva y
ordenada a los incidentes de seguridad de la información.
Aplicación: “Procedimiento de servicios internos” /
“Procedimiento de Help Desk y soporte a 1er nivel”.
11
7
A.13.2.2. Aprendizaje de los
incidentes en la seguridad de la
información.
Deben existir mecanismos para permitir cuantificar y
monitorear los tipos, volúmenes y costos de los incidentes en
la seguridad de la información.
Aplicación: “Procedimiento de servicios internos”.
11
8
A.13.2.3. Recolección de evidencias. Cuando la acción de seguimiento contra una persona u
organización después de un incidente en la seguridad de la
información involucra una acción legal (sea civil o criminal),
se debe recolectar, mantener y presentar evidencia para
cumplir las reglas de evidencia establecidas en la(s)
jurisdicción(es) relevantes.
A.14. Gestión de la continuidad comercial.
-133-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
A.14.1. Aspectos de la seguridad de la información de la gestión de la continuidad comercial.
11
9
A.14.1.1 Incluir seguridad de la
información en el proceso de gestión
de continuidad comercial.
Se debe desarrollar y mantener un proceso gerencial para la
continuidad del negocio a través de toda la organización
para tratar los requerimientos de seguridad de la información
necesarios para la continuidad comercial de la organización.
Aplicación: “Procedimiento de gestión de la continuidad de
los servicios TI”, aplicando los lineamientos de la norma BS
25999:2007- Gestión de la continuidad del negocio.
12
0
A.14.1.2. Continuidad comercial y
evaluación del riesgo.
Se deben identificar los eventos que causan interrupciones
en los procesos comerciales, junto con la probabilidad e
impacto de dichas interrupciones y sus consecuencias para
la seguridad de la información.
Aplicación: “Procedimiento de gestión de la continuidad de
los servicios TI”, aplicando los lineamientos de la norma BS
25999:2007- Gestión de la continuidad del negocio.
12
1
A.14.1.3. Desarrollar e implementar
planes de continuidad incluyendo
seguridad de la información.
Se deben desarrollar e implementar planes para mantener o
restaurar las operaciones y asegurar la disponibilidad de la
información en el nivel requerido y en las escalas de tiempo
requeridas después de la interrupción o fallas en los
procesos comerciales críticos.
Aplicación: “Procedimiento de gestión de la continuidad de
los servicios TI”, aplicando los lineamientos de la norma BS
25999:2007- Gestión de la continuidad del negocio.
12
2
A.14.1.4. Marco referencial para la
planeación de la continuidad
comercial.
Se debe mantener un solo marco referencial de planes de
continuidad comercial para asegurar que todos los planes
sean consistentes y para tratar consistentemente los
requerimientos de la seguridad de la información e identificar
las prioridades de prueba y mantenimiento.
Aplicación: “Procedimiento de gestión de la continuidad de
los servicios TI”, aplicando los lineamientos de la norma BS
-134-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
25999:2007- Gestión de la continuidad del negocio.
12
3
A.14.1.5. Prueba, mantenimiento y
re-evaluación de planes de
continuidad comercial.
Los planes de continuidad comercial se deben probar y
actualizar regularmente para asegurar que estén
actualizados y sean efectivos.
Aplicación: “Procedimiento de gestión de la continuidad de
los servicios TI” ”, aplicando los lineamientos de la norma BS
25999:2007- Gestión de la continuidad del negocio /
“Procedimiento para la gestión de cambios” / “Procedimiento
de control de documentos y registros”.
A.15. Cumplimiento
A.15.1. Cumplimiento con requerimientos legales.
12
4
A.15.1.1Identificación de legislación
aplicable.
Se deben definir explícitamente, documentar y actualizar
todos los requerimientos estatutarios, reguladores y
contractuales y el enfoque de la organización relevante para
cada sistema de información y la organización.
Aplica: “Procedimiento para la identificación y evaluación de
la legislación”.
12
5
A.15.1.2. Derechos de propiedad
intelectual (IPR).
Se deben implementar los procedimientos apropiados para
asegurar el cumplimiento de los requerimientos legislativos,
reguladores y contractuales sobre el uso de material con
respecto a los derechos de propiedad intelectual y sobre el
uso de los productos de software patentados.
Aplica: “Procedimiento para la identificación y evaluación de
la legislación”.
12
6
A.15.1.3. Protección de los registros
organizacionales.
Se deben proteger los registros importantes de una
organización de pérdida, destrucción y falsificación, en
concordancia con los requerimientos estatutarios,
reguladores, contractuales y comerciales.
-135-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
Aplica: “Procedimiento de control de documentos y
registros”.
12
7
A.15.1.4. Protección de data y
privacidad de información personal.
Se deben asegurar la protección y privacidad tal como se
requiere en la legislación relevante, las regulaciones y, si
fuese aplicable, las cláusulas contractuales.
Aplica: “Procedimiento para la identificación y evaluación de
la legislación”.
12
8
A.15.1.5. Prevención de mal uso de
medios de procesamiento de
información.
Se debe desanimar a los usuarios de utilizar los medios de
procesamiento de la información para propósitos no
autorizados.
Aplica: “Procedimiento de recursos humanos” – Actas
administrativas.
12
9
A.15.1.6. Regulación de controles
criptográficos.
Se deben utilizar controles en cumplimiento con los
acuerdos, leyes y regulaciones relevantes.
No aplica.
A.15.2. Cumplimiento con las políticas y estándares de seguridad, y el cumplimiento técnico.
13
0
A.15.2.1. Cumplimiento con las
políticas y estándares de seguridad.
Los gerentes deben asegurar que todos los procedimientos
de seguridad dentro de su área de responsabilidad sean
realizados correctamente en cumplimiento con las políticas y
estándares de seguridad.
