INSTITUTO PROFESIONAL DE PROVIDENCIA

ESCUELA DE INGENIERIA Y GESTIN

INGENIERIA EN CONECTIVIDAD Y REDES






DESARROLLO DE UN PLAN INFORMATICO
UTILIZANDO TECNOLOGIA OPEN SOURCE






Seminario de Ttulo
Para optar al ttulo
Profesional de Carrera
Ingeniera en Conectividad y Redes

Alumno: Miguel Gajardo C.
Profesor: Marco Bravo V.






Septiembre 2013

Agradecimientos
A Dios, porque me diste las fuerzas necesarias para seguir luchando.
A mi Familia, por el apoyo y confianza entregados.
A mis Hijos, por su comprensin y cario incondicional que me permitieron
soar.
A mi Mujer, compaera fiel en los desafos de la vida.
A mis Padres y Hermanos por demostrarme lo capaz que soy para enfrentarme
a los retos del crecer.
A Todos, por la maravilla de sentir su amor y aliento en los momentos difciles.

INDICE DE CONTENIDOS
TEMARIO PAGINA


I. INTRODUCCION
1.1 Justificacin del Proyecto
1.2 Objetivos
1.2.1 Objetivo general
1.2.2 Objetivos especficos
1.3 Organizacin del documento
:
:
:
:
:
:
01
03
04
04
05
05
II. ANALISIS DEL PROBLEMA
2.1 Antecedentes
2.2 Descripcin de la compaa
2.2.1 Organigrama de la empresa
2.2.2 Proyectos y trabajos
2.2.3 Metodologa de trabajo
2.3 Problema detectados en la empresa
2.3.1 Casa Matriz
2.3.2 Sucursales
2.4 Estimacin de las tendencias de las Tecnologas de Informacin
:
:
:
:
:
:
:
:
:
:
06
06
07
07
08
08
09
11
14
14
III. MARCO TERICO
3.1 Sistema Operativo de Red (Open Source)
3.2 Equipamiento
3.2.1 Hardware de red
3.2.2 Software
3.3 Mejores Prcticas y Estndares Internacionales
3.3.1 Procesos : PMI y PMBOK
3.3.2 Gestin TI : COBIT
3.3.3 Gestin Servicios : ITIL
3.3.4 Calidad : Normas ISO
3.4 Plan Informtico



:
:
:
:
:
:
:
:
:
:
:
18
18
30
30
31
34
36
38
46
50
53
IV. PLANTEAMIENTO DE LA SOLUCIN
4.1 Puesta en marcha
4.1.1 Hardware
4.1.2 Software
4.1.3 Cableado estructurado
4.1.4 Servicios de Red
4.1.5 Sistemas vigentes y su estado
4.1.6 Recursos Humanos
4.1.7 Sntesis de una encuesta de satisfaccin de usuarios
4.1.8 Resumen de costos por cada concepto anterior
4.1.9 Anlisis de costos
4.2 Sistemas de Informacin
4.2.1 Desarrollo de nuevos sistemas previstos
4.2.2 Mantencin adaptativa, correctiva y perfectiva de los sistemas
vigentes.
4.3 Recursos Informticos
4.3.1 Equipamiento
4.3.1.1 Enlaces de Internet
4.3.1.2 Red de Datos
4.3.1.3 Servidores
4.3.1.4 Estaciones de Trabajo
4.3.1.5 Dispositivos Activos
4.3.2 Hardware - Software
4.3.3 Necesidades de capacitacin
4.3.4 Plan de Seguridad
4.3.5 Benchmarking con otras organizaciones
4.3.6 Plan de Migracin de la tecnologa actual a la nueva
4.3.7 Auditora Informtica
4.4 Resumen del estudio realizado
4.4.1 Informe de premisas y supuestos bsicos considerados para
cada nivel de la organizacin.
4.4.2 Evaluacin de las debilidades y fortalezas de la unidad de
informtica.


:
:
:
:
:
:
:
:
:
:
:
:
:
:

:
:
:
:
:
:
:
:
:
:
:
:
:
:
:

:

54
54
54
54
56
57
65
65
66
66
66
69
69
70

74
74
74
76
77
79
80
83
83
83
97
98
99
107
107

108



4.4.3 Evaluacin de alternativas de software y de sus proveedores
segn pautas
4.4.4 Evaluacin de alternativas de equipamientos y de sus
proveedores segn pautas

110

111
V. CONCLUSIONES Y RECOMENDACIONES : 112
REFERENCIAS BIBLIOGRFICAS : 114
TERMINOLOGA : 116


INDICE DE FIGURAS
Figura 1 Categorizacin por niveles penetracin de la tecnologa
en las empresas.
: 01
Figura 2 Metodologa bsica para el levantamiento de informacin. : 06
Figura 3 Organigrama Cygsa Chile S.A. : 07
Figura 4 Esquematizacin de las cinco operaciones informticas
bsicas
: 15
Figura 5 Metodologa propuesta para el desarrollo un Plan
Informtico
: 18
Figura 6 Mapa del Open Source y su utilizacin en el mundo : 20
Figura 7 Mapa mental de los diferentes estndares y
Buenas/Mejores prcticas
: 35
Figura 8 Las etapas de la administracin de procesos : 37
Figura 9 Mapa de la gua de administracin de proyectos 37
Figura 10 Diagrama de procesos de COBIT 38
Figura 11 Administracin de la Informacin 40
Figura 12 reas de Enfoque del Gobierno de TI 42
Figura 13 Productos COBIT 44
Figura 14 Interrelaciones de los componentes de COBIT 45
Figura 15 ITIL 10 Libros Centrales a fines de 1980 48
Figura 16 Aspectos de la metodologa de Soporte al Servicios 49
Figura 17 Aspectos de la metodologa de Provisin del Servicio 49
Figura 18 Las reas clave en los aspectos de la seguridad de la
informacin
51
Figura 19 Metodologa propuesta mejorada 54
Figura 20 Niveles RTO 71
Figura 21 Enlace 10 Mbps / 4 Mbps 75
Figura 22 Enlace 2 Mbps / 1 Mbps 75
Figura 23 Red de datos Cygsa Chile S.A. 76

INDICE DE TABLAS
Tabla 01 Tiempos estndar de implementacin en una
organizacin
: 50
Tabla 02 Servicios de Red bajo Open Source : 57
Tabla 03 Valores de software para Servidores : 67
Tabla 04 Valores de software para estaciones de trabajo. : 67
Tabla 05 Valores de implementacin Open Source : 68
Tabla 06 Tabla comparativa de costos relacionados con la
implementacin informtica orientada a servidores y
servicios de red.

: 69






RESUMEN EJECUTIVO
No existe una regla o estndar sobre el contenido especfico de un plan
informtico formal, bsicamente debido a lo vertiginoso de los cambios tcnicos y
de las necesidades de informacin de los usuarios. Existen algunas guas que
permiten formular un plan en trminos que puedan ser ledos e implementados por
quienes necesitan la informacin completa y suficiente, como para responder a la
mayora de las preguntas que podran ser formuladas. Es importante establecer
que la razn para desarrollar el plan informtico formal es ejecutar los conceptos,
metas, estrategias y desarrollos resultantes del estudio y revisiones peridicas de
las necesidades de los usuarios y de su compatibilidad con el plan vigente.
Qu es un plan informtico formal?
Un plan informtico formal es un proceso expresado en un documento escrito y
conocido por todo el personal de la empresa, independiente de la jerarqua que
ste posea. Define estrategias y polticas para alcanzar objetivos, desarrolla
planes detallados para asegurar que las estrategias se lleven a cabo con el fin de
que tales objetivos se realicen en trminos de productos y resultados concretos,
medibles por la unidad de Informtica, por los usuarios, por el nivel Estratgico y
socios vinculados con los proyectos adjudicados, en parmetros no tcnicos y
exentos de ambigedad.
Componentes de un Plan Informtico formal
Un plan informtico formal no es un mtodo para resolver problemas corrientes en
cortos perodos, puesto que no permite competir con cambios inesperados en la
Direccin. Esto no es indicador de un error de concepto, pero indica el riesgo
adquirido en las actividades del Plan.
Un plan informtico formal debe contemplar un horizonte que alcanza un perodo
variable entre 3 y 5 aos, dependiendo del tamao de la organizacin. No
obstante, el mismo debe ser revisado por lo menos anualmente, y reformulado
cada vez que se modifiquen en forma sustancial los objetivos y metas planteadas
por el nivel Estratgico de la organizacin.
Un plan informtico formal, adems de un presupuesto de gastos, es un conjunto
de planes interrelacionados cuya finalidad es bsicamente satisfacer las
necesidades de informacin que el sistema de decisiones de la organizacin


requiere, en la cantidad, calidad, oportunidad y forma que cada nivel necesita. Lo
anterior debe ser considerado en el marco de la velocidad de desarrollo y de la
cantidad de alternativas, siempre crecientes, que el mercado de informtica
ofrece.
En este trabajo se propone una metodologa suficiente y necesaria para la
creacin de un Plan Informtico, basado en estndares y mejores prcticas
reconocidas a nivel internacional.
Una metodologa sobre un Plan Informtico Formal debera tener a lo menos
cinco caractersticas relevantes:
Sencilla de captar.
Prctica en su aplicacin.
Flexible para adaptarse a planeaciones estratgicas de tecnologa
informtica.
Flexible para usarse en cualquiera de los tipos de planeacin.
Que pueda ser utilizada bajo el enfoque de bsqueda de problemas o bien
el de bsqueda de oportunidades.
La metodologa que se propone debera a lo menos contener las siguientes fases:
1. Caracterizacin de la organizacin (levantamiento de informacin).
2. Revisin de la arquitectura de tecnologa informtica actual.
3. Revisin de los planes de la organizacin.
4. Caracterizacin del rol de la tecnologa informtica en la organizacin.
5. Estimacin de las tendencias de la tecnologa informtica.
6. Benchmarking con otras organizaciones.
7. Determinacin de la nueva arquitectura de tecnologa informtica.
8. Plan de migracin de la arquitectura de tecnologa informtica actual a la
nueva.
9. Documentacin del plan de tecnologa informtica.
10. Comunicacin del plan de tecnologa informtica.
Se pretende completar todas las fases descritas en el desarrollo de este proyecto
de ttulo. Adems se espera aportar y proponer nuevas tareas en la medida que se
vayan presentando y que no estn cubiertas por esta definicin preliminar.


Finalmente, en la implementacin del plan informtico formal, se utilizar
tecnologas del tipo Open Source tan confiables como las ms famosas
plataformas de red pagadas del tipo Microsoft, Sun o Novell Suse.

















1

I. INTRODUCCIN
La importancia que han adquirido con el tiempo las tecnologas de la informacin
en las organizaciones, radica principalmente en la generacin de nuevos negocios
y en la supervivencia de las empresas.

Figura 1: Categorizacin por niveles de penetracin de la tecnologa en las
empresas.
A medida que han avanzado las Tecnologas de la Informacin, el impacto que
han causado dentro de las empresas ha sido tal, que hoy no se concibe una
compaa que no tenga un equipo de apoyo informtico dentro de su estructura.
Es por esto que se ha hecho necesario contar con las herramientas, personas y
servicios que provean la capacidad de implementacin, soporte y mantencin de
las tecnologas de informacin (TI) dentro de la organizacin.
En la figura 1 se presenta una categorizacin de los diferentes niveles de
integracin de las empresas con base en las TI o Tecnologas de la Informacin.


2

Este trabajo se focalizar en poder establecer una propuesta metodolgica, que
permita el ordenamiento tecnolgico al interior de las empresas. Esta propuesta de
ordenamiento ser la creacin de un Plan Informtico, en base a las polticas que
establece la direccin de la empresa, para llevar as las tareas de TI (Tecnologas
de la Informacin) de forma moderna y totalmente confiable.
El Plan informtico propuesto se basa en una metodologa de buenas prcticas y
estndares, para llevar a cabo todas las etapas del proceso relacionadas con la
implementacin, puesta en marcha y administracin de los servicios necesarios
para el funcionamiento adecuado del departamento de Informtica dentro de la
empresa.
El primer paso una vez efectuada la toma de requerimientos, es proceder a
realizar un estudio exhaustivo de la situacin actual de la organizacin, para que
con posterioridad se pueda dar a conocer una solucin ntegra en base a sus
necesidades.
Los aspectos que se considerarn para entregar esta solucin, se basarn
principalmente en el nivel de importancia que posee la informacin que administra
la empresa en sus servidores, como as tambin la implementacin que concierne
a los requerimientos que solicitan los clientes de la empresa, algunos de los
cuales son instituciones fiscales, empresas privadas, por mencionar algunos de
ellos.
A continuacin se darn a conocer las etapas necesarias para llevar a cabo el
proyecto expuesto, considerando los aspectos rescatados en la toma de
requerimientos y que se deben tomar en cuenta para ejecutar una intervencin de
procesos basada en Tecnologas de la Informacin.
Para establecer los parmetros que conciernen a esta definicin, se deben realizar
reuniones calendarizadas con la direccin de la empresa, recopilando as la
informacin necesaria que corresponde a las polticas que necesitarn
desarrollarse.
El proyecto usar como base una plataforma informtica que entrega las
tecnologas relacionadas con el software libre, referidas principalmente al Sistema
Operativo Linux y los servicios que provee este sistema dentro de la red
computacional.

3

Si las organizaciones y las empresas en particular pueden aplicar este tipo de
recomendaciones, stas tendrn ventajas comparativas y competirn de mejor
forma que otras empresas que no cuenten con este tipo de servicios.
Un aspecto importante que se puede destacar, es el hecho que en las
plataformas de red tradicionales es muy oneroso adquirir las licencias de software
de los diferentes sistemas que se necesitan, para operar en una infraestructura de
red moderna. Hoy, esto es posible de hacer gracias al software libre a un costo
considerablemente menor, manteniendo el mismo nivel de satisfaccin a los
usuarios de los diferentes servicios de red, usando una plataforma libre y segura:
el Sistema Operativo Linux.
1.1 Justificacin del Proyecto
Las razones principales que justifican la realizacin de este proyecto son:
Innovacin: Desarrollar una metodologa que permita implementar de una nueva
forma las TI de bajo costo para las PYMES (pequeas y medianas empresas),
pensando principalmente en los nuevos paradigmas de hacer las cosas en la
perspectiva del Open Source.
Evolucin: Los constantes descubrimientos tecnolgicos hacen evolucionar
inevitablemente la forma de afrontar los nuevos desafos y es por esto que,
basndose en que las nuevas tecnologas se imponen en el mercado, se ha
optado por desarrollar esta metodologa que explota las tecnologas de
informacin de bajo costo muy confiables y en continuo desarrollo.
Economa de las licencias de software: El ahorro de licencias de software es
crucial para obtener servicios de red realmente econmicos, lo que si adems es
apoyado por la implementacin utilizando el software libre, hace que este
proyecto tenga un costo econmico muy bajo.
Creatividad: Realizar un proyecto que consista en la integracin de las Mejores
Prcticas y Estndares Internacionales, con el fin de entregar una solucin ntegra
a la problemtica existente en una empresa en particular.
De acuerdo a las caractersticas del proyecto en general, se justifica su
implementacin ya que se entregan soluciones integrales a un costo muy bajo con
acceso a actualizaciones tecnolgicas peridicas sin costo.

4

Por otro lado, un aspecto importante es el hecho de contar con una infraestructura
tecnolgica robusta, para cubrir las necesidades que requiere implementar la
empresa en el mediano y largo plazo, permitiendo de tal forma la utilizacin de
servicios necesarios para realizar correctamente las labores de sta.
1.2 Objetivos
Al ejecutar un proyecto se deben lograr los objetivos previamente establecidos,
para as alcanzar la conformidad con la contraparte, ya que sta se toma como
base para satisfacer los requerimientos que los clientes soliciten a la empresa. De
esta forma, se puede concluir que la plataforma informtica que se implementar,
ser robusta, fiable y lo ms importante es el hecho de que la informacin
relevante para el cliente en cada proyecto, se ver segurizada a alto nivel, punto
importante y plus adicional al contemplar lo realizado tradicionalmente.
1.2.1 Objetivo General
El objetivo general es la proposicin de una metodologa para la creacin de un
plan informtico en una organizacin. Las tareas necesarias para el cumplimiento
de este trabajo son las siguientes:
Levantamiento de informacin y construccin de Lnea Base o punto de
partida para la propuesta metodolgica.
Mejorar los niveles de seguridad de la informacin administrada por la
empresa.
Construccin de una plataforma de red robusta, de bajo costo.
Incluir una solucin integral con los servicios necesarios de red para cumplir
con los requisitos del crecimiento de la compaa, el cual est basado en la
lnea de negocios que maneja la empresa.
Intercomunicacin, interoperabilidad y gestin con proyectos en marcha.
Integridad, disponibilidad y confidencialidad de la informacin.
Implementacin de estndares internacionales de gestin, seguridad y
calidad.




5

1.2.2 Objetivos Especficos
Los objetivos especficos que se han contemplado lograr, al finalizar la etapa de
implementacin del proyecto se detallan a continuacin:
Administracin completa de la red Lan en base al monitoreo y
administracin de los recursos que se encuentran activos dentro de la red.
Administracin y supervisin de los enlaces dedicados de la empresa.
Segregacin de la red Lan, en cuanto a la parte operativa y a los servicios
implementados.
Implementacin de Servidor Firewall, para realizar filtrados de la
informacin que interacta en la Red Pblica con la Red Privada.
Implementacin de Correo Propio. Para administrar la totalidad de las
cuentas de correo.
Implementacin de Controlador de Dominio Propio para administrar el
trabajo que realiza cada usuario, una vez ingresado al dominio instaurado.
Sin realizar este tipo de autenticacin el usuario no puede acceder a la
utilizacin del equipo informtico que tiene a su disposicin.
Se implementan las polticas expuestas y entregadas por la empresa desde
su nueva estructura de seguridad y gestin de las TI.
1.3 Organizacin del documento
En el captulo 1 se describe la introduccin al trabajo que se pretende realizar,
adems de indicar las razones que se tuvo para desarrollar un tema ligado al
mbito de las TI.
En el captulo 2 se define la problemtica y se desarrolla el anlisis del problema
que se tomar como referencia para el desarrollo del presente trabajo, orientado a
una empresa en particular.
En el captulo 3 se define el marco terico y tecnolgico en el cual estar basado
el desarrollo del presente trabajo. En este captulo se examinan las tecnologas
actuales.
En el captulo 4 se desarrolla el planteamiento de la solucin propuesta y se
comienza a esbozar la solucin concreta y real a disear para resolver los
problemas detectados en la empresa considerada y proponer el Plan Informtico.

6

En el captulo 5 se proponen las conclusiones y recomendaciones emanadas de la
propuesta de trabajo.
II. ANALISIS DEL PROBLEMA
2.1 Antecedentes
Se realiza un levantamiento informtico en la empresa, con el fin de descubrir los
problemas que le afectan. De acuerdo a esto, se han detectado las falencias
existentes dentro de la organizacin y de la forma de ocupar las TI para su
negocio. Realizados los anlisis correspondientes y tomando como base la
informacin adquirida por medio del proceso de levantamiento, se puede sealar
que la informacin que se maneja en la organizacin tiene un valor considerable.
Este valor se contrapone al manejo al interior de la organizacin, ya que existe un
desnivel entre la importancia de la informacin versus su seguridad y
procesamiento.

Figura 2: Metodologa bsica para el levantamiento de informacin.
Ante esta situacin se ha logrado determinar que se necesita realizar una
reingeniera en los procesos informticos, para lograr un nivel acorde a la
informacin que se maneja. Para esto lo primero que se debe considerar es
aplicar un sistema de ordenamiento a las Tecnologas de Informacin que se
encuentran implementadas dentro de la organizacin, como tambin determinar
las TI que son necesarias para la empresa.
Con esto se espera obtener una metodologa que pueda ser adaptada a cualquier
organizacin que requiera implementar TI en forma eficaz y eficiente, sirviendo de
marco o modelo general.

LEVANTAMIENTO DE
INFORMACIN
ANALISIS

7

2.2 Descripcin de la compaa
CYGSA es una empresa espaola de vasta trayectoria en consultoras de
ingeniera, desarrollo y ejecucin de proyectos, experiencia respaldada por las
actividades desarrolladas durante 25 aos en Espaa. La necesidad de proyectar
su quehacer ms all de las fronteras espaolas, lleva a su directorio a pensar en
Chile, pas que resulta atrayente por su economa estable y fuerte inversin en
minera y proyectos de ingeniera y construccin por lo cual, en 1996 se crea la
filial CYGSA CHILE S.A. en la ciudad de Santiago. Se establece como principal
objetivo de la empresa, el insertarse y posicionarse en el mercado chileno como
una de las mejores empresas en la prestacin de Servicios de Ingeniera e
Inspecciones Tcnicas de Obras.
En la actualidad CYGSA CHILE S.A., cuenta con una dotacin de personal
promedio de 300 trabajadores, que contempla personal administrativo y de obra,
con variadas especialidades.
CYGSA CHILE S.A. es una empresa independiente de la casa matriz y se
encuentra inscrita en los registros de distintas entidades estatales y privadas.
2.2.1 Organigrama de la empresa

Figura 3: Organigrama Cygsa Chile S.A.