Aplicación: “Procedimiento de auditorías internas” /
Auditorías basados en los controles de CobIT.
13
1
A.15.2.2. Chequeo de cumplimiento
técnico.
Los sistemas de información deben chequearse
regularmente para el cumplimiento con los estándares de
implementación de la seguridad.
Aplicación: “Procedimiento de auditorías internas” /
Auditorías basados en los controles de CobIT.
-136-
No. Requisitos Medida de Control Evidencia del Control/Documento
de Referencia
A.15.3. Consideraciones de auditoría de los sistemas de información.
13
2
A.15.3.1. Controles de auditoría de
sistemas de información.
Se deben planear cuidadosamente los requerimientos y
actividades de las auditorias que involucran chequeo de los
sistemas operacionales y se debe acordar minimizar el
riesgo de interrupciones en los procesos comerciales.
Aplicación: “Procedimiento de auditorías internas” /
Auditorías basados en los controles de CobIT.
13
3
A.15.3.2. Protección de las
herramientas de auditoría de los
sistemas de información.
Se debe proteger el acceso a las herramientas de auditoría
de los sistemas de información para evitar cualquier mal uso
o compromiso posible.
Aplicación: “Procedimiento de auditorías internas” /
Auditorías basados en los controles de CobIT.
6.2.2 Herramientas de software
Para efectos de la implementación de nuestro modelo, la Empresa cuenta actualmente con una
herramienta donde integra los servicios de Mesa de Servicio –Service Desk, y los de Monitoreo y
seguimiento. Basados en los aspectos de seguridad que evaluamos en la matriz anterior, vemos
que cumple satisfactoriamente.
La herramienta con la que opera la Empresa (Dystick) es una mesa de ayuda para el seguimiento y
control de eventos, con un fuerte enfoque y especialización hacia el soporte y mantenimiento de
redes, sistemas, servidores y aplicaciones.
Permite el seguimiento completo de cualquier incidente, desde la apertura hasta el cierre,
garantizando el cumplimiento de los niveles de servicio acordados; ya sea enviando notificaciones
oportunas mediante correo electrónico a las personas encargadas, realizando encuestas de
satisfacción de usuario, ó generando reportes.
Cumple con los siguientes requerimientos de seguridad:
Acceso vía web y abierto para cualquier navegador, no requiere instalar ningún programa o plugin
especifico, y puede ser accesado desde cualquier parte del mundo.
-137-
Basado en tecnologías de Servidor de Aplicaciones Empresarial, garantiza: Alta seguridad y alto
desempeño, disponibilidad y escalabilidad.
Cumple con todos los requisitos de un Servidor de Aplicaciones Empresarial, resistencia a
ataques de red, encriptación, etc.
Acceso únicamente de personal autorizado, los cuales pueden ser manejados desde un
LDAP.
Su código fuente cumple con las especificaciones de Java2EE, lo cual le asegura
resistencia a ataques en código.
Configurable: Manejo de opciones completas de configuración por los requerimientos definidos
por los usuario, como son: Los catálogos, las etapas ó ciclo de vida que debe seguir un evento, los
niveles de servicio (incluyendo calendarios para días festivos y los horarios de atención por día de
la semana) y los usuarios autorizados para registro, consulta y elaboración de reportes
Manejo de múltiples perfiles de acceso: Permite la definición de perfiles a los cuales se les
permite ó no ver partes de la aplicación o realizar determinadas acciones: administrador,
supervisor, agente, operativo, cliente.
Seguimiento completo y control de eventos: Facilita el control total de la historia de las etapas y
el tiempo en cada una de ellas, los comentarios de todos los involucrados. Asimismo, permite
enviar notificaciones por correo, por ejemplo, que un ticket le ha sido asignado a un Ingeniero de
campo, o que un evento tiene un porcentaje de tiempo dado en base al nivel de servicio asignado
hacia los responsables.
Encuesta de satisfacción: En el proceso de cierre de un ticket obliga que el usuario final llene una
encuesta de satisfacción vía WEB. Se cuenta con reportes de las encuestas, para saber, por
ejemplo, la opinión desde el punto de vista usuario final de la calidad del servicio recibido en un
mes, en determinada sucursal.
Reportes: Permite la generación de reportes predefinidos, por periodo, estado de los tickets.
Permite exportarlos a formatos Excel, PDF y Word. Permite crear reportes customizados de
acuerdo a las necesidades especificas del cliente.
Sobre el cumplimiento de las funciones generales de la herramienta
1. Acceso vía web a través de cualquier navegador.
2. Función de uso independiente del Sistema Operativo.
3. Seguridad de acceso utilizando un servidor de aplicaciones
-138-
4. Cuenta con una Interfaz gráfica amigable.
5. Alta, modificación y eliminación de registros en cada uno de los catálogos que forman
el menú.
6. Creación de ticket capturando información general tal como, nombre del usuario,
detalle de falla, localización del lugar donde se localiza la falla.
7. Modificación de información del evento aun cuando este se encuentre activo.
8. Identificación del evento por medio de una ID única para cada ticket.
9. Ventana de tiempo de sesión configurable de acuerdo a la necesidad del cliente,
representada por medio de un cronómetro en pantalla.
10. Asignación del evento a personal de campo
11. Especificación de estatus del evento (abierto, en atención, pendiente, cerrado) con la
ventaja de poder aumentarlos de acuerdo a las necesidades.
12. Generación de reportes predefinidos utilizando periodos de tiempo específicos.
En la especificación de registro, seguimiento y control de tickets, cumple con:
Ventanas de tiempo de atención (nivel de servicio) definidas para cada cliente;
especificando diferentes horarios para cada tipo de atención
Las ventanas de tiempo son apoyadas por la creación de un calendario laboral especifico
para cada cliente y tipo de atención, la funcionalidad básica se centra no solamente en el
ciclo de vida de del ticket (apertura, seguimiento y cierres) La gestión de los eventos
(tickets) se basa en la transición a través de estatus previamente definidos y la secuencia
entre cada uno de ellos.
Envío de alertas vía correo electrónico activadas por los siguientes eventos:
Se asigna el evento a un usuario registrado en la aplicación, con copia a su jefe
inmediato.
Termina el evento o a la cancelación del mismo, tanto al personal asignado como a su
jefe inmediato.
Notificaciones que indiquen el avance del ciclo de vida del ticket (al 50%, 75% y 100%)
de acuerdo a la ventana de tiempo total asignado al nivel del servicio del cual depende
el ticket registrado.
-139-
Notificaciones con un espacio de tiempo configurable indicando la expiración del
estatus en el que se encuentra el evento.
Indicadores en pantalla con la duración del evento, tomando en cuenta calendario
laboral y tiempo y nivel de servicio asignado (ventana de tiempo)
Indicadores en pantalla visualizado como una tabla con la trama del evento, estatus
porque ha pasado, duración en cada estatus y responsable de la operación por
estatus.
Campos para capturar información adicional que pueda ser relevante para el
seguimiento del evento.
6.3 Medición de resultados
De manera general se percibe que el Modelo de Seguridad propuesto, puede y debe por él mismo,
someterse al proceso de mejora continua, puesto que vemos que hay temas importantes que no
fueron considerados en este primer alcance, asociados principalmente a temas de Continuidad y la
gestión del Cambio. Además de rubros propuestos en las mejores prácticas, tales como ITIL
versión 3 y CobIT, que pueden enriquecer la visión y alcance del modelo.
Por otro lado se hizo un énfasis en el tema de documentación y evidencias, y en algunos
momentos, se percibió que esto no agregaba tanto valor como se había considerado, es más hasta
se dudó de que fuera correcto exigir tantos documentos y evidencias, evidentemente con la falta de
aplicación y seguimiento de las medidas de control correspondientes.
6.3.1 Validación de la Operación
De manera resumida y con base en los resultados que arrojó la aplicación de la matriz del modelo,
se considera que la Empresa evaluada, Net & Services Trantor, cuenta con un nivel de Medio a
Satisfactorio en lo referente a temas de Seguridad de la Información.
A continuación se presenta el cuadro de evaluación de cumplimiento del los aspectos definidos en
el Modelo de Seguridad:
-140-
Resultados de la aplicación del Modelo de Seguridad
A la Empresa Net & Services Trantor
DOMINIO CUMPLIMIENTO
Política de Seguridad Medio
Política de Seguridad de Información Medio - Falta difusión
Organización de la Seguridad de la Información Satisfactorio
Organización interna Satisfactorio
Entidades Externas Satisfactorio – Revisar para mejora
Gestión de Activos Satisfactorio
Responsabilidad por los activos Satisfactorio
Clasificación de la Información Satisfactorio
Seguridad de los recursos humanos Satisfactorio
Antes del empleo Satisfactorio
Durante el empleo. Medio – Falta difusión
Terminación o cambio del empleo Satisfactorio – Revisar para mejora
Seguridad física y mental Medio
Áreas seguras Satisfactorio
Seguridad del equipo. Medio – Falta difusión
Gestión de las comunicaciones y operaciones. Medio
Procedimientos y responsabilidades operacionales. Bajo – Desarrollar Gestión del Cambio
Gestión de la entrega del servicio de terceros. Medio – Mejorar controles
Planeación y aceptación del sistema. Medio – Desarrollar Gestión de la
capacidad
-141-
Protección contra software malicioso y código móvil. Satisfactorio
Respaldo (back-up) Satisfactorio
Gestión de seguridad de redes Satisfactorio – Mejorar difusión
Gestión de los medios Medio – Implantar controles
Intercambio de la información. Medio – Implantar controles
Servicios de comercio electrónico. Medio – Falta definición
Monitoreo Satisfactorio
Control de acceso Satisfactorio
Requerimiento comercial para el control del acceso. Satisfactorio – Actualizar y difundir
Gestión del acceso del usuario. Satisfactorio – Mejorar controles
Responsabilidades del usuario. Satisfactorio – Mejorar controles
Control de acceso a redes. Satisfactorio – Mejorar controles
Control de acceso al sistema de operación. Satisfactorio
Control de acceso a la aplicación e información. Satisfactorio
Computación móvil y tele-trabajo. Nulo – Se debe implementar
Adquisición, desarrollo y mantenimiento de los
sistemas de información. Medio
Requerimientos de seguridad de los sistemas. Medio – Mejorar controles
Procesamiento correcto en las aplicaciones. Satisfactorio
Controles criptográficos No aplica
Seguridad de los archivos del sistema. Medio – Mejorar controles
Seguridad en los procesos de desarrollo y soporte. Medio – Mejorar controles
Gestión de vulnerabilidad técnica. Medio – Implantar el análisis de riego
-142-
Gestión de incidentes en la seguridad de la
información. Medio
Reporte de eventos y debilidades en la seguridad de la
información. Medio – Mejorar controles
Gestión de incidentes y mejoras en la seguridad de la
información. Medio – Mejorar controles
Gestión de la continuidad comercial. Bajo
Aspectos de la seguridad de la información de la
gestión de la continuidad comercial. Bajo – Se debe desarrollar
Cumplimiento Medio
Cumplimiento con requerimientos legales. Medio – Se debe formalizar
Cumplimiento con las políticas y estándares de
seguridad, y el cumplimiento técnico. Medio – Mejorar controles
Consideraciones de auditoría de los sistemas de
información. Medio – Mejorar controles
6.3.2 Ventajas y desventajas
La Empresa Net & Services Trantor, hoy está enfocada en la definición de sus modelos y procesos
mayormente al cumplimiento operativo, es decir a las actividades del día, y por la demanda de
servicio que tienen con los clientes que atienden, dejan de lado los temas de seguridad o bien no
les han dado la difusión que estos requieren.