8

2.2.2 Proyectos y trabajos
Entre los servicios que realiza la empresa destacan:
Inspeccin Tcnica de Obras Mineras.
Construccin.
Trazados Ferroviarios.
Inspeccin Tcnica de Presas de Relaves.
Estudios Medio Ambientales.
Proyectos Hidrulicos.
Servicios de Transporte y Preparacin de Muestras Mineras.
Proyectos Viales e Inspeccin Tcnica de Obras Civiles en General.
2.2.3 Metodologa de trabajo
CYGSA CHILE S.A. desarrolla trabajos en forma permanente con clientes pblicos
y privados, entre los que destacan:
Codelco Chile, Corporacin Nacional del Cobre.
Ministerio de Obras Pblicas
Coordinacin General de Concesiones del Ministerio de Obras Pblicas.
EFE, Empresa de Ferrocarriles del Estado.
Intendencia Metropolitana.
Aguas Andinas.
SERVIU, Servicio Nacional de Vivienda y Urbanismo.
ENAP, Empresa Nacional del Petrleo.
La modalidad de trabajo que posee la empresa es generalmente con empresas del
estado que por medio de la participacin en las propuestas pblicas de proyectos
que realizan, se basan en los requerimientos estipulados en el Portal Mercado
Pblico, entregando bajo este precepto las ofertas tcnicas y econmicas para
cada caso.
Una vez efectuado este procedimiento, el cliente realiza un estudio de cada
participante y adjudica un proyecto determinado al oferente que posea la mejor
calificacin tcnica y econmica propiamente tal.


9

Cabe destacar que en las bases de proyecto que realizan los clientes tanto
estatales como privados, existe dentro de sus apartados uno dedicado al 100% a
la implementacin tecnolgica de cada proyecto, para su funcionamiento
adecuado.
Esta implementacin tecnolgica contempla la provisin de los siguientes
aspectos:
Acceso a Internet, contemplando dentro de ste direcciones IP pblicas,
que varan en su cantidad dependiendo de los servicios que se requiera
implementar.
Instalaciones de redes informticas en las dependencias correspondientes.
Provisin de equipamiento computacional para el proyecto en cuestin,
entre los cuales se mencionan: servidores, computadores, impresoras,
scanners, cmaras digitales, plotters, etc.
Servicios de red, que interactan con la red pblica y privada, entre los que
se pueden mencionar: firewall, servidor de correo electrnico, antivirus y
antispam, servidor de informacin, etc.
Acceso remoto para dar soporte informtico tanto al tema de los servidores
y servicios, como tambin a los usuarios clientes.
2.3 Problemas detectados en la empresa
Se dar a conocer la problemtica existente al interior de la empresa en el mbito
de las TI y para cada caso puntual que deba ser solucionado, se describir el
problema de fondo para conseguir la mejor solucin y el nivel ptimo requerido en
la gestin de los diferentes proyectos.
A continuacin se expondrn los problemas detectados:
Nivel Estratgico
El Departamento de Informtica no se encuentra posicionado en el lugar
estratgico que le corresponde dentro de la estructura de la empresa.
No existe una poltica definida entre la Direccin de la empresa y la Unidad
de Informtica respecto a la administracin de las Tecnologas de
Informacin tanto a nivel central, como a los proyectos adjudicados.

10

Se observa la inexistencia de un marco de priorizacin, en cuanto a la
atencin de los usuarios que se realiza de acuerdo a su importancia
posicional en la empresa.
Inexistencia de la funcin de Gestin Informtica de Proyectos.
La inexistencia de planificacin en la cual se deje estipulado los objetivos
que debe cumplir la unidad de Informtica.
Nivel Tctico
La inexistencia de una interconexin de red entre la oficina central y los
proyectos en ejecucin.
No se cuenta con una solucin de acceso va VPN para la Gerencia de la
empresa para utilizar los recursos de la red interna.
Poca transparencia de la informacin en cuanto a los recursos con los
cuales cuenta la Unidad de Informtica para proveer de Tecnologas de
Informacin a la empresa.
La inexistencia de un protocolo de comunicacin en cuanto al manejo de la
informacin, respecto a la utilizacin de los recursos informticos de los
usuarios y la entrega a la Unidad de Informtica de dicha informacin.
Se ha detectado deficiencias en la evaluacin del nivel de importancia de la
informacin, respecto al tratamiento de sta.
La modalidad de requerimientos tcnicos que solicitan los usuarios se
efectan va telefnica y/o correo electrnico, lo que dificulta la realizacin
de seguimientos de dichas solicitudes y su incidencia en tiempo y costos
para la empresa.
No se cuenta con un enlace de respaldo con otro proveedor de servicios de
internet, ante fallas circunstanciales que puedan ocurrir con el enlace
principal.
Inexistencia de un filtraje de acceso a internet por parte de los usuarios,
principalmente restricciones a pginas a las que no debieran tener acceso.
Nivel de seguridad deficiente, al utilizar el servicio de Terminal Server.
Existe un acceso deficiente a la informacin.
El sistema de Licenciamiento es caro, lo que disminuye operativamente el
presupuesto de la unidad de Informtica.
No existe servidor de correo electrnico al interior de la empresa.

11

Problemas para la revisin de los correos institucionales en lnea (acceso
web), debido al servicio contratado con el ISP.
Inexistencia de un controlador de dominio primario de respaldo y de
backup.
No existen polticas de respaldos de Informacin.
Existen diversos problemas de seguridad con el Firewall.
No existe solucin segura de Antivirus y AntiSpam en cuanto a las
vulnerabilidades del sistema.
Servidor de Archivos licenciado y caro.
No existe servidor FTP como solucin para mover grandes archivos.
2.3.1 Casa Matriz Santiago
a) Acceso deficiente a la informacin
El acceso a los datos en los servidores actuales de la empresa es problemtico
y engorroso, puesto que la plataforma actualmente montada posee ciertas
restricciones. Como ejemplo, se puede mencionar que la informacin
relacionada con los proyectos posee un ordenamiento especfico en las rutas
de acceso que entrega el cliente. Este ordenamiento supera los lmites que
esta plataforma nos brinda, referido principalmente a Microsoft, puesto que en
base a su Filesystem (Sistema de Archivos), el tamao mximo que puede
tener una ruta especfica para contener informacin, no puede superar los 256
caracteres, lo cual es una limitante ya que las rutas entregadas por los clientes
superan el lmite antes mencionado.
Este problema trae consigo, adems del acceso a la informacin, los respaldos
correspondientes a los servidores, puesto que durante su proceso la
informacin que se encuentra contenida en las rutas en los servidores supera
el lmite establecido ocasionando inconsistencias, prdidas de informacin, por
el hecho de no poder respaldarse.
b) Sistema de licenciamiento
Debido a que la plataforma computacional cuenta con servidores que utilizan
los Sistemas Operativos de Servidor, mencinese Microsoft Windows 2003
Server Enterprise, Microsoft Windows 2008 Server Enterprise, se deben
adquirir las licencias correspondientes a cada servidor, como tambin a cada

12

recurso que entrega ste dentro de la LAN. Cada permiso, acceso a la
informacin compartida, servicios especficos, requieren que se adquiera una
licencia por cada usuario, acceso y servicios que se implementen en los
servidores. Se debe considerar tambin que los volmenes de informacin
contenidos en los servidores supera los 2 TB y su sistema de ordenamiento es
demasiado especfico, vale decir, muchos recursos compartidos para
diferentes usuarios, como tambin para algn grupo de usuarios que necesitan
acceder a la informacin.
c) Servidor de Correo Electrnico
La empresa no cuenta con un servidor de correo propio, encontrndose
contratado con un ISP (Proveedor de Servicios de Internet), el cual cobra
mensualmente por cada cuenta adicional que se requiera. Como dato
adicional, los buzones de correo poseen 50 MB de almacenamiento, lo cual
hace demasiado deficiente su tamao para lo que se necesita.
d) Problemas para la revisin de correos en lnea
Este problema se suscita debido a que el servicio que proporciona el ISP,
considerando el lmite de capacidad que posee cada buzn, permite la
visualizacin de los correos en lnea desde cualquier punto de acceso,
mencinese (Notebook, Netbook, Blackberry, Ipad, etc.). La informacin leda
por este medio queda almacenada en los servidores como leda, valga la
redundancia, pero con la deficiencia que a la hora de revisar un buzn
especfico asociado a la estacin de trabajo, no se puede descargar el correo
que ya ha sido ledo por la otra va antes expuesta.
e) Controlador de Dominio Primario (PDC)
Dentro de la LAN la administracin de los usuarios no se realiza en algn
servidor especfico. Debido a esto las restricciones que se necesitan para
administrar los perfiles de usuarios y que se aplican en base a las polticas
estipuladas en la empresa, como por ejemplo, que los usuarios solamente
puedan realizar algunos procesos determinados en el equipo, se hacen
limitadas ya que dichas restricciones se deben realizar en cada equipo
localmente, haciendo deficiente as la administracin de stos.


13

f) Respaldos de Informacin
Los respaldos de informacin de los servidores y de algunos usuarios en
especfico, se realizan por medio de un software que requiere licencia para su
uso.
g) Antivirus
El antivirus que se utiliza en la empresa es el que provee Microsoft al momento
de contar con licencias de software para el uso del Sistema Operativo. Se
necesita contar con una Consola de Administracin de Antivirus que debe
adquirirse por medio de los proveedores, ya que se debe pagar licencias para
el uso e implementacin de stos.
h) Servidor de Archivos
La empresa no cuenta con un servidor de archivos que permita almacenar la
informacin de cada usuario, encontrndose almacenada en sus respectivos
equipos hacindola cada vez ms vulnerable, con riesgo de prdida, como
tambin presenta el problema respecto al tiempo que se utiliza para poder
reintegrar el equipo al usuario en el momento oportuno.
i) AntiSpam
La empresa no posee filtro de Antispam (Correos Electrnicos no deseados
que ingresan a los buzones de los usuarios). Se hace necesario contar con
este servicio, ya que ha habido casos en que los equipos han sido infectados
por esta va, lo que perjudica sustancialmente su funcionamiento, como
tambin a la informacin que se encuentra almacenada.
j) Servidor FTP
El Servicio de Protocolo de Transferencia de Archivos (FTP) se utiliza como
servicio implementado dentro de los servidores mencionados anteriormente,
para que as el personal perteneciente a las obras en terreno de la empresa,
pueda enviar informacin relevante a cada proyecto en ejecucin para ser
analizado en la central. Contar con este servicio directamente dentro de la LAN
en uso implica que los niveles de seguridad de la red, bajen
considerablemente.

14

2.3.2 Sucursales
En las sucursales los problemas radican en la forma de operar de los proyectos,
la que se lleva a cabo de acuerdo a lo que estipulan las bases tcnicas de cada
uno de stos, no existiendo una estandarizacin de los procedimientos, debido a
que como cada cliente confecciona las bases necesarias, los requerimientos van
variando en funcin de la magnitud y duracin de cada proyecto.
Lo que se puede observar y que repetitivamente sucede, es en cuanto al acceso
compartido de la informacin entre la oficina central y los proyectos, como tambin
a la seguridad de la informacin de cada proyecto en las dependencias de stos.
2.4 Estimacin de las tendencias de las Tecnologas de Informacin
Llevar a cabo las tareas de la organizacin apoyndose en las Tecnologas de
Informacin, generalmente redunda en un procesamiento ms rpido y confiable
de sus datos. La informacin resultante tiene mayor movilidad y accesibilidad, y
cuenta con mayor integridad, que cuando se procesa en forma manual.
Igualmente, los computadores relevan a los empleados de numerosas actividades
repetitivas y aburridas, permitindoles aprovechar mejor su tiempo en actividades
que agregan ms valor.
A medida que los precios de los equipos de computacin decaen, su capacidad
aumenta, y se hacen ms fciles de usar, la TI se utiliza en nuevas y variadas
formas. En las empresas, sus aplicaciones son diversas. Hoy en da, la mayora
de las empresas medianas y grandes (y cada da ms pequeas y micro-
empresas) utilizan las TI para gestionar casi todos los aspectos del negocio,
especialmente el manejo de los registros financieros y transaccionales de las
organizaciones, registros de empleados, facturacin, cobranza, pagos, compras, y
mucho ms.
Se seala que las tendencias de las tecnologas de informacin se basan en los
mismos y mejorados servicios pero a un costo reducido. Esta ser la tnica
principal en el segmento de TI, hoy en da. En definitiva, la adopcin de
tecnologas sostenibles ser en la mdula espinal de la empresa, la tendencia a
seguir.
Segn los anlisis que ha hecho pblicos la consultora britnica Ovum, el mercado
de centros de datos sostenibles experimentar un importante crecimiento en el

15

ao 2013. Sostenibilidad significa tambin ahorro de costos y eficiencia. Esto, en
conjunto y asociado a un datacenter, quiere decir ms virtualizacin, ms
adopcin de redes definidas por software (SDN) y mayor adopcin de soluciones
de infraestructura centralizadas.
En el camino hacia la sostenibilidad, Ovum predice adems que las empresas
designarn sus propios jefes de sostenibilidad (CSO) encargados de la gestin de
programas de sostenibilidad corporativa.
La figura, muy novedosa an, se convertir en un cargo habitual en las empresas,
segn las predicciones de la consultora.
Cmo enfrenta CYGSA en la actualidad estas tendencias, con un plan tctico
que conlleve a una estrategia definida mediante un plan estructurado?
Los diagnsticos efectuados permiten determinar deficiencias en las cinco
operaciones informticas bsicas: captacin e interoperacin, procesamiento
artificial, transmisin, almacenamiento y procesamiento cerebral, lo que impide
adaptarse a estas tendencias. Ms all de estas cuatro operaciones tecnolgicas,
el cerebro humano es el receptor indispensable que contribuye en este proceso
dinmico de trabajar con informacin.

Figura 4: Esquematizacin de las cinco operaciones informticas bsicas

16

Los estudios efectuados de un trabajo conjunto entre un grupo amplio y
heterogneo de docentes universitarios y analistas de Amrica Latina, Europa y
Estados Unidos, sobre las conclusiones de las proyecciones y tendencias de las
TIC, permiten establecer nuevos paradigmas a los cuales CYGSA debe
adecuarse para ser viable:
1.- La evolucin de las TIC continuar.- Las tecnologas para adaptar,
almacenar, transmitir y procesar informacin son mucho ms antiguas que las TIC
digitales y han demostrado un crecimiento exponencial en su rendimiento desde
los das cuando la humanidad se comunic con seales de humo y papiro. Segn
la teora del progreso tcnico, no existe razn por la que no debieran continuar
evolucionando a un ritmo veloz y no se vislumbra un giro importante. Se ver que
cada ao se est creando ms informacin que en los cientos de aos anteriores y
en la actualidad no se puede prever un lmite inminente que restrinja el crecimiento
de la cantidad de informacin que puede ser procesada por una sociedad y sus
mquinas. A medida que el crecimiento exponencial est superando umbrales
significativos, el ndice sostenido de innovacin hace que el desarrollo futuro sea
cada vez ms incierto.
2.- De la informacin se pasa al conocimiento.- Ya no dan abasto las
soluciones tecnolgicas con las que se podra procesar efectivamente el mayor
caudal de informacin de las redes digitales. Las sociedades de la informacin en
la actualidad se caracterizan por estar desbordadas. Las investigaciones se estn
concentrando en la tarea de extraer significados de la avalancha de informacin
disponible y convertirla en conocimiento. Es de esperar que el eje del progreso
tcnico sea el enfoque cognitivo para las soluciones tecnolgicas que produzcan
inteligencia, en lugar de la simple construccin de infraestructura de las
comunicaciones.
3.- A medida que la tecnologa molecular se hace omnipresente, las TIC son
un requisito bsico.- El paradigma digital est siendo cada vez ms permeado
por las tecnologas mediante las cuales se manipulan molculas, como la
nanotecnologa, la biotecnologa y la tecnologa gentica. Se cree que el
paradigma molecular constituir la prxima onda larga socioeconmica de la
humanidad, y que convertir el paradigma digital en condicin sine qua non para
el progreso socioeconmico, de la misma manera que los anteriores paradigmas

17

del motor de combustin interna en el transporte o la electricidad se han hecho
indispensables para el desarrollo actual.
4.- Se producirn cambios en el paradigma tecnolgico en las trayectorias de
innovacin de las TIC.- En los cuatro subsistemas de TIC ( interoperacin,
almacenamiento, transmisin y computacin ) se observan caminos
evolucionarios bien marcados con paradigmas tecnolgicos diferentes y varios de
los actuales paradigmas estn alcanzando sus lmites. Con las tcnicas actuales
para producir hardware se afrontan problemas de tamao, y el mtodo de fuerza
bruta para la elaboracin de software no ha conducido a las esperadas soluciones
inteligentes. Adems el progreso de la nanotecnologa y la biotecnologa parece
empujar a los sistemas de TIC hacia el paradigma molecular. Esto indica que
habr cambios de paradigmas tecnolgicos en las avenidas de innovacin de las
TIC ( innovaciones disruptivas y radicales ), lo que a la vez siempre ofrece una
oportunidad para dar un salto cualitativo.
5.- La convergencia de las TIC convierte a la red en computadora.- La total
convergencia en el bit se traduce en una armnica red de tecnologa. Los lmites
entre dispositivos de transmisin de informacin, almacenamiento y
procesamiento han comenzado a desaparecer, y la naturaleza descentralizada
del sistema que se adapta convierte a la red en la computadora. Los procesos de
conocimiento se distribuyen entre varios agentes, y se crean algoritmos colectivos
descentralizados a lo largo de una red unificada. Deben estudiarse todava ms
los efectos de esta situacin en el desarrollo socioeconmico.
CYGSA es una empresa que atiende clientes a nivel mundial como CODELCO
Chile, que para ser competitivos aplican tecnologas frescas y de vanguardia.
Si no se superan las deficiencias en las cinco operaciones informticas bsicas,
difcilmente podr afrontar el desafo de las tendencias de las TIC.
La viabilidad (capacidad para subsistir y permanecer en el sistema ) de CYGSA,
para permanecer en el entorno de negocios, va a depender del nivel tecnolgico
que alcance, por lo que requiere de urgencia de un plan informtico formal.


18

III. MARCO TERICO
La metodologa propuesta se encuentra constituida por capas integradas, que se
interrelacionan e interactan, constituyendo el sistema de ordenamiento lgico
necesario para poder dar forma al modelo final del Plan Informtico propuesto.

Plan Informtico

Seguridad
Informtica
Hardware Software Buenas Prcticas y
Estndares
Calidad
Equipamiento

Sistema Operativo de Red (Open Source)


Figura 5. Metodologa propuesta para el desarrollo un Plan Informtico
3.1 Sistema Operativo de Red
La lnea base en la cual se establece est metodologa, se constituye en la
primera capa de integracin, considerando las tecnologas de Open Source,
principalmente Linux.
Se debe tener claro que existe una diferencia entre los trminos software libre y
open source, ya que no son sinnimos como generalmente se interpreta al
momento de referirse al tema de Linux. Eso s, son trminos hermanos que
acuan una filosofa: garantizar el acceso libre al cdigo fuente de los programas
utilizados en computadores, favoreciendo entre otras cosas su uso, transferencia y
modificacin.
El concepto de software libre contempla cuatro aspectos fundamentales: la libertad
de usar el programa con cualquier propsito; la libertad de estudiar y como
adaptarlo a los requerimientos particulares; la libertad de distribuir copias y la
libertad de corregir el programa y hacer pblicas las mejoras al resto de la
comunidad.


19

En tanto el concepto de cdigo abierto define diez requerimientos para que la
licencia de un determinado programa sea considerado cdigo abierto (Open
Source), entre los que destacan la distribucin libre, acceso al cdigo fuente y la
no discriminacin de personas o grupos para su uso.
La diferencia fundamental es que la OSI (Open Source Iniciative) incorpora una
visin de negocio, que permite comercializar servicios o soporte relacionados con
los programas Open Source, tarea que en el caso del Software Libre es
realizada por los propios componentes de la comunidad.
En Chile, los partidarios del Software Libre y el Open Source comenzaron a
reunirse durante la dcada pasada. Sin embargo durante estos ltimos aos es
que han logrado una mayor cohesin y foco, lo que incluso se ha materializado
en que una de estas agrupaciones tiene personalidad jurdica.
Los partidarios del software libre, la mayora mostrando una fuerte conviccin, han
ido abrindose espacios para dar a conocer las bondades de los programas de
esta categora, como Linux, sistema operativo ocupado preferentemente en
servidores y considerado como un verdadero Caballo de Troya del software libre.
La organizacin, si se considera que ya obtuvo personalidad jurdica, es el CDSL
(Centro de Difusin del Software Libre), cuyo trabajo principal est enfocado en el
fomento y desarrollo de este tipo de tecnologa, a travs de charlas, seminarios y
contactos con autoridades.
Debido al impacto que ha significado el uso de esta tecnologa, se est llevando a
cabo un Proyecto de Ley que busca fomentar el uso de software libre y/o de Open
Source por parte del Estado de Chile.
Los beneficios del Open Source se relacionan principalmente con ahorro de
costos, superioridad tcnica, diversidad y flexibilidad de soluciones informticas,
entre otros.
De hecho, ya existen numerosos pases en que se han realizado
implementaciones exitosas basadas en esta filosofa tecnolgica, entre los que se
cuentan la Comunidad Europea y su programa IDA (para la Integracin
Tecnolgica de los gobiernos), Alemania (en Munich y Hamburgo), Espaa (en las
comunidades autnomas), Brasil (primer gobierno que aprob una ley para el uso
amplio de Open Source), Argentina, Per y Francia.