Tales como desventajas, no son exactamente los hallazgos que se encontraron, más bien está
asociado a la falta de desglose de los procedimientos, falta de visión integral de ellos y lo más
importante la falta de documentación de los procesos operativos, pues se hizo indispensable
primero actualizarlos y implementarlos previo a considerar las recomendaciones de seguridad del
Modelo propuesto.
Puntualmente hace falta formalizar el uso de la metodología para la evaluación y análisis de
riesgos, además de considerar los procesos de Gestión de Cambios y de Gestión de la Capacidad,
puesto que hoy día sólo se tienen definidos en un primer nivel.
-143-
Desde el punto de vista de las ventajas, el simple hecho de contar hoy día con un modelo formal y
documentado para gestionar la seguridad en todos los niveles de la Empresa, hace que se
considere un nivel aceptable de cumplimiento.
Los beneficios que se hacen más palpables a lograr la implementación del modelo son:
a) Se cuenta con procedimientos en línea con disposiciones de tipo gubernamental, de
reconocimiento internacional.
b) Mejor protección a la confidencialidad, integridad y disponibilidad de la información.
c) Mitigar riesgo a diferentes ataques
d) Rápida y eficiente forma de recuperarse ante posibles amenazas.
-144-
Conclusiones
Es gratificante haber logrado el objetivo que se planteó desde el inicio del desarrollo de la tesina,
no obstante de haber sido un trabajo muy laborioso y de mucha investigación.
Durante el trabajo fueron descritos los principales elementos considerados en la definición de un
Modelo de Seguridad de la Información, a través de un breve análisis de la relevancia y urgencia
del tema, presentando las principales normas, estándares y leyes relacionadas con la gestión de
seguridad de información, y que fueron consideradas como base para este modelo.
En caso de que las Empresas decidan implementar el modelo aquí propuesto y principalmente la
implementación de controles aquí descritos significa ahorrar tiempo, no perder de vista el objetivo
fundamental en su tarea, acogerse a estándares probados en cuanto las formas de proceder y
contemplar cada uno de los pasos necesarios a la hora de ofrecer con certeza, reportes
específicamente diseñados para que el cliente pueda mediante los mismos, conocer el estado
actual en cuanto a la seguridad, los riesgos o vulnerabilidades a los que el mismo se encuentra
expuesto y las alternativas existentes al momento de mitigar el riesgo y ofrecer el servicio de
soporte técnico de la mejor manera.
El haber aplicado el Modelo a la Empresa Net & Services Trantor nos permitió identificar las
ventajas y desventajas de dicho modelo y fue gratificante ver que con ciertos mecanismos de
seguridad, se garantiza el óptimo cumplimiento de los niveles de servicio y de una manera segura.
Si bien este modelo puede parecer muy simple, esto se debe a que todas sus actividades engloban
de una u otra forma lo detallado en las normas y estándares presentados, pero bajo un esquema
generalizado y adaptable a cada organización.
El modelo propuesto es totalmente perfectible, ajustable y que puede ser dimensionado conforme a
las particularidades y tamaño de la organización en la cual pueda ser implementado, por lo que
dada la gama de actividades consideradas en el modelo, consideramos que este puede ser la base
para establecer un “Gobierno de TI” en las organizaciones que lo utilicen.
De manera general se percibe que el Modelo de Seguridad propuesto, puede y debe por él mismo,
someterse al proceso de mejora continua, puesto que vemos que hay temas importantes que no
fueron considerados en este primer alcance, asociados principalmente a temas de Continuidad y la
gestión del Cambio. Además de rubros propuestos en las mejores prácticas, tales como ITIL
versión 3 y CobIT, que pueden enriquecer la visión y alcance del modelo.
Por otro lado se hizo un énfasis en el tema de documentación y evidencias, y en algunos
momentos, se percibió que esto no agregaba tanto valor como se había considerado, es más hasta
-145-
se dudó de que fuera correcto exigir tantos documentos y evidencias, evidentemente con la falta de
aplicación y seguimiento de las medidas de control correspondientes.
-146-
Bibliografía
- Tourniaire Francoise, Farrell Richard. “The Art of Software Support: Design and
Operation of Support Centers and Help Desks”, First Edition, Prentice-Hall Inc, USA,
October 1996, 352p.
- Aparicio Vaquero, Juan Pablo. “La nueva contratación informática. Introducción al
Outsourcing de los sistemas de formación”. 3ª Edición, Comares S.L., Granada 2002.
- González Rodríguez, José de Jesús, “Investigación sobre Outsourcing”. Editado por
Centro de Estudios Sociales y de Opinión Pública, Madrid, 1996.
- Rothery Brian, Robertson Iam. "Outsourcing: La Subcontratación”,1ª Edición, Limusa
S.A, México, 1997.
- Díaz de Santos, Emilio. “Manual de Outsourcing Informático”, 2ª Edición, Díaz de Satos.
Madrid, 2003.
- Hernández Hernández, Enrique. “Auditoría en Informática un enfoque metodológico y
práctico”, 1 ª Edición, Cecsa, México, 2003.
- Chacón, Dorban. "Outsourcing", 1ª Edición, Mc Graw Hill, Caracas, Marzo,1999.
- Muñoz Razo, Carlos. “Auditoria en Sistemas Computacionales”, 1ª Edición, Pearson
Educación, México, 2002.
- Lockhart Andrew, “Seguridad en Redes los mejores trucos”, 2ª Edición, Anaya
Multimedia, España, 2007.
- Tanenbaun, Andrew S., “Redes de Computadoras”, 4ª Edición, Pearson Educación,
México, 2003.
- Aracil, Joly. ”Máquinas, sistemas y modelos. Un ensayo sobre sistémica”, 1ª Edición,
Tecnos, Madrid España 1986, 282 p.
- Pfleeger, Charles. “Security in Computing, Security Needs”, Second Edition, Pretice
Hall, USA 1996, Chapter 5.
- Manual de COBIT 4.0 En español.
-147-
- Gómez Mejía, Luis R. “Gestión de Recursos Humanos”. 3ª Edición, Pearson Educación,
España. 1999.
- Pérez García, Miguel. “Flexibilización Laboral y Outsourcing”. 1ª Edición, Medellín,
Colombia. 1999, 645 p.
Consultas en la Web
- La revista de la tecnología y estrategia de negocio en Internet. “Outsourcing en
Seguridad”, http://www.idg.es/iworld/articulo.asp?id=131015, Mayo 2009.
- The Outsourcing Institute (USA). “Las cinco razones tácticas más importantes para
adoptar el Outsourcing”, http://www.solomanuales.org/manuales_outsourcing-
manuall214138.htm, Mayo 2009.
- Gestiopolis. “¿El Outsourcing ha tenido auge en México por la falta de visión de una
dirección en ti?”, http://www.gestiopolis.com/administracion-estrategia/vision-en-
tecologias-de-la-informacion-y-el-Outsourcing.htm, Junio 2009.
- Lara Navarra Pablo y Martínez Usero José Ángel. “Outsourcing en las unidades de
información de las organizaciones”,
http://www.elprofesionaldelainformacion.com/contenidos/2002/mayo/1.pdf, Abril 2009.
- Gestiopolis. “Mitos y realidades del Outsourcing”,
http://www.tecnologiahechapalabra.com/tecnologia/comunicados/ti/articulo, Mayo 2009.
- “Elaboración de un Documento de seguridad”,
http://www.planalfa.es/sice2007/lpd/Elaboracion%20del%20Documento%20de%20Segurid
ad.pdf, Agosto 2009.
- “ITIL, Gestión de Niveles de Servicios”,
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_niveles_de_servicio/proce
so_gestion_de_niveles_de_servicio/planificacion_de_niveles_de_servicio.php, Agosto
2009.
- “Mejores prácticas de la auditoría en informática”, http://olea.org/~yuri/propuesta-
implantacion-auditoria-informatica-organo-legislativo/ch03s02.html , Agosto – Octubre
2009.
- Ocampo Pérez, Esperanza,”Implementación de una mesa de ayuda exitosa”, publicado
en la revista del Instituto Mexicano de Telemarketing, Agosto de 2009.
-148-
- Endara Martínez Francisco,” Aplicación de la metodología Seis Sigma sobre un
proceso de mesa de ayuda (Help desk)”, http://www.monografias.com/trabajos36/seis-
sigma/seis-sigma2.shtml, Agosto 2009.
- Echaiz Moreno, Daniel. “El contrato de outsourcing”,
http://www.juridicas.unam.mx/publica/rev/boletin/cont/122/art/art6.htm, Julio 2009.
- Peralta, Leonardo. “El robo de de informacion alas empresas por los empleados
despedidos” http://archivologo.blogcindario.com/2009/07/02223-el-robo-de-informacion-a-
las-empresas-por-los-empleados-despedidos.html, Julio 2009.
- Quezada Reyes Cintia, Gutiérrez Rodríguez Sergio. “Políticas de seguridad”,
http://mx.geocities.com/fundamentosdeseguridad/SEMINARIO/TEMA_6.htm, Abril 2009.
- Martínez, José Manuel. “Robo de información, el enemigo en casa”
http://www.cnnexpansion.com/tecnologia/2007/10/16/robo-de-informacion-el-enemigo-en-
casa, Julio 2009.
-149-
Glosario
Acción Correctiva.
Acción tomada para eliminar la causa de una situación indeseable.
Acción Preventiva.
Acción tomada para eliminar la causa de una situación potencial indeseable.
Nota 1. La acción preventiva se toma para prevenir que algo suceda mientras que la acción
correctiva se toma para prevenir que vuelva a producirse.
Actividad Clave ó Funciones.
Son las actividades relevantes dentro del proceso (no son las actividades de un procedimiento).
Una actividad clave podría tener el alcance de una o más actividades de un procedimiento.
Agujero
Una vulnerabilidad en el diseño del software y/o hardware que permite engañar a las medidas de
seguridad.
Almacenar.
Forma en la que se guardan los registros un vez archivados, incluyendo aquellos que se conserven
en medios electrónicos. Para que no sufran daño o extravío, el responsable de conservarlos
establecerá como almacenarlos, por ejemplo, archiveros, cajones, anaqueles, discos flexibles,
discos compactos, etc.
Ambiente de Trabajo.
Conjunto de condiciones bajo las cuales se realiza el trabajo.
Nota. Las condiciones influyen factores físicos, sociales, psicológicos y ambientales (tales como la
temperatura, esquemas de reconocimiento, ergonomía y composición atmosférica).
Archivar.
Forma en la cual se ordenan y guardan los registros incluyendo los electrónicos, pudiendo ser, por
área, fecha, número, cliente, etc. Cada responsable de conservar los registros archivará en la
forma que le sea más práctica.
-150-
Aseguramiento de la Calidad.
Parte de la gestión de la calidad orientada a proporcionar confianza en que se cumplirán los
requisitos de la calidad.
Ataque Activo
Ataque al sistema para insertar información falsa o corromper la ya existente.
Ataques a Passwords
Es un intento de obtener o descifrar una password legítima de usuario. Las medidas de seguridad
contra estos ataques es muy limitada consistiendo en una política de passwords, que incluye una
longitud mínima, palabras no reconocibles y cambios.