20

Este proyecto de ley en particular busca garantizar, entre otras cosas, el libre
acceso de los ciudadanos a la informacin pblica, el fomento de la innovacin
tecnolgica y la disminucin de la brecha digital, adems de representar una
significativa ventaja econmica para el Estado, por el ahorro en el pago de
licencias, actualizaciones y otros, siempre y cuando no se transforme en software
libre.
En Chile, ya existen organismos que han incorporado la tecnologa de software
libre, especialmente Linux. Entre ellos podemos mencionar el Instituto de
Normalizacin Previsional (INP), el Instituto Nacional de la Juventud (INJUV), el
Ministerio de Economa, el Ministerio de Hacienda, Aduanas, la Superintendencia
de Electricidad y Combustibles, el Servicio Agrcola y Ganadero y la Secretara
General de la Presidencia. No se trata de una revolucin, pero s de valiosas
experiencias que se pueden convertir con el tiempo en una tendencia.

Figura 6: Mapa del Open Source y su utilizacin en el mundo
Nota: La representacin de colores est representada desde el color ms oscuro
referido al mayor uso del Open Source en el mundo hacia el ms claro con menor
tendencia.
Beneficios en el uso del software libre
Cdigo Fuente
El cdigo fuente es como una receta de cocina, contiene los ingredientes y los
pasos para lograr un plato de cocina, pero en este caso para obtener un producto

21

de software que un usuario final puede utilizar, a partir de lo que el programador
desarroll.
Software Privativo
Se le denomina Software Privativo a los productos de software que poseen una
licencia restrictiva, de tal forma que no permite tener acceso al cdigo fuente del
programa, copiar, distribuir y realizar modificaciones al mismo.
Debido a estas restricciones sobre la libertad en el acceso y el uso del software,
se priva al usuario final de realizar operaciones mencionadas con anterioridad, y
finalmente de compartir un trabajo que podra ser aprovechado por otras personas
e instituciones.
Software Libre
Es necesario dejar claro que el software libre es un asunto de libertad, no de
precio. Software libre se refiere a la libertad de los usuarios para ejecutar, copiar,
distribuir, estudiar, cambiar y mejorar el software. De modo ms preciso, se refiere
a cuatro libertades de los usuarios del software:
1. La libertad de usar el programa, con cualquier propsito (libertad 0).
2. La libertad de estudiar el funcionamiento del programa, y adaptarlo a las
necesidades (libertad 1). El acceso al cdigo fuente es una condicin previa
para esto.
3. La libertad de distribuir copias, con lo que puede ayudar a otros (libertad 2).
4. La libertad de mejorar el programa y hacer pblicas las mejoras, de modo
que toda la comunidad se beneficie (libertad 3). De igual forma que la
libertad 1 el acceso al cdigo fuente es un requisito previo.
Beneficios tecnolgicos
1. Hay grandes beneficios en la parte tecnolgica y la mayora de stos pasa
por un asunto de seguridad. En el caso del software libre, no solo es posible
detectar vulnerabilidades debido a que se puede analizar el cdigo fuente
del programa, sino que tambin se puede reparar.

2. Existe una gran comunidad de programadores en el mundo, quienes dan
soporte a los diferentes programas que poseen alguna licencia libre, y

22

debido al modelo de cooperativismo social, se pueda contar con un parche
(arreglo para la falla especfica del software) para perfeccionar el programa.

3. En sistemas privativos esto no es posible, ya que solamente la compaa
que es duea del programa y maneja su cdigo, tiene derecho y
posibilidades de modificarlo y solucionar cualquier tipo de falla que pueda
tener. Por esta misma razn, en el caso del software privativo, los tiempos
de respuesta ante fallos de software son mucho mayor que en el caso del
software libre.
4. Lo explicado en esta seccin es una ventaja comparativa tanto para los
sistemas operativos libres (cuyo mayor representante es GNU/Linux) como
tambin para las aplicaciones de los usuarios finales y servidores.
Beneficios Econmicos
1. Es necesario dejar en claro que el software libre, no significa que sea gratis.
Es libre!!

2. Cmo se puede obtener el software libre? Hay que pagar por la licencia?
Nada hay que pagar por la licencia de cualquier sistema libre lo que
constituye una gran ventaja para los pases, gobiernos, instituciones y
colegios, consistente en que el software libre puede ser descargado sin
restricciones desde internet o conseguido a travs de medios como CDs,
DVDs u otro. Entonces, lo que se paga principalmente son los servicios,
implementaciones en software libre, capacitaciones, modificaciones
sustanciales del software, etc., pero no se paga por su licencia. Y sta
permite que el software sea copiado, traspasado, modificado y socializado
en forma libre, con cualquier propsito y en cualquier tipo de institucin y
organizacin.

3. Un caso latinoamericano, Ecuador: Rodel Alds, Director de Gestin
Tecnolgica del Ministerio de Transporte y Obras Pblicas del Gobierno de
Ecuador, mencion lo siguiente en una entrevista en Enero de 2009: Un
sistema documental cuesta alrededor de USD 30.000. Al usar el sistema
Quipux (http://www.gestiondocumental.gob.ec/), que es software libre, no

23

invertimos ni un centavo, porque incluso el soporte tcnico nos lo brinda la
Secretara de Informtica.

4. Las migraciones e implementaciones de software libre no son gratis:
evidentemente hay implicancias econmicas al migrar y/o implementar
software libre en una organizacin o institucin, pero van ms bien por el
lado de la capacitacin de los usuarios y de quienes administrarn los
sistemas. Debido a sto se produce un doble efecto econmico y social, ya
que se deja de pagar licencias y se invierte dinero en brindarle
conocimientos y explorar las capacidades de quienes trabajarn con
software libre.

5. Generacin de puestos laborales locales. Con el software libre es posible
hacer negocios, y estos se basan en brindar servicios de instalacin,
mantencin, desarrollo de aplicaciones y soporte principalmente. Por esto
mismo, en vez de pagar licencias a una empresa extranjera, el dinero se re-
invierte en la generacin de puestos de trabajo en el pas, requiriendo de
tcnicos/as, ingenieros/as y capacitadores/as en diferentes niveles, lo cual
evidentemente, genera efectos econmicos muy positivos en la sociedad.
Beneficios Sociales
1. Se promueve el trabajo en equipo. La gran cantidad de proyectos basados
en software libre que hay en internet, son desarrollados y mantenidos por
comunidades, las cuales estn formadas por personas de la sociedad civil
quienes colaboran entre s para lograr sus objetivos trazados en cuanto al
producto final, proporcionndolo bajo una licencia que asegura la libertad
del individuo sobre el software. De esta forma muchas personas participan
de los proyectos, se ayudan y crecen en el proceso.

2. El cooperativismo social se practica sin fronteras ni barreras raciales, ya
que los proyectos en internet son abordados por personas de todo el
mundo, en una diversidad religiosa, econmica y geogrfica.

3. Se promueve la generacin de conocimiento libre, el cual puede ser
accedido por cualquier persona, sin limitaciones de acceso de ningn tipo

24

en cuanto a los permisos de uso y reutilizacin de la informacin y el
material generado que otorga el software libre.

4. Es posible personalizar las aplicaciones a la lengua que se desee, y no es
necesario tener que lidiar o acordar los trminos de uso del software al
proponer un proyecto de traduccin a una lengua autctona.

5. Facilitacin de la Inclusin Digital en sectores ms desprotegidos: es
posible reutilizar equipos que han sido dados de baja, y que estn en buen
estado. Esto es debido a que los requerimientos de hardware que tiene un
sistema operativo GNU/Linux son bastante modestos cuando se trata de
utilizar un escritorio con aplicaciones simples de ofimtica e internet. Es por
esta razn, que se dan las condiciones ptimas para reutilizar
computadores dados de baja por alguna empresa, montar una red de
computadores y acceder a tecnologas para una escuela de bajos recursos,
por nombrar un ejemplo.
Beneficios Polticos
1. Independencia y Soberana Tecnolgica: al utilizar software libre, se est
desligado de una sola compaa de la cual depende el desarrollo,
mantencin y soporte del software. Esto ha sido tomado en cuenta por
mltiples gobiernos en el mundo, y se ha constituido en el factor de ms
peso para algunas administraciones, aun cuando econmicamente no fuera
conveniente, como en el caso de los pases europeos en donde la mano de
obra es mucho ms cara que en Latinoamrica.

2. El punto anterior aplica tambin a las actualizaciones de software. En el
caso del software libre, las actualizaciones estn disponibles en forma libre,
y es posible configurarlas para que se realicen en forma automtica. En el
caso del software privativo, la compaa que provee un determinado
software decide en qu momento lanza las actualizaciones, si las versiones
mayores sern compatibles con las menores o no y en el fondo ejercen una
presin sobre las empresas que utilizan el software en cuestin, para tener
compatibilidad con las empresas del mercado. Esto, naturalmente tiene un

25

alto impacto econmico, el cual se ve disminuido casi por completo al
utilizar software libre.

3. Integracin Regional: El Gobierno de Brasil adopt software libre en 2003,
transformndose en un referente mundial. Venezuela decret el uso del
software libre en 2004, y Ecuador en 2008. Cada vez ms pases de la
regin estn adoptando el uso de software libre en los gobiernos, debido a
sus mltiples beneficios.
Beneficios Legales
1. Al utilizar software libre la organizacin, institucin o empresa queda libre
de caer en ilegalidades como el uso de software en forma pirata, es decir,
sin la licencia que corresponde. En un ambiente con software libre como
GNU/Linux como sistema operativo y con OpenOffice como plataforma
ofimtica, se est completamente libre de piratera, ya que la licencia que
provee el software permite que sea utilizado con cualquier propsito sin
tener que pagar grandes sumas de dinero por hacerlo, quedndose en una
cmoda situacin legal.

2. Al promoverse la libre competencia entre diversas empresas que poseen
los conocimientos y capacidades para brindar soporte tcnico,
mantenimiento y capacitacin de los productos de software libre, se evita
caer en prcticas monoplicas, ya que no hay una sola empresa que
desarrolle, entregue y mantenga el software.
Teniendo en claro los conceptos de software libre y cdigo abierto, a continuacin
se profundizar en lo que respecta al Sistema Operativo de Red (Open Source)
que en este caso ser Linux.
Sistema Operativo Linux
Antecedentes
Linux es un ncleo libre de sistema operativo basado en Unix. Es uno de los
principales ejemplos de Open Source que est licenciado bajo la GPL v2 (licencia
pblica que permite usar, estudiar, compartir, copiar y modificar el software). A
diferencia de los sistemas operativos propietarios como por ejemplo Windows de
la empresa Microsoft, el cual ha sido desarrollado por miles de usuarios de

26

computadores a travs del mundo la desventaja de stos es que lo que te dan es
lo que tu obtienes, dicho de otra forma no existe posibilidad de realizar
modificaciones ni de saber cmo se realiz dicho sistema.). Fue creado
inicialmente como un pasatiempo por un estudiante joven, Linus Torvalds, en la
Universidad de Helsinki en Finlandia con asistencia de un grupo de hackers a
travs de Internet. Linus tena un inters en Minix, un sistema pequeo o
abreviado del UNIX (desarrollado por Andy Tanenbaum) y decidi crear un
sistema que excedi los estndares de Minix. Quiso llevar a cabo un sistema
operativo que aprovechase la arquitectura de 32 bits para multitarea y eliminar las
barreras del direccionamiento de memoria. Torvalds comenz escribiendo el
ncleo del proyecto en ensamblador y luego le aadi cdigo en C, lo cual
increment la velocidad de desarrollo e hizo que empezara a tomarse en serio su
idea.
Comenz en 1991 cuando l realiz la versin 0.02, la cual no se dio a conocer
porque ni siquiera tena drivers de disquete, adems de llevar un sistema de
almacenamiento de archivos muy defectuoso.
Trabaj constantemente hasta 1994 en que la versin 1.0 del ncleo (Kernel) de
Linux se concret. La versin completamente desarrollada y actual es la 2.6 y el
desarrollo contina.
Linux tiene todas las prestaciones que se pueden esperar de un Unix moderno y
completamente desarrollado: multitarea real, memoria virtual, bibliotecas
compartidas, carga de sistemas a demanda, manejo de la memoria y soporte de
redes TCP/IP.
Linux corre principalmente en PCs con arquitectura de 32 bits, como tambin lo
hace en arquitectura de 64 bits, sacando el mayor provecho al hardware
implementado en el equipo de estas caractersticas.
La parte central de Linux (conocida como ncleo o kernel) se distribuye a travs
de la Licencia Pblica General GNU, lo que bsicamente significa que puede ser
copiado libremente, cambiado y distribuido, pero no es posible imponer
restricciones adicionales a los productos obtenidos y, adicionalmente, se debe
dejar el cdigo fuente disponible, de la misma forma que est disponible el cdigo
de Linux, aun cuando ste tenga registro de Copyright y no sea estrictamente de

27

dominio pblico. La licencia tiene por objeto asegurar que Linux siga siendo
gratuito y a la vez estndar.
Por su naturaleza, Linux se distribuye libremente y puede ser obtenido y utilizado
sin restricciones por cualquier persona, organizacin o empresa que as lo desee,
sin necesidad de que tenga que firmar algn documento ni inscribirse como
usuario. Por todo ello, es muy difcil establecer quines son los principales
usuarios de Linux. No obstante se sabe que actualmente Linux est siendo
utilizado ampliamente en soportar servicios en Internet. Lo utilizan Universidades
alrededor de todo el mundo para sus redes y sus clases, lo utilizan empresas
productoras de equipamiento industrial para vender como software de apoyo a su
maquinaria, lo utilizan cadenas de supermercados, estaciones de servicio y
muchas instituciones del gobierno y militares de varios pases. El apoyo ms
grande, sin duda, ha sido Internet ya que a travs de ella se ha podido demostrar
que se puede crear un sistema operativo para todos los usuarios sin la necesidad
de fines lucrativos.
Caractersticas del sistema operativo Linux.
En lneas generales se puede decir que dispone de varios tipos de sistemas de
archivos para poder acceder a archivos en otras plataformas. Incluye un entorno
grfico X Windows (Interface grfico estndar para mquinas UNIX), que nada
tiene que envidiar a los modernos y caros entornos comerciales. Est orientado al
trabajo en red, con todo tipo de facilidades como correo electrnico, por ejemplo.
Posee cada vez ms software de libre distribucin, que desarrollan miles de
personas a lo largo y ancho del planeta. Linux es ya el sistema operativo preferido
por la mayora de los informticos. Un ejemplo de la popularidad que ha alcanzado
el sistema y la confianza que se puede depositar en l es que incluso la NASA ha
encomendado misiones espaciales de control de experimentos a la seguridad y la
eficacia de Linux.
Se puede decir que, la gran popularidad de Linux se debe a que:
Se distribuye su cdigo fuente, lo cual permite a cualquier persona, que as
lo desee, hacer todos los cambios necesarios para resolver problemas que
se puedan presentar, as como tambin agregar funcionalidad. El nico
requisito que esto conlleva es poner los cambios realizados a disposicin
del pblico.

28

Es desarrollado en forma abierta por cientos de usuarios distribuidos por
todo el mundo, los cuales utilizan la red Internet como medio de
comunicacin y colaboracin. Esto permite un rpido y eficiente ciclo de
desarrollo.
Cuenta con un amplio y robusto soporte para comunicaciones y redes, lo
cual hace que sea una opcin atractiva tanto para empresas como para
usuarios individuales.
Da soporte a una amplia variedad de hardware y se puede ejecutar en una
multitud de plataformas.
Compatibilidad en entornos globales y de red
Cuando se trata de servidores de gama media y alta, los principales usuarios
corporativos han confiado tradicionalmente en UNIX como soporte de aplicaciones
comerciales a travs de proveedores como Oracle, Sybase, SAP, Lotus Notes y
otros. En este ltimo tiempo se ha estado utilizando para soportar diversos
servicios de red, entre los cuales podemos mencionar Servidor Web (tpicamente
ejecutando el popular servidor web de cdigo abierto llamado Apache), servidores
de gama baja para pequeos negocios, entornos locales, y centros de datos. De
hecho, la industria de las Tecnologas de la Informacin ha mostrado una
significativa disposicin para migrar servidores UNIX de gama baja a Linux, debido
a la facilidad de sustitucin y los costos significativamente menores respecto a
UNIX. Esto es favorecido inestimablemente por el hecho de que tanto UNIX como
Linux permiten a los administradores integrar completamente las capacidades y
metodologas (basadas en estndares tcnicos abiertos y protocolos universales)
entre los servidores.
La migracin a Linux sigue siendo bastante buena en las clases de servidores de
pequeo tamao y estaciones de trabajo, habitados frecuentemente por Microsoft.
Los productos de Microsoft estn fuertemente basados en funcionalidades,
formatos de datos y ficheros, protocolos de red propietarios. Estos tpicamente
impiden dicha integracin vertical y obligan a los directivos de TI a bloquearse
dentro del subgrupo cerrado centrado en Microsoft. Modificar un servidor o
estacin de trabajo Windows para que cumpla con los protocolos universales
puede ser difcil y costoso.

29

La experiencia de los ltimos aos demuestra que las personas que han hecho
sus carreras principal o exclusivamente bajo Sistemas Operativos Microsoft y han
ascendido en las estructuras de la informtica de escritorio, basadas en
plataformas Microsoft, tuvieron que afrontar los requerimientos de los entornos de
medianos y grandes servidores desde un conjunto reducido de habilidades. La
estrategia corporativa de Microsoft de hacer la administracin de sus Sistemas
Operativos fcil, indudablemente ha abierto el mundo de la computacin a
incontables millones de personas pero, desafortunadamente, tambin ha resultado
en la pretensin de que la administracin de entornos de computacin
corporativos crticos es una tarea fcil.
El resultante ecosistema informtico centrado en Microsoft conlleva una elevacin
injustificable de los Sistemas Operativos de Microsoft a un nivel alto en entornos
corporativos, dadas las capacidades (o su falta de ellas) de los productos de
Microsoft para servidores.
Interoperabilidad entre la nueva plataforma y el software
Los lderes responsables de las tecnologas de informacin saben que un entorno
basado en productos de un solo proveedor es mucho menos deseable que el que
se apoya en una diversidad de varios de ellos. Un argumento promulgado por los
vendedores de Microsoft es que por el hecho de permanecer con un sistema
completamente basado en tecnologa Microsoft, la interoperabilidad y la facilidad
del uso estn garantizadas. sta es una idea falsa basada en las patentes.
Microsoft no permite competir mediante el uso de medidas reservadas y software
interno para cerrar la puerta a las ofertas de los productos, pero, por otro lado, no
puede garantizar a los clientes que se est proporcionando realmente el mejor de
los servicios.
Adicionalmente, Microsoft ha tomado medidas sin precedentes para mantener
atados sus propios productos a plataforma de servidores, usando su Entorno de
Trabajo .NET, de forma que hasta la rutina de intercambio entre mquinas
Microsoft est atada a la funcionalidad de .NET, constituyndose en una estrategia
restrictiva. Incluso, si un cliente quiere encontrar un producto competitivo que no
sea de Microsoft, podra quedar proscrito por las Condiciones de Licencia del
Usuario Final (EULA) de los nuevos Services Packs por la premisa de usar una
prueba comparativa para hacer el intercambio. En la EULA Microsoft pone: Usted
no puede divulgar los resultados de cualquier prueba comparativa de los

30

componentes de .NET o del Sistema Operativo a terceros sin el previo
consentimiento por escrito de Microsoft. Puesto que las decisiones corporativas
de actualizacin requieren anlisis razonados o una justificacin antes de
realizarlas, no es posible para los comprobadores publicar su prueba de la
superioridad de un competidor sin el consentimiento de Microsoft. Y es difcil creer
que cualquier permiso de este tipo pueda salir de las propiedades de esta
empresa.
El planteamiento de UNIX/Linux sostiene que las versiones, el equipo informtico,
y las capacidades pueden adaptarse exactamente en un mbito de computacin a
situaciones especficas.
Ventajas del Sistema Operativo Linux
Las principales razones para considerar esta plataforma tecnolgica son las
siguientes:
Es un sistema operativo muy fiable ya que hereda la robustez de UNIX.
Es software libre, lo que quiere decir que no hay que pagar por el sistema
en s.
Ideal para las redes ya que fue diseado en internet y para internet.
No es verdico que tenga pocos programas, solo en algn campo
especfico.
Es 100% configurable.
Es el sistema ms seguro, ya que al disponer del cdigo fuente cualquiera
puede darse cuenta de algn fallo especfico, pudiendo decirse que
decenas de miles de personas velan por su seguridad.
Cuenta con el soporte de muchas grandes empresas como IBM, Corel,
Lotus, Siemens, Motorola, Sun, etc.
3.2 Equipamiento
3.2.1 Hardware de Red
En cuanto al equipamiento debemos dividir el tema en dos: Hardware y Software,
considerando que para cada caso debemos estipular aspectos distintos y
relevantes.