Ataque de Diccionario
Método empleado para romper la seguridad de los sistemas basados en passwords (contraseñas)
en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras
posibles o recogidas en un diccionario idiomático. Generalmente no se introducen manualmente
las posibles contraseñas sino que se emplean programas especiales que se encargan de ello.
Ataque de Fuerza Bruta
Método empleado para romper la seguridad vía contraseña probando todas las combinaciones
posibles de palabras (distinto del ataque de diccionario que prueba palabras aisladas). Un ataque
de fuerza bruta teóricamente no puede ser resistido por ningún sistema, siempre y cuando se
disponga del tiempo suficiente y del equipo adecuado. Así, las claves lo suficientemente largas (y
mejor aún si combinan caracteres alfanuméricos) ponen una limitación física, pero no lógica, al
éxito de este tipo de ataques frecuentes.
Autenticación
Proceso en el que se da fe de la veracidad y autenticidad de un producto, de unos datos o de un
servicio, así como de la fiabilidad y legitimidad de la empresa que los ofrece.
Autorización
Proceso por el que se acredita a un sujeto o entidad para realizar una acción determinada.
Backlog.
Envío de información generada en la herramienta indicando el total de reportes y estatus como
CANCELADO, EN ATENCION Y PENDIENTE.
-151-
Blue Book.
Información periódica (mensual, bimestral, etc.) de los clientes que así lo requieran, plasmada en
un reporte donde se detalla toda la operación a todos los niveles y áreas de la organización con el
fin de dar propuestas de mejora en el servicio ofrecido por La Empresa de Servicios.
Calidad.
Grado en el que un conjunto de características inherentes cumple con los requisitos
Nota 1. El término “calidad” puede utilizarse acompañado de adjetivos tales como pobre, buena o
excelente.
Nota 2. “Inherente”, en contraposición a “asignado”, significa que existe en algo, especialmente
como una característica permanente.
Calidad de TI.
El grado de alineación entre los servicios entregados y las necesidades de la empresa.
Certificación.
Grado de especialización o conocimiento que se adquiere a través de una empresa o compañía
que tiene alianzas establecidas para tal objetivo.
Checklist-Cambio-Formateo de equipo.
Formato establecido para concienciar al usuario que el respaldo de su información es fidedigno de
los que el mismo está indicando.
COBIT: COBIT (Control OBjetives for Information and related Technology) es el marco de
referencia aceptado internacionalmente de las mejores prácticas para el control de la información,
TI y los riesgos que conllevan. Inicialmente COBIT se utilizó para la realización de auditorías a las
áreas de tecnología. Sin embargo, en los últimos años COBIT ha evolucionado para convertirse en
el model a seguir para la implementación de Gobernabilidad en Tecnologías de Información (IT
Governance). Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño
y resultados, factores críticos de éxito y modelos de madurez.
Código Malicioso
Es un término genérico utilizado para describir el software malicioso tales como: virus, troyanos,
etc.
Componentes.
-152-
Se refiere al hardware en general como pueden ser: disco duro, memorias, procesador, tarjeta de
red,
Confidencialidad
Calidad de secreto, que no puede ser revelado a terceros o personas no autorizadas.
Contrato.
Un contrato, en términos generales, es definido como un acuerdo privado, oral o escrito, entre
partes que se obligan sobre materia o cosa determinada, y a cuyo cumplimiento pueden ser
exigidas. Es un acuerdo de voluntades que genera derechos y obligaciones para las partes.
Copia de Seguridad.
Es una copia de todos los datos originales contenidos en redes y PC's que puede ser utilizada en
caso de que éstos se destruyan por diversas causas.
Cortafuegos
Software y hardware de seguridad encargado de chequear y bloquear el tráfico de la red. Sistema
que se coloca entre una red e Internet para asegurar que todas las comunicaciones se realicen
conforme a las políticas de seguridad de la organización que lo instala. Además, estos sistemas
suelen incorporar elementos de privacidad, anti-virus, autenticación, etc.
Corrección.
Acción tomada para eliminar una no conformidad detectada.
Nota 1. Una corrección puede ser, por ejemplo, un reproceso o una reclasificación.
Criterios.
Conjunto de políticas, procedimientos ó requisitos utilizados como referencia.
COSO: Committee of Sponsoring Organizations (COSO) of the Treadway Commission. Es una
organización privada y voluntaria dedicada a mejorar la calidad de los reportes financieros a través
de la ética de negocios, controles internos efectivos y gobierno corporativo.
Criterios de Aceptación.
Definir los criterios bajo los cuales se podría evaluar las salidas de la actividad clave. Estos criterios
de aceptación están directamente asociados con el cumplimiento de las especificaciones de los
productos identificadas en los Variables de control del Proceso.
-153-
Criterios de Auditoria.
Conjunto de políticas, procedimientos o requisitos utilizados como referencia.
Nota. Los criterios de auditorías se utilizan como una referencia frente a la cual se compara la
evidencia de la auditoria.
Datos.
Información recuperable, que se requiere controlar su emisión y distribución.
Delito Informático
Delito cometido utilizando un PC; también se entiende por delito informático cualquier ataque
contra un sistema de PC's.
Defecto.
Incumplimiento de un requisito asociado a un uso previsto o especificado.
Diagnóstico.
Recoger y analizar datos para evaluar problemas de diversa naturaleza.
Disponibilidad.
Habilidad de un componente ó servicio de realizar su función requerida en un momento dado ó en
un periodo dado.
Documento.
Información y su medio de soporte. Ejemplo: registro, especificación, procedimiento documentado,
plan, informe, norma, entre otros.
Eficacia.
Grado en que se realizan las actividades planificadas y se alcanzan los resultados planificados.
Eficiencia.
Relación entre el resultado alcanzado y los recursos utilizados.
Emergencia.
Es la combinación imprevista de circunstancias que podrán dar por resultado peligro para la a la
propiedad, la información, los equipos y el personal.
-154-
Especificación.
Documento que establece requisitos.
Evaluación.
Serie de pruebas relacionadas entre sí que determinan un resultado, sirviendo de parámetro para
la toma de decisiones.
Evaluación del riesgo.
Todo el proceso para estimar la magnitud del riesgo y decidir si es o no tolerable.
Evidencia Objetiva.
Datos que respaldan la existencia o veracidad de algo.
Nota 1. La evidencia objetiva puede obtenerse por medio de la observación, medición,
ensayo/prueba u otros medios.
Experto Técnico.
Persona que aporta conocimientos o experiencia específicos al equipo auditor.
Nota 1. El conocimiento o la experiencia específicos son relativos a la organización, el proceso.
Falla.
Evento de error de hardware y/o software de la infraestructura Informática de La Empresa de
Servicios.
Folio de Servicio.
También conocido como Ticket de atención. Código único dentro de un sistema de Registro y
Seguimiento de Folios de Servicio que permite identificar una Tarea o Servicio a atender por parte
de las áreas operativas de La Empresa de Servicios.
Hardware.
Conjunto de medios físicos que conforman los dispositivos de la Infraestructura Informática de La
Empresa de Servicios. Parte tangible de la computadora como pueden ser: disco duro, memorias,
procesador, etc.
Help Desk.
-155-
Área dedicada al seguimiento de reportes en general. Palabra en inglés, la traducción literaria es
(Mesa de ayuda). Es un área donde la persona que atiende este puesto levanta y asigna los Folios
de Servicio que proporciona la Empresa de Servicios.
Identificación de Peligro.
Proceso de reconocimiento de un peligro existente y la definición de sus características.
Identificar.
Acción de señalar la existencia de información que proporciona evidencia objetiva de haber
realizado una actividad, quedando constancia de lo anterior en la sección de registros de cada
procedimiento.
Implementar.
Poner en funcionamiento, aplicar métodos, medidas, etc, para llevar algo acabo.
Incidente.
Evento que puede dar como resultado un accidente ó tiene el potencial para ocasionar un
accidente.
En TI: Cualquier evento que no sea parte de la operación estándar de un servicio y que ocasione ó
pueda ocasionar una interrupción, ó una disminución en la calidad del servicio.
Indicador.
Describir el indicador que aplica a la actividad clave, si hay alguno definido. Puede darse el caso
de que una sola actividad clave puede estar directamente asociada con un indicador o que varias
actividades impacten a un solo indicador.
Inducción.
Proporcionar la información general de la empresa al nuevo trabajador para lograr su rápida
incorporación a los grupos que existan en su medio de trabajo, a fin de lograr una identificación
entre el nuevo miembro con la organización, y viceversa.
Información.
Datos que poseen significado.
Infraestructura.
-156-
Sistema de instalaciones, equipos y servicios necesarios para el funcionamiento de una
organización.
Infraestructura Informática.
Se refiere los medios físicos de comunicación voz/datos, sites, Servidores, PCs y periféricos
propiedad de La Empresa de Servicios.
ISO: Organización Internacional para la Estandarización cuyo nombre en inglés es
International Organization for Standardization), es el organismo encargado de promover el
desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las
ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar
la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel
internacional.
ITIL: Information Technology Infrastructure Library frecuentemente abreviada ITIL, es un marco de
trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la
información (TI).
Lugar de Trabajo.
Sitio en donde el trabajador desarrolla sus actividades laborales específicas para las cuales fue
contratado, en el cual interactúa con los procesos de trabajo.
Mantenimiento Correctivo.
Cuando durante la operación cotidiana de un equipo de cómputo, se presenten situaciones que
impidan su adecuado funcionamiento.
Mantenimiento Preventivo
Servicio definido para mantener la operación de un equipo bajo las condiciones de limpieza,
operatividad y demás indicaciones señaladas por los distintos fabricantes.
Mesa de Ayuda ó Help Desk.
Personal a cardo de la recepción, registro, documentación, asignación y seguimiento de tickets
(folios) a los distintos niveles de operación, dando seguimiento desde su levantamiento hasta su
cierre.
Método de Validación / Mecanismo de Control.
-157-
Identificar los métodos de control que se aplican para asegurar que el proceso cumple con los
requerimientos establecidos, ejemplos; revisiones, verificaciones, validaciones, inspecciones,
auditorias, etc.
Nivel de Servicio.
Es el porcentaje o numero ofrecido y aceptado por el cliente con un costo aceptable para la
organización.
Outsourcing ó Proyectos especiales.
Subcontratación de personal especializado para prestación de servicios y seguimiento según las
necesidades del cliente, interno o externo. Donde la empresa mueve o destina los recursos
orientados a cumplir ciertas tareas a una empresa externa, por medio de un contrato.
Peligro.
Fuente o situación con potencial de daño en los términos de lesión o daño a la salud, a la
propiedad, al ambiente de trabajo o a la combinación de éstos.
Perfil de Puesto.
Conjunto de características generales del puesto, experiencia, conocimientos y habilidades
necesarios para desempeñar las tareas que cada puesto requiere, de acuerdo a su descripción.
Personal.
Todos los empleados y trabajadores de una organización.
PMI: Información para fabricación de producto o PMI por las siglas de su nombre en inglés
(Product Manufacturing Information) es un estándar que se utiliza en el diseño asistido por
computador (CAD) en 3D y para proyectos de colectivos de desarrollo de componentes para
fabricación.
Problema.
Causa subyacente desconocida de uno ó más incidentes.