31

Hardware
Cuando se habla de hardware, se est refiriendo a todas las partes tangibles que
poseen los computadores, sus componentes elctricos, electrnicos,
electromagnticos y mecnicos; sus cables, gabinetes o cajas, perifricos de todo
tipo y cualquier otro elemento fsico involucrado.
El trmino es propio del idioma ingls (traducido literalmente: partes duras). Su
traduccin al espaol no tiene un significado acorde, por tal motivo se la ha
adoptado tal como es y suena. Por otra parte la Real Academia Espaola lo define
como Conjunto de componentes que integran la parte material de un
computador. El trmino, aunque es lo ms comn, no solamente se aplica a un
computador tal como se le conoce, ya que por ejemplo un robot, un telfono mvil,
una cmara fotogrfica o un reproductor multimedia tambin perteneceran a esta
categora.
En cuanto al desarrollo de este proyecto, llevado a la prctica, se dar a conocer
el Hardware que poseen las estaciones de trabajo y servidores dentro de la
empresa a la cual se ha aplicado este procedimiento.
Las estaciones de trabajo poseen caractersticas ms que suficientes para poder
satisfacer las necesidades de los usuarios, necesidades que se basan en poder
sostener el software que deben utilizar segmentado en los diversos departamentos
que posee la empresa.
Los servidores poseen caractersticas sofisticadas, cuando se trata de llevar a
cabo la implementacin de servicios de red necesarios que deben operar dentro
de la empresa.
Considerando que el hardware es un aspecto importante, se debe dejar en claro
que para la implementacin de este proyecto se contar con el equipamiento que
posee actualmente la empresa, debido a que cumple con los requisitos necesarios
para llevar a cabo la implementacin de software requerido.
3.2.2 Software.
En cuanto al tema software, se le denomina as al equipamiento lgico o soporte
lgico (intangible) de un computador digital; comprende el conjunto de los
componentes lgicos necesarios que hacen posible la realizacin de tareas
especficas, en contraposicin a los componentes fsicos (hardware). Podemos

32

definirlo tambin como el conjunto de los programas de cmputo, procedimientos,
reglas, documentacin y datos asociados que forman parte de las operaciones de
un sistema de computacin.
Los componentes lgicos incluyen, entre muchos otros, las aplicaciones
informticas base tales como procesador de textos que permite al usuario realizar
todas las tareas concernientes a la edicin de textos; el software de sistema,
referido al Sistema Operativo, que bsicamente permite al resto de los programas
funcionar adecuadamente, facilitando tambin la interaccin entre los
componentes fsicos y el resto de las aplicaciones y proporcionando una interfaz
para el usuario final.
Software libre, opcin a Microsoft (Estaciones de Trabajo)
El software que se puede considerar como opcin al software privativo se detalla a
continuacin:
Sistema Operativo Linux Ubuntu (alternativa a Microsoft Windows)
Es un sistema operativo que utiliza un ncleo Linux, y su origen est basado en
Debian. Ubuntu est orientado al usuario promedio, con un fuerte enfoque en
la facilidad de uso para mejorar la experiencia de usuario.
Con el Sistema Operativo Linux, se implementar:
LibreOffice (alternativa a Microsoft Office 2010)
Es una suite ofimtica libre y gratuita, que funciona en muchos tipos de
ordenadores y sistemas operativos, como por ejemplo Windows, Mac y
Linux.
Dispone de un procesador de texto (Writer), un editor de hojas de
clculo (Calc), un creador de presentaciones (Impress), un gestor de
bases de datos (Base), un editor de grficos vectoriales (Draw), y un
editor de frmulas matemticas (Math).
LibreOffice se cre como una bifurcacin de OpenOffice.org en octubre
de 2010, y est creada y mantenida por una comunidad liderada por la
fundacin The Document Foundation. Est disponible bajo la licencia
GNU Lesser General Public Licence. La compra de Sun Microsystems
(lder del desarrollo de OpenOffice.org) por Oracle fue el

33

desencadenante de esta bifurcacin debido a la orientacin dada por
Oracle.
Mozilla Firefox (alternativa Internet Explorer 9)
Es un navegador web libre y de cdigo abierto descendiente de Mozilla
Application Suite y desarrollado por la fundacin Mozilla. Es el segundo
ms utilizado de Internet con una cuota de mercado aproximada de 30%
en todo el mundo.
Para visualizar pginas web emplea el motor de renderizado (plataforma
que permite la visualizacin web) Gecko, el cual implementa estndares
web actuales adems de otras funciones destinadas a anticipar
probables adiciones a los estndares.
Las ltimas caractersticas incluyen navegacin por pestaas, corrector
ortogrfico, bsqueda progresiva, marcadores dinmicos, un
administrador de descargas, navegacin privada, navegacin con
georeferenciacin, aceleracin mediante GPU e integracin del motor de
bsqueda que desee el usuario. Se puede aadir funciones a travs de
complementos desarrollados por terceros, entre los que hay una amplia
seleccin, lo que segn algunos estudios lo convierte en el navegador
ms personalizable y seguro del momento.
Otra caracterstica importante es que es multiplataforma, estando
disponible para varios sistemas operativos como Windows, GNU/Linux,
Mac OS X, FreeBSD y muchas otras.
Existen diversas aplicaciones que podran ser reemplazantes de la lnea
del software privativo bajo este caso y que son una opcin ms que
confortante para poder contemplarlos dentro de la migracin que se
podra aplicar.
Se debe tener en cuenta que si bien es cierto, se est utilizando
tecnologa de software libre, en la cual no se considera contar con las
licencias correspondientes por software, el costo que pueda significar
para la empresa es el proceso de capacitacin y adaptacin para el
usuario final y establecer los lineamientos necesarios para contemplar
esta tecnologa dentro de sta, si as lo quisiera.

34

3.3 Mejores Prcticas y Estndares Internacionales
Qu son las Mejores Prcticas?
Por mejores prcticas se entiende un conjunto coherente de acciones que han
rendido un buen o incluso excelente servicio en un determinado contexto y que se
espera que, en contextos similares, rindan similares resultados.
Las mejores prcticas dependen de las pocas, de las modas y hasta de la
empresa consultora o del autor que las preconiza. No es de extraar que algunas
sean incluso contradictorias entre ellas.
Dentro de las Buenas (Mejores) Prcticas que se han considerado para la
confeccin del modelo informtico a implementar, se debe destacar que existen
varias metodologas, normativas y estndares que sirven como base para las
diversas etapas en la constitucin de un sistema de ordenamiento integral.
Estos procedimientos aplicados conjuntamente permiten lograr un esquema de
seguimiento, auditora, funcionalidad, etc., al trabajo con las Tecnologas de la
Informacin. Se puede mencionar algunos de los cuales se han considerado y
hacer un alcance en base a proyeccin que proporcionan para el proyecto:
1. PMBOOK: Es una gua y estndar en la Administracin de
proyectos desarrollado por el Project Management Institute (PMI).
PMBOOK comprende dos grandes secciones, la primera sobre los
procesos y contextos de un proyecto, la segunda sobre las reas de
conocimiento especfico para la gestin de un proyecto. El PMI (El Project
Management Institute (PMI) es una organizacin internacional sin fines de
lucro que asocia a profesionales relacionados con la Gestin de Proyectos.)

2. COBIT es un conjunto de mejores prcticas para el manejo de informacin
creado por la Asociacin para la Auditora y Control de Sistemas de
Informacin,(ISACA, en ingls: Information Systems Audit and Control
Association), y el Instituto de Administracin de las Tecnologas de la
Informacin (ITGI, en ingls: IT Governance Institute) en 1992.

3. ITIL (La Biblioteca de Infraestructura de Tecnologas de Informacin,
frecuentemente abreviada ITIL (del ingls Information Technology
Infrastructure Library), es un conjunto de conceptos y prcticas para la

35

gestin de servicios de tecnologas de la informacin, el desarrollo de
tecnologas de la informacin y las operaciones relacionadas con la misma
en general. ITIL da descripciones detalladas de un extenso conjunto de
procedimientos de gestin, ideados para ayudar a las organizaciones a
lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos
son independientes del proveedor y han sido desarrollados para servir
como gua que abarque toda infraestructura, desarrollo y operaciones de TI.

4. ISO/IEC 17799 (denominada tambin como ISO 27002), es un estndar
para la seguridad de la informacin publicado por primera vez como
ISO/IEC 17799:2000 por la International Organization for Standardization y
por la Comisin Electrotcnica Internacional en el ao 2000.

.
Figura 7: Mapa lgico de los diferentes estndares y Buenas/Mejores
prcticas



36

3.3.1 Procesos: PMI y PMBOOK
La Gua de los Fundamentos para la Direccin de Proyectos (PMBOOK) es una
norma reconocida en el mbito de la direccin de proyectos. Por norma se hace
referencia a un documento formal que describe normas, mtodos, procesos y
prcticas establecidos. El conocimiento contenido en esta norma evolucion a
partir de las buenas prcticas reconocidas por profesionales dedicados a la
direccin de proyectos, quienes contribuyeron a su desarrollo.
PMBOOK, proporciona pautas para la direccin de proyectos tomados de forma
individual. Define la direccin de proyectos y otros conceptos relacionados, y
describe el ciclo de vida de la direccin de proyectos y los procesos conexos.
La creciente aceptacin de la direccin de proyectos indica que la aplicacin de
conocimientos, procesos, habilidades, herramientas y tcnicas adecuados puede
tener un impacto considerable en el xito de un proyecto. La Gua del PMBOK
identifica ese subconjunto de fundamentos de la direccin de proyectos
reconocido como buenas prcticas. Generalmente reconocido significa que los
conocimientos y prcticas descritos se aplican a la mayora de los proyectos, la
mayor parte del tiempo, y que existe consenso sobre su valor y utilidad. Buenas
prcticas significa que se est de acuerdo, en general, en que la aplicacin de
estas habilidades, herramientas y tcnicas puede aumentar las posibilidades de
xito de una amplia variedad de proyectos. Buenas prcticas no significa que el
conocimiento descrito deba aplicarse siempre de la misma manera en todos los
proyectos; la organizacin y/o el equipo de direccin del proyecto son
responsables de establecer lo que es apropiado para un proyecto determinado.
La Gua del PMBOK tambin proporciona y promueve un vocabulario comn en el
mbito de la direccin de proyectos, para analizar, escribir y aplicar conceptos
afines. Un vocabulario estndar es un elemento esencial en toda disciplina
profesional.
El Project Management Institute (PMI) considera la norma como una referencia
fundamental en el mbito de la direccin de proyectos para sus certificaciones y
programas de desarrollo profesional.

37


Figura 8: Las etapas de la administracin de proyectos


Figura 9: Mapa de la gua de administracin de proyectos.


38

3.3.2 Gestin TI: COBIT
Para muchas empresas, la informacin y la tecnologa que las soportan
representan sus ms valiosos activos, aunque con frecuencia son poco
entendidos. Las empresas exitosas reconocen los beneficios de la tecnologa de
informacin y la utilizan para impulsar el valor de sus interesados (stakeholders).
Estas empresas tambin entienden y administran los riesgos asociados, tales
como el aumento en requerimientos regulatorios, as como la dependencia crtica
de muchos procesos de negocio en TI.

Figura 10: Diagrama de procesos de COBIT
La necesidad del aseguramiento del valor de TI, la administracin de los riesgos
asociados a TI, as como el incremento de requerimientos para controlar la
informacin, se entienden ahora como elementos clave del Gobierno Corporativo.
El valor, el riesgo y el control constituyen la esencia del gobierno de IT.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y
consta de liderazgo, estructuras y procesos organizacionales que garantizan que
TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Ms an, el gobierno de TI integra e institucionaliza las buenas prcticas para
garantizar que TI en la empresa soporta los objetivos del negocio. De esta
manera, el gobierno de TI facilita que la empresa aproveche al mximo su
informacin, maximizando as los beneficios, capitalizando las oportunidades y
ganando ventajas competitivas. Estos resultados requieren un marco de referencia
para controlar las TI, que se ajuste y sirva como soporte a COSO (Committee Of
Sponsoring Organisations Of The Treadway Commission) Marco de Referencia

39

Integrado Control Interno, el marco de referencia de control ampliamente
aceptado para gobierno corporativo y para la administracin de riesgos, as como
a marcos compatibles similares.
Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de
seguridad de su informacin, as como de todos sus activos. La direccin tambin
debe optimizar el uso de los recursos disponibles de TI, incluyendo aplicaciones,
informacin, infraestructura y personas. Para descargar estas responsabilidades,
as como para lograr sus objetivos, la direccin debe entender el estatus de su
arquitectura empresarial para TI y decidir qu tipo de gobierno y de control debe
aplicar.
Los Objetivos de Control para la informacin y la Tecnologa relacionada (COBIT)
brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos,
y presenta las actividades en una estructura manejable y lgica. Las buenas
prcticas de COBIT representan el consenso de los expertos. Estn enfocadas
fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a
optimizar las inversiones habilitadas por TI, asegurarn la entrega del servicio y
brindarn una medida contra la cual juzgar cuando las cosas no vayan bien.
Para que TI tenga xito en satisfacer los requerimientos del negocio, la direccin
debe implementar un sistema de control interno o un marco de trabajo. El marco
de trabajo de control COBIT contribuye a estas necesidades de la siguiente
manera:
Estableciendo un vnculo con los requerimientos del negocio.
Organizando las actividades de TI en un modelo de procesos
generalmente aceptado.
Identificando los principales recursos de TI a ser utilizados.
Definiendo los objetivos de control gerenciales a ser considerados.
La orientacin al negocio que enfoca COBIT consiste en alinear las metas de TI
con las metas del negocio, brindando mtricas y modelos de madurez para medir
sus logros, e identificando las responsabilidades asociadas de los dueos de los
procesos de negocio y de TI.
El enfoque hacia procesos de COBIT se ilustra con un modelo, el cual subdivide
las TI en 34 procesos de acuerdo a las reas de responsabilidad de planear,

40

construir, ejecutar y monitorear, ofreciendo una visin de punta a punta de la TI.
Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos
esenciales para el xito de los procesos, es decir, aplicaciones, informacin,
infraestructura y personas.
En resumen, para proporcionar la informacin que la empresa necesita para lograr
sus objetivos, los recursos de TI deben ser administrados por un conjunto de
procesos agrupados de forma natural.
Pero, cmo puede la empresa poner bajo control TI de tal manera que genere la
informacin que la empresa necesita?; cmo puede administrar los riesgos y
asegurar los recursos de TI de los cuales depende tanto?; cmo puede la
empresa asegurar que TI logre sus objetivos y soporte los del negocio?.
En primer lugar, la direccin requiere objetivos de control que definan la meta final
de implementar polticas, procedimientos, prcticas y estructuras organizacionales
diseadas para brindar un aseguramiento razonable de que:
Se alcancen los objetivos del negocio.
Se prevengan o se detecten y corrijan eventos no deseados.
En segundo lugar, en los complejos ambientes de hoy en da, la direccin busca
continuamente informacin oportuna y condensada, para tomar decisiones difciles
respecto a riesgos y controles de manera rpida y exitosa. Qu se debe medir y
cmo ?. Las empresas requieren una medicin objetiva de dnde se encuentran y
dnde se requieren mejoras, y deben implementar una caja de herramientas
gerenciales para monitorear esta mejora.

Figura 11: Administracin de la Informacin

41

La figura 10, muestra algunas preguntas frecuentes y las herramientas gerenciales
de informacin usadas para encontrar las respuestas, aunque estos tableros de
control requieren indicadores, los marcadores de puntuacin requieren mediciones
y los Benchmarking requieren una escala de comparacin.
Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado
de control y desempeo de TI son las definiciones especficas de COBIT de los
siguientes conceptos:
Benchmarking de la capacidad de los procesos de TI, expresada como
modelos de madurez, derivados del Modelo de Madurez de la
Capacidad del Instituto de Ingeniera de Software.
Metas y mtricas de los procesos de TI para definir y medir sus
resultados y su desempeo, basados en los principios de Balanced
Scorecard de Negocio de Robert Kaplan y David Norton.
Metas de actividades para controlar estos procesos, con base en los
objetivos de control detallados de COBIT.
La evaluacin de la capacidad de los procesos basada en los modelos de
madurez de COBIT es una parte clave de la implementacin del gobierno de TI.
Despus de identificar los procesos y controles crticos de TI, el modelo de
madurez permite identificar y demostrar a la direccin las brechas en la capacidad.
Entonces se pueden crear planes de accin para llevar estos procesos hasta el
nivel objetivo de capacidad deseado.
COBIT da soporte al gobierno de TI (Figura 10) al brindar un marco de trabajo que
garantiza que:
TI est alineada con el negocio.
TI habilita al negocio y maximiza los beneficios.
Los recursos de TI se usan de manera responsable.
Los riesgos de TI se administran apropiadamente
La medicin del desempeo es esencial para el gobierno de TI. COBIT le da
soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan
medir, referentes a lo que los procesos de TI requieren generar (resultado del
proceso) y cmo lo generan (capacidad y desempeo del proceso). Muchos
estudios han identificado que la falta de transparencia en los costos, valor y

42

riesgos de TI, es uno de los ms importantes impulsores para el gobierno de TI.
Mientras las otras reas consideradas contribuyen, la transparencia se logra de
forma principal por medio de la medicin del desempeo.






Figura 12: reas de Enfoque del Gobierno de TI
Las reas de enfoque de gobierno de TI describen los tpicos en los que la
direccin ejecutiva requiere poner atencin para gobernar las TI en sus empresas.
La direccin operacional usa procesos para organizar y administrar las actividades
cotidianas de TI. COBIT brinda un modelo de procesos genricos que representa
todos los procesos que normalmente se encuentran en las funciones de TI,
ofreciendo un modelo de referencia comn entendible para los gerentes operativos
de TI y del negocio. Se establecieron equivalencias entre los modelos de procesos
COBIT y las reas de enfoque del gobierno de TI, ofreciendo as un puente entre
lo que los gerentes operativos deben realizar y lo que los ejecutivos desean
gobernar.
Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser
implementados por los gerentes operativos se encuentren dentro de un marco de
control definido para todos los procesos de TI. Los objetivos de control de TI de
COBIT estn organizados por proceso de TI, por lo tanto, el marco de trabajo
brinda una alineacin clara entre los requerimientos de gobierno de TI, los
procesos de TI y los controles de TI.
COBIT se enfoca en qu se requiere para lograr una administracin y un control
adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y
armonizado con otros estndares y mejores prcticas ms detallados de TI.
COBIT acta como un integrador de todos estos materiales gua, resumiendo los

43

objetivos claves bajo un mismo marco de trabajo integral que tambin se alinea
con los requerimientos de gobierno y de negocio.
COSO (modelo comn de control interno para evaluar sistemas de control) es
generalmente aceptado como el marco de trabajo de control interno para las
empresas. COBIT es el marco de trabajo de control interno generalmente
aceptado para TI.
Los productos COBIT se han organizado en tres niveles (figura 12) diseados para
dar soporte a:
Administracin y consejos ejecutivos.
Administracin del negocio y de TI
Profesionales en Gobierno, aseguramiento, control y seguridad.
Brevemente, los productos COBIT incluyen:
El resumen informativo al consejo sobre el gobierno de TI, 2da Edicin
Diseado para ayudar a los ejecutivos a entender por qu el gobierno de
TI es importante, cules son sus intereses y cules son sus
responsabilidades para administrarlo.
Directrices Gerenciales / Modelos de madurez Ayudan a asignar
responsabilidades, medir el desempeo, llevar a cabo benchmarks y
manejar brechas en la capacidad.
Marco de referencia Explica cmo COBIT organiza los objetivos de
gobierno y las mejores prcticas de TI con base en dominios y procesos
de TI, y los alinea a los requerimientos del negocio.
Objetivos de control Brindan objetivos a la direccin basados en las
mejores prcticas genricas para todos los procesos de TI.
Gua de Implementacin de Gobierno de TI: Usando COBIT y VAL TI
2da Edicin. Proporciona un mapa de ruta para implementar gobierno TI
utilizando los recursos COBIT y VAL TI.
Prcticas de Control de COBIT: Gua para Conseguir los Objetivos de
Control para el xito del Gobierno de TI 2da Edicin Proporciona una
gua de por qu vale la pena implementar controles y cmo
implementarlos.


44

Gua de Aseguramiento de TI: Usando COBIT Proporciona una gua
de cmo COBIT puede utilizarse para soportar una variedad de
actividades de aseguramiento junto con los pasos de prueba sugeridos
para todos los procesos de TI y objetivos de control.

Figura 13: Productos COBIT
El diagrama de contenido de COBIT mostrado presenta las audiencias principales,
sus preguntas sobre gobierno TI y los productos que generalmente les aplican
para proporcionar las respuestas. Tambin hay productos derivados para
propsitos especficos, para dominios tales como seguridad o empresas
especficas.
Todos estos componentes de COBIT se interrelacionan, ofreciendo soporte para
las necesidades de gobierno, de administracin, de control y de auditora de los
distintos interesados, como se muestra en la Figura 14.