Procedimiento.
Forma específica para llevar a cabo una actividad o un proceso.
Nota 1. Los procedimientos pueden estar documentados o no.
-158-
Nota 2. Cuando un procedimiento está documentado, se utiliza con frecuencia el término
“procedimiento escrito” o “procedimiento documentado”. El documento que contiene un
procedimiento puede denominarse “documento de procedimiento”.
Proceso.
Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman
elementos entradas en resultados.
Protección contra copiado
Método para impedir hacer copias de programas de software. Es una forma de evitar el robo de
aplicaciones informáticas.
Protección de datos.
Conjunto de técnicas utilizadas para preservar la confidencialidad, la integridad y la disponibilidad
de la información.
Proveedor de Servicios de TI.
Organización ó persona que proporciona el servicio subcontratado por La Empresa de Servicios,
dentro de los ofertados como Field Services, Outsourcing ó Proyectos Especiales.
Reporte de Servicio.
Levantamiento de Reporte.
Fecha, sucursal o departamento que reporta, dirección, teléfono, ciudad, persona que reporta.
Datos del Reporte.
Equipo reportado, modelo, marca, número de serie, descripción de falla.
Actividad Realizada.
Evaluación del Servicio.
Nombre y Firma del Ingeniero de Servicio.
Nombre Firma, puesto y sello del cliente.
También conocido como Ticket de atención. Código único dentro de un sistema de registro y
seguimiento de folios de servicio que permite identificar una tarea ó servicio a atender por parte de
las áreas operativas de La Empresa de Servicios.
-159-
DEMORA DEL ING DE SERVICIO/CARGA DE TRABAJO. La mayoría de las veces este el caso
del porque no se les da una solución inmediata por las cargas de trabajo y la falta de personal
suficiente para tal carga de trabajo.
Reproceso.
Acción tomada sobre un producto no conforme para que cumpla con los requisitos.
Requerimiento.
Necesidad de adición y/o configuración de software y/o hardware en la infraestructura informática
de La Empresa de Servicios.
Nota 1. Corresponden a cada severidad: 1 alta hasta 2 hrs, 2 media hasta 4 hrs, 3 baja hasta
72hrs.
Requisito.
Necesidad ó expectativa establecida, generalmente implícita u obligatoria
Riesgo.
Combinación de la probabilidad y consecuencia(s) de un evento identificado como peligroso.
Riesgo Tolerable.
Aquel que puede ser aceptado por una organización teniendo en cuenta las obligaciones legales y
su propia política.
Riesgos de Trabajo.
Accidentes y enfermedades a que están expuestos los trabajadores en ejercicio o con motivo
Satisfacción del Cliente.
Percepción del cliente sobre el grado en que se han cumplido sus requisitos.
Nota 1. Las quejas de los clientes son un indicador habitual de una baja de satisfacción del cliente,
pero la ausencia de las mismas no implica necesariamente una elevada satisfacción del cliente.
Nota 2. Incluso cuando los requisitos del cliente se han acordado con el mismo y éstos han sido
cumplidos, esto no asegura necesariamente una elevada satisfacción del cliente.
Seguridad de Funcionamiento.
-160-
Conjunto de propiedades utilizadas para describir la disponibilidad y los factores que la influencian:
confiabilidad capacidad de mantenimiento y mantenimiento de apoyo.
Nota. La seguridad de funcionamiento es un concepto general, sin carácter cuantitativo.
Seguridad en el Trabajo.
Conjunto de acciones que permiten localizar y evaluar los riesgos, establecer las medidas para
prevenir los accidentes de trabajo.
Siniestro.
Alguna falla ocasionada por falla eléctrica, terceros, inundaciones, etc.
Sistema.
Conjunto de elementos mutuamente relacionados ó que interactúan.
SLAs
Un acuerdo de nivel de servicio o Service Level Agreement, también conocido por las siglas ANS o
SLA, es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel
acordado para la calidad de dicho servicio.
Software.
Son una serie de programas que administran los recursos de la computadora. Éste indica cómo
interactuar con el usuario y cómo usar los dispositivos: discos duros, teclado y monitor. Conjunto
de programas y/o lenguajes de programación utilizados en la Infraestructura Informática de La
Empresa de Servicios.
Soporte Técnico.
Se refiere a la configuración e instalación de hardware y software, de tal manera que funcione
adecuadamente.
Soporte Técnico de Primer Nivel.
Servicio proporcionado vía telefónica a un usuario final para que se solucione el problema
reportado, solo bajo petición expresa del mismo.
Ayuda básica vía telefónica que se proporcionará a los clientes para resolver problemas
relacionados con los servicios que brindamos.
Trazabilidad.
-161-
Capacidad para seguir la historia, la aplicación o la localización de todo aquello que está bajo
consideración.
Nota 1. Al considerar un producto, la trazabilidad puede estar relacionada con:
La historia del procesamiento.
La distribución y localización del servicio después de su entrega.
Validación.
Confirmación mediante la aportación de evidencia objetiva de que se han cumplido los requisitos
especificados.
Vandalismo.
Robo a sucursal. Mal uso / Negligencia. Desconocimiento del modo de operación del equipo.
Variables del Control del Proceso.
Identificar todos aquellos factores clave que podrían afectar al resultado del proceso de la actividad
clave correspondiente. Genéricamente estos factores son: equipos, método ó procedimiento y
medio ambiente o factores externos.
Ventanas de Tiempo.
Es el tiempo que en común acuerdo se queda con el cliente el tiempo de servicio que se le da en
un día pueden ser las 24 horas del día ó solo algunas horas y determinados días por ejemplo, de
lunes a viernes.
Verificación.
Confirmación mediante la aportación de evidencia objetiva de que se han cumplido los requisitos
especificados.