45


Figura 14: Interrelaciones de los componentes de COBIT
COBIT es un marco de referencia y un juego de herramientas de soporte que
permiten a la gerencia cerrar la brecha con respecto a los requerimientos de
control, temas tcnicos y riesgos de negocio, y comunicar ese nivel de control a
los interesados (Stackeholders). COBIT permite el desarrollo de polticas claras y
de buenas prcticas para control de TI a travs de las empresas. COBIT
constantemente se actualiza y armoniza con otros estndares, por lo tanto, se ha
convertido en el integrador de las mejores prcticas de TI y el marco de referencia
general para el gobierno de TI que ayuda a comprender y administrar los riesgos y
beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque de
alto nivel orientado al negocio brindan una visin completa de TI y de las
decisiones a tomar acerca de la misma.
Los beneficios de implementar COBIT como marco de referencia de gobierno
sobre TI incluyen:
Mejor alineacin, con base en su enfoque de negocios.
Una visin, entendible para la gerencia, de lo que hace TI.
Propiedad y responsabilidades claras, con base en su orientacin a
procesos.
Aceptacin general de terceros y reguladores.
Entendimiento compartido entre todos los interesados, con base en un
lenguaje comn.
Cumplimiento de los requerimientos COSO para el ambiente de control
de TI.


46

3.3.3 Gestin Servicios: ITIL
Las tecnologas de la informacin son tan antiguas como la historia misma y han
jugado un importante papel en ella. Sin embargo, no ha sido sino que hasta
tiempos recientes que mediante la automatizacin de su gestin, se han
convertido en una herramienta imprescindible y clave para empresas e
instituciones.
La informacin es probablemente la fuente principal de negocio en el primer
mundo y ese negocio a su vez genera ingentes cantidades de informacin. Su
correcta gestin es de importancia estratgica y no debe considerarse como una
herramienta ms entre muchas otras.
Hasta hace poco las infraestructuras informticas se limitaban a dar servicio de
soporte y de alguna forma eran equiparables con el otro material de oficina: algo
importante e indispensable para el correcto funcionamiento de la organizacin
pero poco ms.
Sin embargo, en la actualidad esto ha cambiado y los servicios de TI representan
generalmente una parte sustancial de los procesos de negocios. Algo de lo que es
a menudo responsable el advenimiento de ubicuas redes de informacin: sirva de
ejemplo la Banca Electrnica.
Los objetivos de una buena gestin de servicios TI han de ser:
Proporcionar una adecuada gestin de la calidad.
Aumentar la eficiencia.
Alinear los procesos de negocios y la infraestructura TI.
Reducir los riesgos asociados a los Servicios TI.
Generar negocio.
ITIL nace como un cdigo de buenas prcticas dirigidas a alcanzar esas metas
mediante:
Un enfoque sistemtico del servicio TI centrado en los procesos y
procedimientos
El establecimiento de estrategias para la gestin operativa de la
infraestructura TI.


47

Qu es ITIL?
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de
la Informacin (ITIL), se ha convertido en el estndar mundial de facto en la
Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de
Reino Unido, la estructura base ha demostrado ser til para las organizaciones en
todos los sectores a travs de su adopcin por innumerables compaas como
base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL
es conocido y utilizado mundialmente. Pertenece a la OGC (Oficina de Comercio
Gubernamental del Reino Unido, organizacin responsable de las tareas que
mejoran la eficiencia y eficacia de los procesos de negocios de gobierno), pero es
de libre utilizacin.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms
de la Informtica para alcanzar sus objetivos corporativos.
Esta dependencia en aumento ha dado como resultado una necesidad creciente
de servicios informticos de calidad que se correspondan con los objetivos del
negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de
los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la
gestin de servicios TI. La aplicacin TI (a veces nombrada como un sistema de
informacin) slo contribuye a realizar los objetivos corporativos si el sistema est
a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias, es
soportado por los procesos de mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza
cerca del 70-80% del total del tiempo y del costo, y el resto se invierte en el
desarrollo del producto (u obtencin). De esta manera, los procesos eficaces y
eficientes de la Gestin de Servicios TI se convierten en esenciales para el xito
de los departamentos de TI. Esto se aplica a cualquier tipo de organizacin,
grande o pequea, pblica o privada, con servicios TI centralizados o
descentralizados, con servicios TI internos o suministrados por terceros. En todos
los casos, el servicio debe ser fiable, consistente, de alta calidad, y de costo
aceptable.
ITIL fue producido originalmente a finales de 1980 y constaba de 10 libros
centrales cubriendo las dos principales reas de Soporte del Servicio y Prestacin
del Servicio. Estos libros centrales fueron ms tarde soportados por 30 libros

48

complementarios que cubran una numerosa variedad de temas, desde el
cableado hasta la gestin de la continuidad del negocio. A partir del ao 2000, se
acometi una revisin de la biblioteca. En esta revisin, ITIL ha sido re-
estructurado para hacer ms simple el acceder a la informacin necesaria para
administrar sus servicios. Los libros centrales se han agrupado en dos, cubriendo
las reas de Soporte del Servicio y Prestacin del Servicio, en aras de eliminar la
duplicidad y mejorar la navegacin. El material ha sido tambin actualizado y
revisado para un enfoque conciso y claro.

Figura 15: ITIL 10 Libros Centrales a fines de 1980.
Soporte al Servicio
El Soporte al Servicio se preocupa de todos los aspectos que garanticen la
continuidad, disponibilidad y calidad del servicio prestado al usuario.
El siguiente diagrama interactivo resume sucintamente los principales aspectos de
la metodologa de soporte al servicio segn estndares ITIL:

49


Figura 16: Aspectos de la metodologa de Soporte al Servicio

Provisin del Servicio
La provisin del servicio se ocupa de los servicios ofrecidos en si mismos. En
particular de los Niveles de servicio, su disponibilidad, su continuidad, su viabilidad
financiera, la capacidad necesaria de la infraestructura TI y los niveles de
seguridad requeridos.
El siguiente diagrama interactivo resume sucintamente los principales aspectos de
la metodologa de provisin del servicio segn los estndares ITIL:

Figura 17: Aspectos de la metodologa de Provisin del Servicio

50

Tiempos de Implementacin de ITIL en una organizacin
Para poder realizar una implementacin de ITIL, es necesario tener claro los
tiempos adecuados que esto conlleva. A continuacin se presenta un resumen de
los procesos y los tiempos que significan para cada caso:
Tabla 1: Tiempos estndar de implementacin en una organizacin

Procesos ITIL
Tiempos de Implementacin
Meses
PYMES Grandes
Empresas
Administracin de Incidentes y Service Desk 3-6 6-24
Administracin de Configuracin 1-3 4-12
Administracin de Problemas 1-3 3-4
Administracin de Cambios 1-3 3-5
Administracin de Release 1 1-2
Administracin de Disponibilidad 3-6 6-9
Administracin de Capacidad 4-6 6-12
Administracin Continua de Servicios TI 3-6 6-9
Administracin Financiera 4-6 6-9
Administracin de Niveles de Servicios 2-4 4-6

3.3.4 Calidad: Normas ISO (Seguridad)
ISO/IEC 17799 (denominada tambin como ISO 27002) es un estndar para la
seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000
por la International Organization for Standardization y por la Comisin
Electrotcnica Internacional en el ao 2000, con el ttulo de Information technology
- Security techniques - Code of practice for information security management. Tras
un periodo de revisin y actualizacin de los contenidos del estndar, se public
en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El
estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue
publicado por primera vez en 1995.
En Chile la norma chilena homloga es la BS ISO/IEC 27002:2005.

51


Figura 18: Las reas clave en los aspectos de la seguridad de la informacin.
Confidencialidad
La confidencialidad es la propiedad de prevenir la divulgacin de informacin a
personas o sistemas no autorizados.
Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el
nmero de tarjeta de crdito ha de ser transmitida desde el comprador al
comerciante y del comerciante a una red de procesamiento de transacciones. El
sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de
la tarjeta y los datos que contiene la banda magntica durante la transmisin de
los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta, de algn
modo se ha producido una violacin de la confidencialidad.
La prdida de la confidencialidad de la informacin puede adoptar muchas formas.
Cuando alguien mira por encima de su hombro, mientras se tiene informacin
confidencial en la pantalla, cuando se publica informacin privada, cuando un
laptop con informacin sensible sobre una empresa es robado, cuando se divulga
informacin confidencial a travs del telfono, etc. Todos estos casos pueden
constituir una violacin de la confidencialidad.
Integridad
Para la Seguridad de la Informacin, la integridad es la propiedad que busca
mantener los datos libres de modificaciones no autorizadas. La violacin de
integridad se presenta cuando un empleado, programa o proceso (por accidente o
con mala intencin) modifica o borra los datos importantes que son parte de la
informacin, as mismo hace que su contenido permanezca inalterado a menos

52

que sea modificado por personal autorizado, y esta modificacin sea registrada,
asegurando su precisin y confiabilidad. La integridad de un mensaje se obtiene
adjuntndole otro conjunto de datos de comprobacin de la integridad: la firma
digital que es uno de los pilares fundamentales de la seguridad de la informacin.
Disponibilidad
La Disponibilidad es la caracterstica, cualidad o condicin de la informacin de
encontrarse a disposicin de quienes deben acceder a ella, ya sea personas,
procesos o aplicaciones.
En el caso de los sistemas informticos utilizados para almacenar y procesar la
informacin, los controles de seguridad utilizados para protegerlos y los canales
de comunicacin protegidos que se utilizan para acceder a ella deben estar
funcionando correctamente. La alta disponibilidad de sistemas, como objetivo,
debe seguir estando disponible en todo momento, evitando interrupciones del
servicio debido a cortes de energa, fallos de hardware, y actualizaciones del
sistema.
Garantizar la disponibilidad implica tambin la prevencin de ataque de
denegacin de servicio. La disponibilidad, adems de ser importante en el proceso
de seguridad de la informacin, es adems variada en el sentido de que existen
varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales
mecanismos se implementan en infraestructura tecnolgica, servidores de correo
electrnico, de bases de datos, de web etc, mediante el uso de clusters o arreglos
de discos, equipos en alta disponibilidad a nivel de red, servidores espejo,
replicacin de datos, redes de almacenamiento (SAN), enlaces redundantes, etc.
La gama de posibilidades depender de lo que se quiera proteger y el nivel de
servicio que se quiera proporcionar.
Directrices del estndar
ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a todos los interesados y responsables
en iniciar, implantar o mantener sistemas de gestin de la seguridad de la
informacin. La seguridad de la informacin se define en el estndar como "la
preservacin de la confidencialidad (asegurando que slo quienes estn
autorizados pueden acceder a la informacin), integridad (asegurando que la
informacin y sus mtodos de proceso son exactos y completos) y disponibilidad

53

(asegurando que los usuarios autorizados tienen acceso a la informacin y a sus
activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones principales:
1. Poltica de Seguridad de la Informacin.
2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada seccin, se especifican los objetivos de los distintos controles para
la seguridad de la informacin. Para cada uno de los controles se indica asimismo
una gua para su implantacin. El nmero total de controles suma 133 entre todas
las secciones aunque cada organizacin debe considerar previamente cuntos
sern realmente los aplicables segn sus propias necesidades.
Con la aprobacin de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de
la numeracin 27.000 para la seguridad de la informacin, la ISO/IEC 17799:2005
pas a ser renombrada como ISO/IEC 27002 en la revisin y actualizacin de sus
contenidos en el 2007.
3.4 El Plan Informtico
El Plan Informtico propuesto, va a estar basado en todas las buenas prcticas
que se aplican a la realidad de TI de las empresas. Dentro de las buenas prcticas
que se han considerado se pueden mencionar: PMI (orientada a la gestin de
proyectos informticos), COBIT (orientada a la administracin de las Tecnologas
de Informacin), ITIL (orientada a los procesos informticos a implementar para el
tratamiento de la informacin), ISO 27001 (orientada a la seguridad de la
informacin). Se tomarn en consideracin los elementos necesarios de estas
buenas prcticas para afrontar una problemtica existente en una empresa u
organizacin, independiente de su envergadura.

54

IV. PLANTEAMIENTO DE LA SOLUCION
De acuerdo al estudio realizado, considerando las Buenas Prcticas antes
descritas, se ha llegado a la conclusin en hacer una modificacin a la
metodologa expuesta anteriormente, considerando de manera fundamental la
seguridad como un tem destacado dentro del modelo expuesto.

Plan Informtico

Hardware Software PMI COBIT ITIL SEGURIDAD
Equipamiento Buenas Prcticas y Estndares

Sistema Operativo de Red (Open Source)

Figura 19: Metodologa propuesta mejorada
4.1 Puesta en marcha
El primer paso fundamental que se debe llevar a cabo para la implementacin de
la metodologa, es el anlisis de los servicios implementados y por implementar
dentro de una organizacin, por lo que se debern considerar los recursos tanto
de hardware como software existentes para contar con la infraestructura necesaria
de acuerdo a sus requerimientos y prestaciones.
4.1.1 Hardware
Se debe realizar un levantamiento informtico del hardware que posee la empresa
considerando aspectos de vida til de los recursos, garantas, tiempos de
reposicin de hardware, etc., requerimientos necesarios para que cada
equipamiento realice su labor adecuadamente, tomando en cuenta los recursos de
softwares utilizados.
4.1.2 Software
Con relacin al software del equipamiento se debe catalogar en dos categoras:
software base y software especfico. En cuanto al software base se puede decir
que se trata del Sistema Operativo y en el software especfico se puede mencionar
uno de los ms destacados y usados por un usuario comn la Suite Ofimtica,

55

como tambin podemos mencionar software para algo particular, dentro de los
cuales tenemos la lnea de Adobe, Autodesk, etc. Respecto al software
especfico, como ejemplo se puede mencionar un caso particular Autocad X, que
se trata de un software de diseo para dibujos en dos y tres dimensiones,
producto que no tiene una contraparte aceptable y compatible a cabalidad en la
lnea Open Source.
Tomando como base la explicacin anterior, se debe proceder a segmentar el
software, es decir, enfocarse en la plataforma informtica, como tambin en el
software que necesita el usuario final. Como plataforma, se refiere a la lnea de
servidores que proveen los servicios de red que necesita la empresa. Como
software que necesita el usuario final, se orienta al software que debe utilizar para
realizar sus labores en los departamentos de la empresa. Se debe realizar un
estudio a la plataforma informtica como tambin a cada Departamento de la
empresa en cuanto a las necesidades de software que posean.
Refirindose al software, en cuanto a nivel de servidores, la implementacin se
realizar por medio de Linux, contemplando que dentro de estos servicios se
encuentra un servidor dedicado para el software corporativo de la empresa,
refirindose principalmente a los sistemas de contabilidad, que se encuentran en
la base del Sistema Operativo Windows. Excluyendo este caso, toda la plataforma
de red se implementar en el Sistema Operativo Linux y se proceder a una
interaccin entre estos dos sistemas operativos.
En cuanto a nivel de estaciones de trabajo, el tema es distinto, puesto que se
encuentran en una plataforma Windows y en este caso no se considera realizar el
procedimiento de migracin, debido a la utilizacin de software especializado en
desarrollar procesos exclusivos que se encuentra instalado dentro de los
proyectos, por lo que en este caso no se implementa tecnologa Linux.
Es bueno considerar tambin alternativas al software privativo, hablando
netamente del software base como lo es el sistema operativo y las aplicaciones de
ofimtica, que podran tomarse en cuenta para algunas estaciones de trabajo, que
no requieren software especial.
En cuanto al estudio, respecto de la plataforma informtica, se debe realizar una
auditora del tratamiento de las Tecnologas de Informacin que utiliza la empresa,
dicho de otro modo, la forma como se estn trabajando los servicios de red dentro

56

de sta. Esta auditora proporcionar la informacin necesaria para evaluar el
funcionamiento de cada servicio y detectar las falencias existentes al calcular
costo v/s rendimiento, lo que dar la visin necesaria para entregar una solucin
ntegra a los procesos que se deben realizar en la empresa.
Con relacin al software del usuario final, se debe determinar cules son los que
necesita utilizar cada uno de ellos, especficamente por departamento, ya que los
requerimientos de software de un departamento a otro pueden llegar a ser
completamente diferentes, de acuerdo a la funcin que desempea el usuario
propiamente tal dentro de la organizacin.
4.1.3 Cableado Estructurado
Se debe realizar una evaluacin de la red de datos de la empresa, para determinar
cul es el rendimiento actual que sta posee y su funcionamiento. Para esto es
necesario verificar si la empresa en cuestin posee un sistema de monitoreo de
servicios de red, ya que esta herramienta permitir determinar los diversos tipos
de falencias que pudieran existir, y as entregar una solucin ptima en cuanto a
las mejoras que se deban realizar, previo a los rendimientos propiamente tales
que desee la empresa, en cuanto a su funcionamiento.
Un punto importante al realizar esta evaluacin, es recopilar la informacin
necesaria para saber si la empresa cuenta con la certificacin de red de datos
necesaria, que pueda entregar el rendimiento que realmente necesita. En este
punto se debe solicitar la informacin relevante de la red actual, en lo que se
refiere a la topologa de red existente, monitoreos, informes de rendimiento, etc.
Deber ponerse nfasis a la seguridad existente, ya que es un aspecto importante
al hablar de la importancia de la informacin dentro de la organizacin,
procedindose a realizar evaluaciones de este tipo para entregar la informacin
relevante a la seguridad de la red de datos a la Gerencia de la empresa.
Informando sto, se procede a realizar las mejoras correspondientes y
sustanciales, de acuerdo al valor que tenga la informacin dentro de la
organizacin.


57

4.1.4 Servicios de Red
Los mtodos propuestos que debe utilizar la empresa para afrontar cada caso, los
lleva a cabo por medio de la implementacin de soluciones a las categoras de
problemas antes expuestas, dentro de las cuales se deben sealar:
Tabla 02. Servicios de red bajo Open Source.
Problema Solucin va Open Source

Red de Datos

Acceso deficiente a la
informacin debido a las
limitaciones del sistema
de archivos de Windows.
Samba es una implementacin libre del protocolo de
archivos compartidos de Microsoft Windows
(antiguamente llamado SMB, renombrado
recientemente a CIFS) para sistemas de tipo UNIX.
De esta forma, es posible que ordenadores con
GNU/Linux, Mac OS X o Unix en general se vean
como servidores o acten como clientes en redes de
Windows. Samba tambin permite validar usuarios
haciendo de Controlador Principal de Dominio (PDC),
como miembro de dominio e incluso como un
dominio Active Directory para redes basadas en
Windows; aparte de ser capaz de servir colas de
impresin, directorios compartidos y autentificar con
su propio archivo de usuarios con lo cual permite un
acceso fluido a la informacin.
Control de acceso a
internet

Servicio no existente y
necesario para llevar a
cabo las normas de la
empresa
Proxy Server y Cach

Un Proxy en una red informtica, es un software o
hardware que realiza una accin en representacin
de otro, esto es, si una hipottica mquina A solicita
un recurso a una C, lo har mediante una peticin a
B; C entonces no sabr que la peticin procedi
originalmente de A. Su finalidad ms habitual es la
de servidor proxy, que sirve para interceptar las
conexiones de red que un cliente hace a un servidor
de destino, por varios motivos posibles como
seguridad, rendimiento, anonimato, etc.

58

DNS

Inexistencia de este
servicio para que se
utilice como pasarela
con los servidores
externos.

Servicio DNS sobre Linux

El DNS es extremadamente importante. Podramos
decir que es el encargado de transformar direcciones
IP reales (200.72.13.52) a nombres IP
(www.midominio.tld) y viceversa e informar de una
serie de datos a otros DNS y servidores existentes
en el mundo.
Zona desmilitarizada

Informacin de acceso
restringido disponible a
cualquier usuario dentro
de la red de datos
interna.
Segmentacin de la red actual va VLANs sobre
Linux

VLAN es un acrnimo de Red de rea Local Virtual.
Varias VLAN pueden coexistir en un nico
conmutador fsico, configurndose a travs del
software (los comandos de Linux y los archivos de
configuracin) y no a travs de la interfaz de
hardware (que todava no ha configurado el switch).
Monitoreo de Servicios

Servicio inexistente que
no permite analizar el
funcionamiento de los
servicios de red
implementados dentro
de la red interna,
expuestos hacia la red
externa.
Nagios es un sistema de monitorizacin de redes de
cdigo abierto ampliamente utilizado, que vigila los
equipos (hardware) y servicios (software) que se
especifiquen, alertando cuando el comportamiento de
los mismos no sea el deseado. Entre sus
caractersticas principales figuran la monitorizacin
de servicios de red (SMTP, POP3, HTTP, SNMP...),
la monitorizacin de los recursos de sistemas
hardware (carga del procesador, uso de los discos,
memoria, estado de los puertos...), independencia de
sistemas operativos, posibilidad de monitorizacin
remota mediante tneles SSL cifrados o SSH, y la
posibilidad de programar plugins especficos para
nuevos sistemas.
Se trata de un software que proporciona una gran
versatilidad para consultar prcticamente cualquier
parmetro de inters de un sistema, y genera alertas

59

que pueden ser recibidas mediante correo
electrnico y mensajes SMS (entre otros medios),
cuando estos parmetros exceden de los mrgenes
definidos por el administrador de red.
Llamado originalmente Netsaint, nombre que se
debi cambiar por coincidencia con otra marca
comercial, fue creado y es actualmente mantenido
por Ethan Galstad, junto con un grupo de
desarrolladores de software que mantienen tambin
varios complementos.
Nagios fue originalmente diseado para ser
ejecutado en GNU/Linux, pero tambin se ejecuta
bien en variantes de Unix.
Firewall (Cortafuegos)

Servicio que realiza sus
funciones de manera
ineficiente, por el hecho
de no contener las
reglas de filtrado
necesarias y vlidas
para el acceso
autorizado y no
autorizado de los
usuarios de la empresa.
Netfilter es un framework disponible en el ncleo
Linux que permite interceptar y manipular paquetes
de red. Dicho framework permite realizar el manejo
de paquetes en diferentes estados del
procesamiento. Netfilter es tambin el nombre que
recibe el proyecto que se encarga de ofrecer
herramientas libres para cortafuegos basados en
Linux.
El componente ms popular construido sobre
Netfilter es iptables, una herramienta de cortafuegos
que permite no solamente filtrar paquetes, sino
tambin realizar traduccin de direcciones de red
(NAT) para IPv4 o mantener registros de log. El
proyecto Netfilter no slo ofrece componentes
disponibles como mdulos del ncleo sino que
tambin ofrece herramientas de espacio de usuario y
libreras.
iptables es el nombre de la herramienta de espacio
de usuario mediante la cual el administrador puede
definir polticas de filtrado del trfico que circula por
la red. El nombre iptables se utiliza frecuentemente

60

de forma errnea para referirse a toda la
infraestructura ofrecida por el proyecto Netfilter. Sin
embargo, el proyecto ofrece otros subsistemas
independientes de iptables tales como el Connection
Tracking System o sistema de seguimiento de
conexiones, que permite encolar paquetes para que
sean tratados desde espacio de usuario. iptables es
un software disponible en prcticamente todas las
distribuciones de Linux actuales.
Transferencia de
informacin

La inexistencia de este
servicio, no permite
compartir informacin
con los proyectos que se
encuentran en ejecucin
(sucursales)
Servidor FTP

FTP (sigla en ingls de File Transfer Protocol -
Protocolo de Transferencia de Archivos) en
informtica, es un protocolo de red para la
transferencia de archivos entre sistemas conectados
a una red TCP (Transmission Control Protocol),
basado en la arquitectura cliente-servidor. Desde un
equipo cliente se puede conectar a un servidor para
descargar archivos desde l o para enviarle archivos,
independientemente del sistema operativo utilizado
en cada equipo.
Administracin de
cuentas de correo
electrnico


Servicio inexistente que
no permite el control
completo de las cuentas
de correo electrnico
propias.

Servidor de Correo Electrnico

Sendmail es un popular "agente de transporte de
correo" (MTA - Mail Transport Agent) en Internet,
cuya tarea consiste en "encaminar" los mensajes
correos de forma que estos lleguen a su destino.
Se afirma que es el ms popular MTA, compatible
con sistemas Unix y el responsable de la mayora de
los envos de correo de internet, aunque se le critica
su alto nmero de alertas de seguridad (la mayora
de ellas parchadas a las pocas horas), adems de no
ser sencillo de configurar.


61

Seguridad en la red

La red interna de la
empresa no se
encuentra con los
niveles de seguridad
apropiados para su
operacin.

Antivirus y AntiSpam
ClamAV es un software antivirus open source (de
licencia GPL) para las plataformas Windows, Linux y
otros sistemas operativos semejantes a Unix.
Respaldos de
informacin

La modalidad de los
respaldos de informacin
es deficiente debido a no
existir consistencia en la
informacin almacenada.
AMANDA, Advanced Maryland Automatic Archiver
disco de red, es una solucin de copia de seguridad
que permite al administrador de TI configurar un
servidor maestro solo para copia de seguridad de
mltiples hosts en la red de unidades de cinta / o
cambiadores de discos o medios pticos. Amanda
utiliza los servicios nativos y formatos (por ejemplo,
descarga y / o GNU tar) y copias de seguridad de un
gran nmero de servidores y estaciones de trabajo
con mltiples versiones de Linux o Unix. Amanda
utiliza un cliente nativo de Windows para copias de
seguridad de Microsoft de escritorio y servidores
Windows.
Autentificacin de
usuarios y permisos

No existe autenticacin
de usuarios lo que
impide realizar las
restricciones necesarias
a ste y definir los roles
necesarios para cada
usuario y su funcin en
la empresa.
Controlador de Dominio Primario

Con el servidor Linux se puede disponer de un
Controlador de Dominio (PDC - Primary Domain
Controller) de un dominio Windows, para poder
beneficiarnos de todas sus caractersticas:
autentificacin de usuarios, scripts de inicio de
sesin, perfiles mviles, directivas de sistemas, etc...
Se utiliza Samba como PDC.


62

Licenciamiento

Elevado costo de
licencias de software
orientado principalmente
a los servidores de la
empresa que provee de
los servicios de red
necesarios.
Licencia GPL . La Licencia Pblica General de GNU
o ms conocida por su nombre en ingls GNU
General Public License o simplemente sus siglas del
ingls GNU GPL, es una licencia creada por la Free
Software Foundation en 1989 (la primera versin), y
est orientada principalmente a proteger la libre
distribucin, modificacin y uso de software. Su
propsito es declarar que el software cubierto por
esta licencia es software libre y protegerlo de intentos
de apropiacin que restrinjan esas libertades a los
usuarios.
Existen varias licencias "hermanas" de la GPL, como
la licencia de documentacin libre de GNU (GFDL),
la Open Audio License, para trabajos musicales,
etctera, y otras menos restrictivas, como la MGPL, o
la LGPL (Lesser General Publical License, antes
Library General Publical License), que permiten el
enlace dinmico de aplicaciones libres a aplicaciones
no libres.
Seguridad de la
informacin

No existe un
procedimiento
establecido para el
manejo de seguridad de
las TI.
ISO 27001

Es un conjunto de estndares desarrollados o en
fase de desarrollo por ISO (International
Organization for Standardization) e IEC (International
Electrotechnical Commision), que proporcionan un
marco de gestin de la seguridad de la informacin
utilizable por cualquier tipo de organizacin, pblica o
privada, grande o pequea.
Para la adecuada gestin de la seguridad de la
informacin, es necesario implantar un sistema que
aborde esta tarea de una forma metdica,
documentada y basada en unos objetivos claros de
seguridad y una evaluacin de los riesgos a los que
est sometida la informacin de la organizacin.


63

Interconexin entre
nivel central y
sucursales

Por el hecho de no
(existir) una
interconexin entre la
casa matriz y las
sucursales no se cuenta
con la informacin de
manera ntegra.

OpenVPN es una solucin de conectividad basada
en software: SSL (Secure Sockets Layer) VPN Virtual
Private Network (red virtual privada). OpenVPN
ofrece conectividad punto-a-punto con validacin
jerrquica de usuarios y host conectados
remotamente. Resulta una muy buena opcin en
tecnologas Wi-Fi (redes inalmbricas EEI 802.11) y
soporta una amplia configuracin, entre ellas
balanceo de cargas. Est publicado bajo la licencia
GPL, de software libre.
Filtraje URL

Acceso no restringido a
los servicios de internet,
lo que impide llevar un
control a los servicios de
internet.












Se hace necesario contar con restricciones de
acceso a diversos sitios y almacenamiento temporal
de sitios ms visitados.
Squid es un popular programa de software libre que
implementa un servidor proxy y un dominio para
cach de pginas web, publicado bajo licencia GPL.
Tiene una amplia variedad de utilidades, desde
acelerar un servidor web, guardando en cach
peticiones repetidas a DNS y otras bsquedas para
un grupo de gente que comparte recursos de la red,
hasta cach de web, adems de aadir seguridad
filtrando el trfico. Est especialmente diseado para
ejecutarse bajo entornos tipo Unix.
Squid ha sido desarrollado durante muchos aos y
se le considera muy completo y robusto. Aunque
orientado principalmente a HTTP y FTP es
compatible con otros protocolos como Internet
Gopher. Implementa varias modalidades de cifrado
como TLS, SSL, y HTTPS.


64

Accesos no
autorizados

No se cuenta con un
sistema de deteccin de
accesos no autorizados
a la red privada de la
empresa.
IDS (Sistema de Deteccin de Intrusos)

Debido a la importancia de la informacin se debe
contar con una infraestructura de red robusta y con
niveles de seguridad elevados a la hora de tratar de
acceder a la red interna de manera inadecuada.

Snort es un sniffer de paquetes y un detector de
intrusos basado en red (se monitoriza todo un
dominio de colisin). Es un software muy flexible que
ofrece capacidades de almacenamiento de sus
bitcoras tanto en archivos de texto como en bases
de datos abiertas como lo es MySQL. Implementa un
motor de deteccin de ataques y barrido de puertos
que permite registrar, alertar y responder ante
cualquier anomala previamente definida. As mismo
existen herramientas de terceros para mostrar
informes en tiempo real (ACID) o para convertirlo en
un Sistema Detector y Preventor de Intrusos.
Prevenir accesos no
autorizados

No se cuenta con un
control ni seguridad al
ingresar a los recursos
de la red interna

Snort.
Es un sniffer de paquetes y un detector de intrusos
basado en red (se monitoriza todo un dominio de
colisin).

Permite prevenir de manera segura cualquier acceso
no autorizado a los servicios de red implementados y
a la red interna.
Ancho de banda

No existe la
discriminacin de los
usuarios que utilizan los
servicios de la red, que
permita asignar mayor
ancho de banda a
El traffic shaping o catalogacin de trfico (tambin
conocido como catalogacin de paquetes, por su
nombre en ingls "packet shaping") intenta controlar
el trfico en redes de ordenadores para as lograr
optimizar o garantizar el rendimiento, baja latencia,
y/o un ancho de banda determinado retrasando
paquetes. La catalogacin de trfico propone
conceptos de clasificacin, colas, imposicin de

65

usuarios que utilizan
servicios de red
especiales.

polticas, administracin de congestin, calidad de
servicio (QoS) y regulacin. Por otra parte, esto
consiste en una prctica utilizada por diversos ISPs
para no sobrepasar sus capacidades de servicio.
Debido al aumento de trfico especialmente por
aplicaciones P2P, los ISPs han aumentado su
manejo de este tipo de trfico. Debido a la
adaptacin de las aplicaciones para enmascarar este
tipo de trfico, se ha empezado a implementar
Inspeccin Profunda de Paquetes (Deep Packet
Inspection en ingls).
Si bien normalmente se usa traffic shaping en
contexto de ISPs, desde hace mucho tiempo el
control de trfico est soportado por distintas
tecnologas de transporte en forma nativa (como
ATM y MPLS) lo que permite la clasificacin y
priorizacin de trficos como VoIP por sobre otros de
mejor tolerancia al retraso.

4.1.5 Sistemas vigentes y su estado
Se debe realizar un anlisis exhaustivo de los sistemas informticos usados en la
organizacin, observando en profundidad el procedimiento de la toma de
requerimientos confrontndolo con los sistemas informticos implementados, lo
cual dar una realidad clara respecto a si realmente se estn cumpliendo a
cabalidad las soluciones a las necesidades de la empresa. Una vez recopilada esta
informacin se deber verificar de qu forma se realizan los procesos
implementados y efectuar las modificaciones correctivas si es que fuera necesario.
4.1.6 Recursos Humanos
Considerando la informacin recopilada, se debe analizar si el recurso humano que
posee la empresa para dar el soporte requerido a las necesidades de sta, referido
a la Unidad de Informtica, cuenta con la experiencia para administrar las
Tecnologas de Informacin que posee y las que se debern implementar si es que
fuera necesario. Realizado este anlisis, proponer en algunos casos la capacitacin

66

del personal en cuanto al mbito tcnico y de no ser as, entregar una solucin
viable en este caso.
4.1.7 Sntesis de una encuesta de satisfaccin de usuarios
Por medio de una encuesta de satisfaccin de usuarios se requiere determinar el
impacto que causa el manejo de los procesos que administra la empresa con las
Tecnologas de Informacin, de acuerdo al trabajo que desempea cada usuario de
las reas administrativas de la empresa, considerando aspectos relevantes en
cuanto a optimizacin de los procesos que se deben realizar, tiempos relacionados
con dichos procesos, informes de tareas realizadas por los usuarios de los
departamentos, desempeo laboral por la razn de utilizar las TI como herramienta
complementaria a las labores que se realizan, impacto en el desarrollo personal,
etc.
4.1.8 Resumen de costos por cada concepto anterior
Considerando los aspectos anteriormente sealados, realizar un estudio de costos
por cada aspecto mencionado, con el fin de evaluar si los recursos que la empresa
tiene destinados para la unidad de informtica, cubren a cabalidad las necesidades
que se deben suplir. Tomando en consideracin sto, entregar a la empresa una
alternativa ms conveniente que a su vez sea eficaz y eficiente de acuerdo a su
condicin actual, acorde a la importancia de la informacin, determinando si
realmente las TI cumplen con las buenas prcticas para su funcionamiento de
acuerdo a los recursos con los cuales se cuentan.
4.1.9 Anlisis de costos
Al analizar los costos relacionados con la implementacin informtica dentro de una
empresa orientada principalmente a los servidores y los servicios de red necesarios
para un buen funcionamiento; se deben elegir las tecnologas de informacin
adecuadas que se encuentren al alcance de la empresa, aspectos que se toman en
consideracin en funcin de la envergadura que sta tenga.
Si para este caso se tomara en consideracin la lnea de productos que ofrece el
software pagado, los costos relacionados seran los siguientes:


67

Tabla 03. Valores de Software para Servidores

Cantidad Recurso Descripcin Valor Subtotal

SOFTWARE

3 Windows 2008 Server Enterprise OLP Servidor de datos 1.215.776 3.647.328
4 Windows 2008 Server Call de Acceso Acceso al servidor de datos 77.825 311.300
1 Exchange Server 2010 Standard OLP Administracin de correo electrnico 365.482 365.482
1 Microsoft Office 2011 Pro Plus OLP Trabajo con software Exchange 2010 262.294 262.294
1 Acronis Backup & Recovery 10 Sistema de respaldo administrativo 665.000 665.000
20 Antivirus NOD32 consola administracin Antivirus para la empresa 16.500 330.000

HARDWARE

3 Servidores HP Proliant ML370 G6 Hardware de Servidor 1.456.941 4.370.823
2 Firewall Cisco ASA 5510-K8 Filtrado de paquetes enlaces dedicados 1.913.000 3.826.000

Total IVA
INCLUIDO
13.778.227

Se hace necesario mencionar que en estos tems, se consideran solamente la
arquitectura de red, y no se hace mencin a las estaciones de trabajo.
En cuanto a los costos de las estaciones de trabajo se detallan a continuacin:
Tabla 04. Valores de Software para Estaciones de Trabajo.

Cantidad Recurso Descripcin Valor Subtotal

SOFTWARE

20 Windows 7 Professional OLP Sistema Operativo Base E.T. 98.087 1.961.740
20 Office 2010 Professional Plus Suite Ofimtica 262.294 5.245.880

Total IVA
INCLUIDO
7.207.620

Cabe destacar que si la empresa trabaja con software de productividad, es
pertinente contar con un software base compatible con los sistemas en cuestin.
Un aspecto importante a considerar es que dentro de los costos expuestos se
encuentra todo lo necesario para la implementacin de la arquitectura de red para
Cygsa Chile S.A.

68

A continuacin se darn a conocer los costos de implementacin por los servicios
necesarios bajo la tecnologa Software Libre:
Tabla 05. Valores de implementacin Software Libre

Cantidad Descripcin del Servicio
Descripcin
Precio
Unitario UF
Precio
Total UF

SOFTWARE

1 Configurar Servidor Linux Fedora 17 2,5 2,5
1 Configuracin Firewall 2 2
1 Configuracin Samba 2,5 2,5
1 Proxy Server y Cach 2 2
1 Servidor DNS 2 2
1 Segmentacin de la red VLAN 2,5 2,5
1 Monitoreo de Servicios de red (Instalacin de plataforma NAGIOS o similar) 3 3
1 Servidor FTP 2,5 2,5
1 Servidor de Correo Electrnico multidominio 2 2
1 Antivirus 2 2
1 AntiSpam 2 2
1 Controlador de Dominio Primario 2 2
1 Configuracin OpenVPN 3 3
1 URL Filtering 2 2
1 IDS 3 3
1 IPS 3 3
1 Traffic Shaping 3 3

Subtotal UF 41
I.V.A. No afecto
Total UF 41

Nota: Valor Referencial U.F. al 31 de Diciembre de 2012
Estos valores incluyen la implementacin de los servicios en la casa central.
En cuanto a este tema, hay que destacar que la empresa trabaja con proyectos, los
cuales tambin necesitan algunos servicios mencionados. La cantidad de servicios
que se debe implementar en cada proyecto depende directamente de las bases
establecidas por el oferente.



69

Tabla 06. Tabla comparativa de costos relacionados con la implementacin
informtica orientada a servidores y servicios de red.
Tabla Detalle Software
Privativo
Software
Libre

03 Valores de Software y Hardware para
Servidores.
13.778.227
04 Valores de Software para Estaciones de
Trabajo.
7.207.620

05 Valores implementacin software libre
(5% de la inversin en Software
Privativo).
936.471

SUMAS 20.985.847 936.471

DIFERENCIA A FAVOR SOFTWARE
LIBRE (95% de la inversin en
software privativo).
20.049.376

TOTALES 20.985.847 20.985.847

4.2 Sistemas de Informacin
4.2.1 Desarrollo de nuevos sistemas previstos
Se plantea que la forma de afrontar la confeccin de algn sistema informtico en
particular, se realice por medio de los procesos que se encuentran estipulados en
las buenas prcticas del PMI bajo el PM-BOOK, debido a que se toman en
consideracin procedimientos ya realizados y que han dado fruto adecuadamente
en la implementacin de sistemas.


70

4.2.2 Mantencin adaptativa, correctiva y perfectiva de los sistemas vigentes.
La importancia de contar con sistemas informticos, debido a la sistematizacin de
la informacin por la automatizacin de procesos administrativos, recae
principalmente en realizar de manera adecuada la primera etapa en la confeccin
del sistema, estipulando claramente lo que realmente se quiere realizar. Esto se
encuentra enfocado principalmente en el Anlisis de los Requerimientos, que es un
proceso fundamental e imprescindible al confeccionar un sistema informtico
adecuado para satisfacer las necesidades de la empresa. Cabe sealar que el
hecho de no realizar este procedimiento como corresponde, da como resultado la
confeccin de un sistema que pierde el horizonte de lo que realmente se quiere
lograr, involucrndose aspectos como los costos, el tiempo, la puesta en marcha, el
impacto de su utilizacin, lo que finaliza con el fracaso de su explotacin.
Ante esta situacin se debe realizar un estudio minucioso de los sistemas vigentes
en cuanto a si cumplen los requerimientos estipulados por los usuarios.
Anlisis de impacto del negocio BIA
Se considera que la base de todo plan de continuidad de negocio es el
procedimiento BIA.
El BIA indica qu procesos o reas del negocio de la empresa son las ms crticas,
sealando tambin qu aplicaciones son las que se deben llevar a un centro de
cmputo remoto para procesar informacin en caso que ocurra una catstrofe.
El BIA indica da a da como se impacta el patrimonio de la empresa cuando el
riesgo catastrfico se concreta.
El BIA no aplica para los riesgos que no sean catastrficos.
Un Plan de continuidad del negocio debe basarse en el BIA. Si una entidad de
control quisiera saber si el BCP ( Plan de Continuidad del Negocio ) es frgil, o fue
elaborado a ltima hora slo por cumplir una norma, entonces debe mirar cuan
slido es el BIA debido a que ste fue el inicio para llegar al plan de continuidad del
negocio.


71

Ante esta definicin se debe realizar la siguiente pregunta:
Se ha reflexionado sobre qu sera de un BCP sin un BIA?
Generalmente el informe BIA est compuesto por dos bloques que a la vez
conforman otras partes: uno gerencial y otro de soporte. El bloque de soporte tiene
como objetivo dejar constancia en detalle de los resultados del bloque gerencial,
siendo clave si este informe gerencial fuera cuestionado.
Especficamente el BIA determina el RTO y el RPO:
RTO (Recovery Time Objective): es el mximo tiempo permitido que un
proceso puede estar cado como consecuencia de un evento catastrfico.
RPO (Recovery Point Objective): primeros datos que permiten volver a
ofrecer el servicio. Identifica si para la recuperacin del proceso que se haya
visto afectado se necesita disponer de la informacin que se tena justo antes
de que sucediera el incidente, o si por el contrario, se puede utilizar la
informacin anterior (hasta qu momento: una hora, un da, dos das,..).
Propuesta de contenido de BIA
Parte I: Alcance y Objetivos del BIA
Terminologa utilizada.- Esta seccin no debe escribirse en ms de una
pgina y debe contener los trminos bsicos y elementales del BIA tales
como: riesgo, anlisis de riesgos, alta disponibilidad, RTO, RPO, y todos los
trminos especficos utilizados en este informe, que le permita a cualquier
persona leer y entender este documento.
Revisiones del documento.- Contiene la fecha en que se revis el BIA as
como una descripcin abreviada del cambio en el documento, la versin,
quien lo gener o audit.
Objetivos.- Define la intencin del BIA, el peor escenario, define los RTO por
ejemplo:

Figura 20: Niveles RTO

72

Alcance.- Describe los subprocesos, procesos o reas en cuestin, y se
indica en que zona geogrfica residen los procesos bajo estudio.
Enfoque utilizado.- Describe si se utilizaron cuestionarios, como se
distribuyeron hacia los dueos de los procesos, el nmero de procesos
encuestados, en qu fecha se hizo el BIA y quin condujo el grupo de
encuestadores.
Parte II: Respuesta de los encuestados
Respuestas de los encuestados y resultados.- Resume como respondi la
gente, no incluyendo los formularios o encuestas utilizadas por los dueos de
los procesos encuestados.
Resultados de cada proceso o de las unidades de negocios.- En esta parte
se describe cada proceso o unidad de negocio, informa quien realiz las
encuestas y adems muestra la siguiente informacin por cada proceso o
unidad de negocio:

Proceso de negocio y RTO: se tabula cada subproceso del proceso o
unidad de negocio con su secuencia, descripcin y RTO (mximo
tiempo permitido antes de entrar en colapso).

Recursos requeridos por cada proceso de negocio: se tabula cada
subproceso del proceso o unidad de negocio con su secuencia,
aplicaciones necesarias, equipo, registros vitales o reportes y
personas requeridas.

Procedimientos manuales de recuperacin: se tabula cada
subproceso del proceso o unidad del negocio con su secuencia,
procedimiento manual de solucin, % que se puede hacer
manualmente y RPO.

Impacto financiero identificado por cada proceso: se tabula cada
subproceso del proceso o unidad de negocio con su secuencia,
calificacin (ninguno, bajo, medio, alto), valor del impacto financiero
del proceso.


73

Impacto operacional (imagen ante el cliente) identificado por el
proceso o la unidad de negocio: se tabula cada subproceso del
proceso o unidad de negocio con su secuencia, calificacin de
(ninguno, bajo, medio y alto).

Impacto legal identificado por cada proceso: se tabula cada
subproceso del proceso o unidad de negocio con su secuencia,
calificacin (ninguno, bajo, medio, alto) y valor del costo/comisiones.

Resumen y conclusiones del proceso evaluado: se debe enunciar
cual es el subproceso ms crtico en orden de impacto y sobre todo
cules son los reportes ms vulnerables.
Parte III: Grficos de Impactos.
Impacto Financiero combinado debe mostrar: en forma grfica da a da la
prdida financiera, describindose cul es el valor del primer da, la primera
semana y el mes. Resume como ocurren los impactos y desde que procesos,
subprocesos o unidades de negocio se originan.
Impacto Operacional combinado: generalmente el impacto operacional es un
intangible y tiene que ver con la moral de los empleados, el valor de la accin
si se cotiza en bolsa, el flujo de trabajo y finalmente el servicio al cliente.
Impacto combinado legal/regulacin: el impacto Legal y de regulacin tiene
que ver con las obligaciones para con las agencias de vigilancia,
organizaciones y clientes con los cuales las unidades de negocio deben
cumplir obligaciones contractuales. Incluye los deberes para con las
entidades de vigilancia gubernamental, contratos y niveles de servicio
pactados con clientes, vendedores y agencias.
Requerimientos de personal para recuperacin.
Complejidad de recuperacin por unidad de negocio o subproceso: la
complejidad de recuperacin es la medida de cun difcil es la recuperacin
de la unidad de negocio a los niveles de servicio pactados despus de un
prolongado tiempo de desastre.
Durante el proceso de entrevistas del BIA, a cada unidad de negocio o
proceso se le debe encuestar respecto a que rango pertenece segn la
siguiente lista:

74


Fcilmente Recuperable.- Los procesos que tengan procedimientos
manuales de recuperacin, locaciones alternas para poder trabajar,
tecnologa y estrategias de recuperacin caen en este rango.
Razonablemente Recuperable.- Algunas necesidades pueden ser
difciles de reemplazar en un tiempo razonable.
Difcilmente Recuperable.- Muchas de las necesidades esenciales
de la unidad de negocio pueden ser difciles de reemplazar en un
tiempo razonable.
Muy difcil recuperacin.- Existen numerosos elementos muy difciles
de reemplazar o el tiempo de recuperacin es muy largo.
Parte IV: Solucin.
Propuesta de solucin: generalmente se recomienda una alternativa de
cmputo remoto: se debe describir la estrategia recomendada.
Conclusiones Finales: lista una serie de actividades y sus recursos
respectivos necesarios.
4.3 Recursos Informticos
4.3.1 Equipamiento
4.3.1.1 Enlaces de Internet
Actualmente Cygsa cuenta con dos enlaces dedicados de internet, servicios que
entrega el ISP (Proveedor de Servicios de Internet) Grupo GTD. Estos enlaces se
utilizan para fines especficos, como son la provisin de servicios de internet para la
casa matriz y servicios de red tanto para la casa matriz, como para las obras de los
proyectos en ejecucin que se desarrollan a lo largo del pas. Ambos enlaces se
administran y supervisan peridicamente a diario, debido a que la comunicacin con
el exterior debe ser fluida y expedita, de acuerdo al nivel de importancia de contar
con un manejo de informacin centralizada y estar en comunicacin adecuada con
el entorno de trabajo en general. La descripcin de los enlaces dedicados se
muestra a continuacin:

75

Descripcin de Enlaces dedicados

Figura 21: Enlace 10 Mbps / 4 Mbps

Figura 22: Enlace 2 Mbps / 1 Mbps
Se puede hacer notar la diferencia de trfico existente entre cada enlace dedicado,
cabe mencionar que el enlace principal (10/4) posee un trfico bastante
considerable, esto debido a no poseer un filtro de paquetes para poder discriminar
el ancho de banda utilizado y la habilitacin solamente de los servicios necesarios.
En cuanto al enlace secundario (2/1) posee un trfico razonable, debido a su poca

76

utilizacin, ya que principalmente se utiliza para la transferencia de informacin
entre la casa central y las sucursales de la empresa.
4.3.1.2 Red de Datos
La Red de datos que posee la empresa en la casa matriz est constituda por dos
distribuciones, considerando que la arquitectura fsica contempla dos pisos
construdos y cableados de manera distinta (no aconsejable). Esta distribucin
consta de lo siguiente:
Figura 23: Red de datos Cygsa Chile S.A.
1er Piso
Se utiliza para estos efectos la provisin del enlace dedicado 10 Mbps / 4 Mbps,
que se encuentra conectado directamente a un Firewall Linux que a su vez alimenta
a un Switch Primario encargado de la distribucin de los puntos de red para las
estaciones de trabajo y servidores del primer piso; este switch a su vez se
encuentra conectado a un switch secundario para la alimentacin de red de la mitad
de la planta baja. En cuanto al cableado ste contempla una red de datos con
cable Cat. 6, al cual se encuentran conectados los servidores de la empresa y las
estaciones de trabajo de los usuarios de la planta baja y una alimentacin de un
punto de red para el segundo piso mediante otro switch terciario.
2do Piso
Se encuentra conectado a un switch terciario, para la alimentacin de las
estaciones de trabajo de la planta alta. El cableado de red en este piso es de Cat.
5e, que conlleva a una conectividad deficiente en cuanto a las estaciones de trabajo

77

con los servidores de la empresa, se hace necesario considerar la implementacin
de una red de datos estable similar a la existente en el 1er piso, para as no tener
ningn tipo de inconvenientes a la hora de utilizar los servicios de red
implementados en la empresa.
4.3.1.3 Servidores
La plataforma de servicios de red est compuesta por lo siguiente:
Servidor Firewall
Servidor encargado de los servicios de red necesarios para el
funcionamiento adecuado dentro de la LAN. Este servidor se encuentra
montado en un Sistema Open Source (PFSense), encargado de filtraje de
paquetes entre la red WAN y la red LAN. Dentro de los servicios de red
disponibles se pueden mencionar: HTTP, HTTPS, DNS, SMTP, POP3, NAT.

Cabe mencionar que se encuentran habilitados otros servicios dentro del
Servidor: MS-RDP, FTP, Sistema de Monitoreo Circuito Cerrado de TV (Port:
5400).

En cuanto a la descripcin del Hardware del servidor, est compuesto por un
computador genrico que posee la siguiente descripcin:

Placa madre INTEL
Intel Core 2 Duo E7200 2.53 GHz.
2 GB de Memoria RAM
160 GB disco duro

El problema existente en el firewall, es el colapso en cuanto a las peticiones
que se realizan al servidor, que conlleva a la inestabilidad del sistema. Cabe
mencionar que el software administrador en el servidor posee deficiencias a
la hora de establecer las reglas adecuadas, el filtraje de informacin en
cuanto a los puertos necesarios para los servicios implementados en la red
de datos, los accesos autorizados y la seguridad con respecto a los accesos
no autorizados para su funcionamiento.


78

Servidor de Datos
Dentro de la red se cuenta con dos servidores de iguales caractersticas de
Hardware y de Software, que proveen el servicio de almacenamiento de
informacin relacionada con los proyectos que maneja la empresa. Estos
servidores se encuentran configurados de tal manera que los usuarios por
medio de un perfil especfico, pueden acceder a la informacin contenida en
ellos.

El software en el que se encuentran montados los servidores es el Sistema
Operativo Windows 2003 Server R2, y dentro de las aplicaciones se utiliza el
software para el respaldo de informacin del Acronis True Image Echo
Server. Estos respaldos se realizan peridicamente una vez por semana,
almacenndolos en un disco duro externo (2TB) que es retirado por la
gerencia.

Se debe mencionar que las caractersticas de hardware son las siguientes:

DELL PowerEdge 1900
Intel Xeon 5130 2.00 Hz
2 GB Memoria Ram DDR2
2 TB Disco Duro

Los problemas con la integridad de los datos y el licenciamiento de software
se solucionan realizando la migracin al Open Source y/o Software libre.

Servidor de Aplicaciones
Servidor dedicado exclusivamente a los Sistemas Contables de la empresa,
sistemas ERP con la modalidad multiusuario. Este servidor cuenta con el
Sistema Operativo Windows 2008 Server Enterprise, que mantiene en
proceso el servicio de Terminal Server para el acceso desde fuera de la casa
matriz, especficamente del Departamento de Recursos Humanos de Cygsa
Chile S.A. ubicados en la ciudad de Rancagua.

Las caractersticas de hardware que posee este servidor se mencionan a
continuacin:

79

Placa madre INTEL
Intel Core 2 Duo 2.53 GHz.
2 GB de Memoria RAM
250 GB disco duro

La solucin en mantener este servidor debido a que dentro de la plataforma
Linux, no existe un sistema ERP similar en esta categora y la no
compatibilidad de estos sistemas en la plataforma Linux.
4.3.1.4 Estaciones de Trabajo
Las estaciones de trabajo actualmente utilizan software de base y especfico,
denominndose as al sistema operativo y a su suite ofimtica respectivamente.
Cabe sealar que el software utilizado en las estaciones de trabajo se encuentra
con sus respectivas licencias de uso (Windows, Office, preferentemente).

A continuacin se da a conocer las estaciones tipo que se utilizan en la casa
matriz de Cygsa:

Estacin Tipo 1

Microsoft Windows 7 Professional
Microsoft Office 2010 Professional Plus
Aplicaciones Varias (7Zip, Adobe Reader, etc.)

Estacin Tipo 2

Microsoft Windows Xp SP3
Microsoft Office 2007 Professional
Aplicaciones Varias (7Zip, Adobe Reader, etc.)
Software cliente para sistemas contables



80

Las especificaciones de hardware son las siguientes:

Tipo 1

Core 2 duo 2.66 GHz
2 GB Memoria RAM
160 GB Disco Duro
T. de Video 256 MB

Tipo 2

Pentium D 2.6 GHz
2 GB Memoria RAM
160 GB Disco Duro
T. de Video 256 MB

Las estaciones de trabajo permanecern bajo la misma plataforma debido a la
compatibilidad con los clientes ya que principalmente trabajan bajo el software
privativo.

4.3.1.5 Dispositivos Activos.

Switch Administrables.
En la red de datos se encuentran conectados dos dispositivos de conmutacin
administrables, encargados de proveer de comunicacin a las estaciones de
trabajo de la casa matriz. La especificacin de estos dispositivos se detalla a
continuacin:

3com Baseline Switch 2952-SFP Plus
Switch Ethernet Gigabit de Nivel 2 administrable va web, con 32 rutas
estticas.
48 puertos 10/100/1000 y cuatro puertos SFP Gigabit; puerto de consola en
panel frontal para administracin CLI.
Administracin como una sola entidad con una nica direccin IP de hasta
32 dispositivos de la familia Baseline Plus 2900 (modelos 3GCRBSGxxx).

81

VLAN que permite segmentar la red, reagrupando los usuarios en funcin
de sus necesidades de intercambio de datos o trfico para un uso ptimo
del ancho de banda disponible.
Enlaces LACP que permiten agrupar puertos automticamente para crear
una conexin troncal con ancho de banda ultra grande con la red troncal y
ayuda a prevenir los cuellos de botella de trfico.
Control de acceso a la red IEEE 802.1X que proporciona seguridad basada
en estndares combinada con autenticacin local.
ACL basadas en MAC e IP que permiten filtrar el trfico y mejorar el control
de la red.
VLAN automtica de voz que asigna automticamente el trfico VoIP (voz
sobre IP) a una VLAN de voz dedicada, optimizando as este trfico
sensible al retardo.
Soporte del protocolo Spanning Tree Protocol (STP,RSTP,MSTP) que
permite mejorar la compatibilidad, escalabilidad, y disponibilidad de la red.
Soporte de tramas JUMBO para una carga de red reducida.
IGMP snooping y el filtrado multicast que permiten optimizar el rendimiento
de la red.
Switch administrado con software compatible con SNMP, como por ejemplo
3Com IMC, Network Supervisor y Network Director.
Se proceder a utilizar las caractersticas y ventajas de estos dispositivos,
enfocado principalmente a la segmentacin de la red de datos en el mbito de
servidores y usuarios de la empresa, organizados en departamentos para
solamente poder compartir informacin con el rea correspondiente en lo que
respecta a seguridad, debido a que actualmente se encuentra en modo pasivo.
Routers
En la red de datos se encuentra conectado un Router Dlink DIR-600 que cumple la
funcin de abastecer de conectividad inalmbrica a la sala de reuniones de la
empresa.
Cabe sealar que el Router est configurado como puente, para poder entregar
direcciones de red mediante el servicio DHCP, previamente configurado en el
Firewall de la red. Estas direcciones de red van entre el segmento 192.168.1.80

82

192.168.1.85 que se utiliza para asignar a los diversos dispositivos (de preferencia
laptops) cuando se realizan reuniones de trabajo.
En cuanto a la seguridad de la red, el dispositivo en cuestin se encuentra
configurado en modo de proteccin por medio de la seguridad de encriptacin
WPA2.
Impresoras
Las impresoras que se encuentran dentro de la red de datos son las siguientes:
HP 2600N
XEROX M20
XEROX WORKCENTRE 123
HP CP3505
La modalidad de conexin que tienen estas impresoras es por medio del protocolo
TCP-IP que por ende tiene asignada una direccin de red esttica, por lo que la
conexin de las estaciones de trabajo hacia las impresoras es directa.
Plotters
Los plotters con los que cuenta la empresa poseen la siguiente caracterstica:
HP Designjet 500
La cantidad de plotters que se utilizan son cuatro y se encuentran configurados
bajo el protocolo TCP-IP, conectados directamente a la red de datos.
DVR H. 264
Digital Video Recorder es un dispositivo que cumple la funcin de servidor de
video. De sus funciones se puede mencionar que almacena video en un disco
duro proveniente de 8 cmaras de video instaladas en las dependencias de
Cygsa. Generalmente son parte de un sistema de seguridad.
Los servidores de video son dispositivos creados para permitir la transicin
tecnolgica entre los sistemas anlogos de vigilancia conocidos como CCTV
(Circuito Cerrado de Televisin) y las nuevas formas de vigilancia conocidas como
vigilancia IP.

83

Los sistemas de vigilancia IP son aquellos en que las imgenes y audio
capturados por las cmaras y micrfonos, se comprimen y transmiten por una red
de datos local o internet (LAN/WAN) y pueden ser accedidos desde uno o varios
puntos en cualquier lugar, mediante un computador ( o hardware especialmente
diseado) para descomprimir los datos, visualizarlos, analizarlos, grabarlos,
incluso generar acciones de manera automtica en respuesta a diferentes eventos
pre-definidos o a voluntad de un operador.
En este caso el servidor de video se encuentra conectado a la red privada de la
empresa, permitiendo a su vez conectarse de manera externa, previa
configuracin en el Firewall de la red utilizando el servicio de NAT (Traduccin de
Direccin de Red).
4.3.2 Hardware - Software
La empresa trabaja principalmente por medio de proyectos en base a licitaciones
que los oferentes publican en Mercado Pblico. En este proceso el oferente aade
un rea tecnolgica para su implementacin en el apartado de Bases Tcnicas,
especificando todo lo necesario para que el proyecto se lleve a cabo, en cuanto a
la arquitectura de red, equipamiento, software, servicios de red, etc.
Mediante estas especificaciones la empresa realiza el proceso de cotizar a los
diversos proveedores que puedan cumplir con lo sealado anteriormente. Este
proceso toma en cuenta algunos aspectos relevantes a la garanta de estos
productos, como tambin a los tiempos asociados a la reposicin de ellos y/o
servicio que se haya contratado para tales fines.
4.3.3 Necesidades de Capacitacin
Las necesidades de capacitacin que pueda requerir el personal del
Departamento de Informtica de la empresa, va a depender directamente de los
servicios que requiera sta, como tambin de la especificacin de los productos y
servicios necesarios para el montaje de un proyecto adjudicado.
4.3.4 Plan de Seguridad Informtica
El plan de seguridad informtica es la expresin grfica del Sistema de Seguridad
Informtica diseado y constituye el documento bsico que establece los
principios organizativos y funcionales de la actividad de Seguridad Informtica en
una entidad, recogiendo claramente las polticas de seguridad y las

84

responsabilidades de cada uno de los participantes en el proceso informtico, as
como las medidas y procedimientos que permitan prevenir, detectar y responder a
las amenazas que gravitan sobre el mismo.
Un sistema de seguridad informtica es un conjunto de medios administrativos,
tcnicos y de personal, que de forma interrelacionada garantizan niveles de
seguridad informtica en correspondencia con la importancia de los bienes a
proteger y los riesgos estimados.
Durante el proceso de diseo de un Plan de Seguridad Informtica se distinguen
resumidamente tres etapas:
1. Determinar las necesidades de proteccin del sistema informtico
objeto de anlisis, que incluye:
Caracterizacin del sistema informtico.
Identificacin de las amenazas y estimacin de riesgos.
Evaluacin del estado actual de la seguridad.

2. Definir e implementar el sistema de seguridad que garantice minimizar
los riesgos identificados en la primera etapa.
Definir las polticas de seguridad.
Definir las medidas y procedimientos a implementar.

3. Evaluar el sistema de seguridad diseado.
El contenido de cada una de estas etapas se describe en la Metodologa para
el diseo de un sistema de seguridad informtica elaborada por el Ministerio
del Interior.
El diseo de un Sistema de Seguridad Informtica contempla las siguientes
etapas:
Etapa 1.- Diagnstico y determinacin de brechas. Objetivos:
1.1.- Diagnstico.- Se realiza un diagnstico de la situacin de seguridad de la
informacin e identifica en ste los activos de informacin que dan sustento a
una seleccin de sus procesos de provisin, estableciendo los controles
necesarios para mitigar riesgos que puedan afectar a los activos de
informacin crticos, considerando para esto todos aquellos dominios de

85

seguridad de la informacin establecidos en DS 83 y la Norma -ISO 27001-
2009.
1.2.- Determinacin de brechas.- Se comparan los resultados del diagnstico
con los controles establecidos en los dominios de seguridad del DS 83 y la
Nch-ISO 27001-2009, determinando las brechas que debern ser abordadas y
cerradas a travs de la implementacin de un Plan de Seguridad de la
informacin Institucional.
Etapa 2.- Establecimiento, Planificacin y Programa de Trabajo.
Objetivos:
2.1.- Establecimiento.- La Empresa establece su Poltica de Seguridad de la
informacin debidamente formalizada por el Nivel Estratgico de la
Organizacin, dirigida por el Gerente General.
2.2.- Planificacin.- La Organizacin, en el marco de la Poltica de Seguridad
de la Informacin establecida, elabora un Plan General de Seguridad de la
Informacin para el ao en curso y siguientes, de acuerdo a los resultados del
diagnstico y las brechas detectadas, que comprenda al menos la coordinacin
de todas las unidades de la organizacin vinculadas a los aspectos de
seguridad de informacin, a travs del nombramiento de responsables de la
implementacin del Plan y el establecimiento de los controles para cumplir los
requisitos del DS 93 y la Nch-ISO 27001-2009.
2.3.- Programa de Trabajo.- En el marco de la Poltica de Seguridad de la
Informacin establecida, se elabora un Programa de Trabajo Anual para
implementar el Plan de Seguridad de la Informacin definido, sealando al
menos, los principales hitos de su ejecucin y un cronograma que identifique
actividades, plazos y responsables, indicadores de desempeo y lo difunde al
resto de la organizacin, asegurndose que sea conocido y comprendido por
todos los trabajadores de la empresa.
Etapa 3.- Implementacin, Registro y Control.- Objetivo:
3.1.- Se implementa el Programa de Trabajo Anual definido en la etapa
anterior, de acuerdo a lo establecido en el Plan General de Seguridad de la
Informacin, registrando y controlando los resultados de las actividades

86

desarrolladas, las dificultades y holguras encontradas y las modificaciones
realizadas respecto de lo programado.
Etapa 4.- Evaluacin y Difusin, Seguimiento, Implementacin de
compromisos y Mantencin. Objetivos:
4.1.- Evaluacin y Difusin.- La organizacin evala y difunde los resultados de
implementacin del Plan General de Seguridad de la Informacin y el
Programa de Trabajo Anual, considerando el porcentaje de cumplimiento
logrado en los dominios de seguridad del DS 83 y la Norma -ISO 27001-2009,
respecto de las brechas detectadas en el diagnstico y formula
recomendaciones de mejora.
4.2.- Seguimiento.- La organizacin disea un Programa de Seguimiento a
partir de las recomendaciones formuladas en la evaluacin de los resultados
de la ejecucin del Plan General de seguridad de la informacin y Programa de
Trabajo Anual, sealando los compromisos, plazos y responsables, que
permitan superar las causas que originaron las brechas an existentes y las
debilidades detectadas de aquellas priorizadas.
4.3.- Implementacin de compromisos.- La organizacin conjuntamente con las
reas que la componen, implementa los compromisos establecidos en el
Programa de Seguimiento definido.
4.4.- Mantencin.- La organizacin mantiene el grado de desarrollo del
sistema, de acuerdo a cada una de las etapas tipificadas.
Una vez cumplidas estas etapas se pone en marcha el Plan de Seguridad
Informtica.
Para la elaboracin del Plan de Seguridad Informtica se tendrn en cuenta las
consideraciones siguientes:
Sern confeccionados tantos ejemplares como se determine en cada
lugar.
Se determinar su clasificacin, parcial o total, de acuerdo a la
informacin que contenga, en correspondencia con las categoras que
expresa el Decreto Ley N 199 de 1999 sobre la Seguridad y Proteccin
de la informacin Oficial.

87

Se confeccionar de acuerdo a la Norma Tcnica sobre Seguridad y
Confidencialidad del Documento Electrnico, desarrollada segn DS
83, del ao 2004, sobre seguridad y confidencialidad de los documentos
electrnicos para los rganos de la administracin del estado.
Contendr las tablas y grficos que se consideren necesarios y
contribuyan a su mejor interpretacin.
Tendrn acceso a este documento, o a parte de l, las personas que en
cada rea requieran de su conocimiento.
Se mantendr permanentemente actualizado sobre la base de los
cambios que se produzcan en las condiciones que se consideraron
durante su elaboracin.
El documento obtenido se referir al radio de accin que abarca el Plan, de
acuerdo al Sistema Informtico, para el cual fueron determinados los riesgos y
diseado el Sistema de Seguridad. La importancia de dejar definido claramente el
alcance del Plan (y de ah su inclusin al comienzo del mismo) estriba en que
permite tener a priori una idea precisa de la extensin y los lmites en que el
mismo tiene vigencia.
Resultados del Anlisis de Riesgos.
A partir de que el Plan de Seguridad Informtica es la expresin grfica del
Sistema de Seguridad Informtica diseado y de que la esencia de ese diseo es
la realizacin de un anlisis de riesgos, obtenido a partir del diagnstico y
determinacin de brechas de la etapa 1, no se concibe seguir adelante en la
elaboracin del Plan sin dejar claramente precisados cuales fueron los resultados
obtenidos en dicho anlisis, por lo que en este acpite debern relacionarse las
principales conclusiones obtenidas en ese proceso, entre las cuales no pueden
faltar:
a) Los activos y recursos ms importantes para la gestin de la entidad y que
por lo tanto requieren de una atencin especial desde el punto de vista de
la proteccin, especificando aquellos considerados de importancia crtica
por el peso que tienen dentro del sistema.
b) Las amenazas que actan sobre los activos y recursos a proteger y entre
ellas cules tienen una mayor probabilidad de materializarse (riesgo) y su
posible impacto sobre la entidad.

88

c) Los activos, recursos y reas con un mayor peso de riesgo y qu amenazas
los afectan.
En la medida en que las conclusiones del anlisis de riesgos sean ms precisas,
se lograr una visin ms acertada de hacia dnde pueden ser dirigidos los
mayores esfuerzos de seguridad, y por supuesto los recursos disponibles para
ello, logrndose que la misma sea ms eficiente.
Polticas de Seguridad Informtica.-
Aqu se definen los aspectos que conforman la estrategia a seguir por la entidad,
sobre la base de sus caractersticas propias y en conformidad con la poltica
vigente en el pas en esta materia, y el sistema de seguridad diseado mediante el
establecimiento de las normas generales que debe cumplir el personal que
participa en el sistema informtico, las cuales se derivan de los resultados
obtenidos en el anlisis de riesgos y de las definidas por las instancias superiores
en las leyes, reglamentos, resoluciones y otros documentos rectores. Para
implementar las polticas, stas son confeccionadas por el Departamento de
Informtica, quien las presenta a la direccin de la empresa, para su evaluacin,
aprobacin y puesta en marcha. Al definir las polticas se considerarn, entre
otros, los siguientes aspectos:
a) El empleo conveniente y seguro de las tecnologas instaladas y cada uno
de los servicios que stas pueden ofrecer.
b) El tratamiento que requiere la informacin oficial: que se procese,
intercambie, reproduzca o conserve a travs de las tecnologas de
informacin, segn su categora.
c) La definicin de los privilegios y derechos de acceso a los activos de
informacin, para garantizar su proteccin contra modificaciones no
autorizadas, prdidas o revelacin.
d) Los principios que garanticen un efectivo control de acceso a las
tecnologas, incluyendo el acceso remoto y a los locales donde stas se
encuentren.
e) La salva y conservacin de la informacin.
f) La conexin a redes externas a la empresa, en especial las de alcance
global y la utilizacin de sus servicios.
g) Los requerimientos de seguridad informtica a tener en cuenta durante el
diseo o la adquisicin de nuevas tecnologas o proyectos de software.

89

h) La definicin de los principios relacionados con el monitoreo del correo
electrnico y el acceso a los ficheros de usuario.
i) El mantenimiento, reparacin y traslado de las tecnologas y el personal
tcnico que requiere acceso a las mismas por esos motivos.
j) Las regulaciones relacionadas con la certificacin, instalacin y empleo de
los sistemas de proteccin electromagntica.
k) Las regulaciones relacionadas con la certificacin, instalacin y empleo de
sistemas criptogrficos, en los casos que se requiera.
l) Los principios generales para el tratamiento de incidentes y violaciones de
seguridad.
Sistema de Seguridad Informtica.-
En esta seccin se describe cmo se implementan en las reas a proteger, las
polticas generales que han sido definidas para toda la entidad, en
correspondencia con las necesidades de proteccin en cada una de ellas,
atendiendo a sus formas de ejecucin, periodicidad, personal participante y
medios.
Sobre la base de los recursos disponibles y en funcin de los niveles de seguridad
alcanzados, se elaborar un Programa de Seguridad Informtica, que incluya las
acciones a realizar por etapas para lograr niveles superiores.
Se describirn por separado los controles de seguridad implementados en
correspondencia con su naturaleza, de acuerdo al empleo que se haga de los
medios humanos, de los medios tcnicos o de las medidas y procedimientos que
debe cumplir.
Medios Humanos.
Hace referencia al papel del personal dentro del sistema de seguridad
implementado, definiendo sus responsabilidades y funciones respecto al
diseo, establecimiento, control, ejecucin y actualizacin del mismo.
Se describir la estructura concebida en la Entidad para la gestin de la
Seguridad Informtica, especificando las atribuciones y funciones de las
distintas categoras de personal, que incluyen: directivos de los distintos
niveles (Jefe de la entidad, Jefes de Departamentos, reas y grupos de
trabajo o estructuras equivalentes); Jefes y especialistas de informtica;
Administradores de redes, sistemas y aplicaciones; Especialistas de

90

Seguridad y Proteccin; Responsables de Seguridad Informtica y Usuarios
comunes de las Tecnologas de Informacin.

Medios Tcnicos de Seguridad: Se describirn los medios tcnicos
utilizados en funcin de garantizar niveles de seguridad adecuados, tanto
del software como del hardware, as como la configuracin de los mismos.
Para lo cual se tendr en cuenta:

Sistemas Operativos y nivel de seguridad instalado.
Tipo de redes utilizadas y topologa de las mismas.
Servidores de uso interno y externo.
Configuracin de los servicios.
Barreras de proteccin y su arquitectura.
Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.
Filtrado de paquetes.
Herramientas de administracin y monitoreo.
Habilitacin de subsistemas de auditora.
Establecimiento de alarmas del sistema.
Sistemas de proteccin criptogrfica.
Dispositivos de identificacin y autenticacin de usuarios.
Proteccin contra programas no deseados.
Softwares especiales de seguridad.
Medios tcnicos de deteccin de intrusos.
Dispositivos de proteccin contra robos de equipos y componentes.
Sistemas de mallas de tierra.
Proteccin electromagntica.
Fuentes de respaldo de energa elctrica.
Medios contra incendios.
Medios de climatizacin.
Otros.


91

Medidas y Procedimientos de Seguridad Informtica
En esta parte del Plan se relacionarn las acciones que deben realizarse en cada
rea especfica por los medios humanos ya mencionados, en correspondencia con
las polticas generales para toda la empresa y con la ayuda, en los casos que lo
requieran, de los medios tcnicos descritos, adecuando dichas acciones a la
necesidad de proteccin de acuerdo con el peso del riesgo estimado para cada
bien informtico objeto de proteccin.
Las medidas y procedimientos de Seguridad Informtica que de manera especfica
(no deben ser confundidas con las polticas que tienen un carcter general) sean
requeridas en las distintas reas, sern definidas de manera suficientemente clara
y precisa, evitando interpretaciones ambiguas por parte de quienes tienen que
ejecutarlas y son de obligatorio cumplimiento por las partes implicadas.
Un procedimiento de seguridad es una secuencia predeterminada de acciones
dirigidas a garantizar un objetivo de seguridad. Los procedimientos que se definan
sern descritos en los acpites que correspondan o, si se desea, se har
referencia a ellos agrupndolos al final del Plan en un anexo.
Su redaccin deber ser lo ms clara y sencilla posible, precisando de manera
inequvoca los pasos a seguir en cada caso, para evitar posibles interpretaciones
incorrectas, de forma tal que puedan ser ejecutados fielmente por las personas
responsabilizadas para ello, sin necesidad de alguna otra ayuda adicional. En
caso de agruparse todos como un anexo, el formato a utilizar ser el siguiente:
Denominacin del procedimiento (ttulo).
Secuencia de las acciones a realizar.
Especificando en cada caso: qu se hace, cmo se hace y quin lo hace, as
como los recursos que sean necesarios para su cumplimiento.
Algunos procedimientos a considerar son los siguientes:
Otorgar o retirar el acceso de personas a las tecnologas de informacin y
como se controla el mismo.
Asignar o retirar derechos y permisos sobre los ficheros y datos a los
usuarios.

92

Autorizar o denegar servicios a los usuarios. (Ejemplo: Correo Electrnico,
Internet).
Definir perfiles de trabajo.
Autorizacin y control de la entrada / salida de las tecnologas de
informacin.
Gestionar las claves de acceso considerando para cada nivel el tipo de
clave atendiendo a su longitud y composicin, la frecuencia de
actualizacin, quin debe cambiarla, su custodia, etc.
Realizacin de respaldo, segn el rgimen de trabajo de las reas, de
forma que los respaldos se mantengan actualizados y las acciones que se
adoptan para establecer la salvaguarda de las mismas, de forma que se
garantice la compartimentacin de la informacin segn su nivel de
confidencialidad.
Garantizar que los mantenimientos de los equipos, soportes y datos, se
realicen en presencia y bajo la supervisin de personal responsable y que
en caso del traslado del equipo fuera de la entidad, la informacin
clasificada o limitada sea borrada fsicamente o protegida su divulgacin.
Respaldo de los anlisis de registros o trazas de auditora, especificando
quien lo realiza y con qu frecuencia.
De proteccin fsica.
A las reas con tecnologas instaladas.
Se precisarn, a partir de las definiciones establecidas en el Reglamento
sobre la Seguridad Informtica, las reas que se consideran vitales y
reservadas en correspondencia con el tipo de informacin que se procese,
intercambie, reproduzca o conserve en las mismas o el impacto que pueda
ocasionar para la entidad la afectacin de los activos o recursos que en
ellas se encuentren, relacionando las medidas y procedimientos especficos
que se apliquen en cada una. (Ejemplo: restricciones para limitar el acceso
a los locales, procedimientos para el empleo de cierres de seguridad y
dispositivos tcnicos de deteccin de intrusos, etc.).


93

A las Tecnologas de Informacin.
Se especifican las medidas y procedimientos de empleo de medios
tcnicos de proteccin fsica directamente aplicados a las
tecnologas de informacin, que por las funciones a que estn
destinadas o por las condiciones de trabajo de las reas en que se
encuentran ubicadas lo requieran. (Ejemplo: utilizacin de cerraduras
de disquetera, anclaje de chasis, cerradura de encendido del
procesador, etc.)
Se elegir la mejor ubicacin fsica para los servidores de las
tecnologas de informacin destinadas al procesamiento de
informacin con alto grado de confidencialidad o sensibilidad, de
forma que se evite la visibilidad de la informacin a distancia,
minimice la posibilidad de captacin de las emisiones
electromagnticas y garantice un mejor cuidado y conservacin de
las mismas.
Se establecen medidas y procedimientos para garantizar el control
de las tecnologas de informacin existentes, durante su explotacin,
conservacin, mantenimiento y traslado.
A los soportes de informacin.-
Se describir el rgimen de control establecido sobre los soportes
magnticos de informacin, refirindose entre otros aspectos a:
Lo relacionado con la identificacin de los soportes removibles
autorizados a utilizar, incluyendo su identificacin fsica y lgica.
Las condiciones de conservacin de los soportes, especificando las
medidas que garanticen la integridad y confidencialidad de la
informacin en ellos recogida.
Las medidas y procedimientos que se establecen para garantizar el
borrado o destruccin fsica de la informacin clasificada o limitada,
contenida en un soporte una vez cumplida su finalidad.
Las medidas y procedimientos que se establecen para garantizar la
integridad y confidencialidad de la informacin clasificada o limitada,
durante el traslado de los soportes.


94

Tcnicas o Lgicas.
Se especificarn las medidas y procedimientos de seguridad que se
establezcan, cuya implementacin se realice a travs de software,
hardware o ambas.
Identificacin de usuarios.
Se indicar el mtodo empleado para la identificacin de los usuarios ante los
sistemas, servicios y aplicaciones existentes, especificando:
Cmo se asignan los identificadores de usuarios.
Si existe una estructura estndar para la conformacin de los
identificadores de usuarios.
Quin asigna los identificadores de usuarios.
Cmo se eliminan los identificadores de usuarios una vez que concluya la
necesidad de su uso y cmo se garantiza que stos no sean utilizados
nuevamente.
El proceso de revisin de utilizacin y vigencia de los identificadores de
usuarios asignados.
Autenticacin de usuarios.
Se indicar el mtodo de autenticacin empleado para comprobar la
identificacin de los usuarios ante los sistemas, servicios y aplicaciones
existentes.
Cuando se utilice algn dispositivo especfico de autenticacin se describir
su forma de empleo. En el caso de empleo de autenticacin simple, por
medio de contraseas, se especificar:
Cmo son asignadas las contraseas
Tipos de contraseas utilizadas (Setup, Protector de pantalla,
Aplicaciones, etc.).
Estructura y periodicidad de cambio que se establezca para garantizar la
fortaleza de las contraseas utilizadas en los sistemas, servicios y
aplicaciones, en correspondencia con el peso de riesgo estimado para
los mismos.

95

Causas que motivan el cambio de contraseas antes de que concluya el
plazo establecido.
Control de acceso a los activos y recursos
En esta parte del Plan se describirn las medidas y procedimientos que aseguran
el acceso autorizado a los activos de informacin y recursos informticos que
requieren la imposicin de restricciones a su empleo, especificando:
A que activos y recursos se le implementan medidas de control de acceso.
Mtodos de control de acceso utilizados.
Quin otorga los derechos y privilegios de acceso.
A quin se otorgan los derechos y privilegios de acceso.
Cmo se otorgan y suspenden los derechos y privilegios de acceso.
El control de acceso a los activos y recursos deber estar basado en una poltica
de mnimo privilegio, en el sentido de otorgar a cada usuario slo los derechos y
privilegios que requiera para el cumplimiento de las funciones que tenga
asignadas.
Integridad de los ficheros y datos
Se describirn las medidas y procedimientos implementados para el registro
y anlisis de las trazas de auditora en las redes y sistemas instalados, con
el fin de monitorear las acciones que se realicen (acceso a ficheros,
dispositivos, empleo de servicios, etc.), y detectar indicios de hechos
relevantes a los efectos de la seguridad que puedan afectar la estabilidad o
el funcionamiento del sistema informtico.
En caso de empleo de software especializado que permita la deteccin de
posibles errores de configuracin u otras vulnerabilidades, se describirn
los procedimientos requeridos.
Se describirn, adems, las medidas que garanticen la integridad de los
mecanismos y registros de auditora, limitando su acceso solo a las
personas autorizadas para ello.



96

Seguridad de operaciones
En esta parte del Plan se incluirn las medidas y procedimientos
relacionados con los siguientes aspectos:
La identificacin y control de las tecnologas en explotacin, en
particular aquellas donde se procese informacin clasificada.
El control sobre la entrada y salida en la empresa de elementos de
tecnologas de informacin (mquinas porttiles, perifricos,
soportes, etc.).
La metodologa establecida para los respaldos de la informacin,
especificando su periodicidad, responsabilidades, cantidad de
versiones, etc).
Las acciones especficas durante las conexiones externas a la
empresa.
La autorizacin o denegacin de servicios a los usuarios (Ejemplo:
Correo Electrnico, Internet).
La gestin de las claves de acceso, considerando para cada nivel el
tipo de clave, la frecuencia de actualizacin, quin debe cambiarla,
su custodia, etc.
La gestin de backups, segn el rgimen de trabajo de las reas,
incluyendo las acciones que se adoptan para establecer la
salvaguarda de las mismas.
Mantenimiento de los equipos, soporte y datos en presencia y bajo la
supervisin de personal responsable y en caso del traslado de
equipos fuera de la entidad.
Anlisis de registros o trazas de auditora, especificando quien lo
realiza y con qu frecuencia.
De recuperacin ante contingencias
Se describirn las medidas y procedimientos de neutralizacin y recuperacin ante
cualquier eventualidad que pueda paralizar total o parcialmente la actividad
informtica o degraden su funcionamiento, minimizando el impacto negativo de
stas sobre la entidad.
A partir de los resultados obtenidos en el anlisis de riesgos, se determinarn las
acciones a realizar para neutralizar aquellas amenazas que tengan mayor

97

probabilidad de ocurrencia en caso de materializarse, as como para la
recuperacin de los procesos, servicios o sistemas afectados, precisando en cada
caso:
Qu acciones se deben realizar.
Quin las realiza.
En qu momento deben realizarlas.
Cmo se deben realizar.
De qu recursos se debe disponer.
4.3.5 Benchmarking con otras organizaciones.
El benchmarking es un anglicismo que, en las ciencias de la administracin de
empresas, puede definirse como un proceso sistemtico y continuo para evaluar
comparativamente los productos, servicios y procesos de trabajo en
organizaciones. Consiste en tomar comparadores o benchmarks a aquellos
productos, servicios y procesos de trabajo que pertenezcan a organizaciones que
evidencien las mejores prcticas sobre el rea de inters, con el propsito de
transferir el conocimiento de ellas y su aplicacin.
Se denomina proceso sistemtico porque involucra una serie de acciones que
definen problemas, hace anlisis, estimula cambios, as como tambin se vale de
un mtodo o modelo que lleva a seguir una determinada secuencia que guiar
hacia el objetivo final.
La importancia del benchmarking no se encuentra en la detallada mecnica de la
comparacin, sino en el impacto que pueden tener estas comparaciones sobre los
comportamientos. Se puede considerar como un proceso til de cara a lograr el
impulso necesario para realizar mejoras y cambios.
Este proceso continuo de comparar actividades, tanto en la misma organizacin
como en otras empresas, lleva a encontrar la de mejor desempeo para luego
intentar copiar esta actividad generando el mayor valor agregado posible. Hay que
mejorar las actividades que generan valor y reasignar los recursos liberados al
eliminar o mejorar actividades que no generen valor (o no sea el deseado).
Se puede decir que el benchmarking es la consecuencia de una administracin
para la calidad, adems de ser una herramienta en la mejora de procesos.

98

Realizar el benchmarking con la competencia directa, se hace complejo y
prcticamente imposible, debido a que en el mbito de negocios en el que
CYGSA desarrolla sus actividades, la competencia es cerrada y de alta
competitividad, por lo que no es posible compartir informacin.
Otro elemento importante a destacar en la imposibilidad de la prctica del
Benchmarking es el desarrollo de las TIC a nivel nacional que se encuentra en un
estado incipiente, en su aplicabilidad, con bajo nivel en las empresas del rea,
por lo que no es dable obtener resultados positivos en un proceso comparativo.
4.3.6 Plan de Migracin de la tecnologa actual a la nueva
La etapa ms importante en el proceso de migracin ser la planificacin de
proceso completo. Definir mtodos y mecanismos de control para la migracin
ser esencial para poder tener xito en la tarea a realizar. Generalmente se
consideran los detalles tcnicos, que consumirn recursos e impedirn lograr un
resultado ntegro. Procesos de migracin sin documentacin ni planificacin seran
generalmente un desastre. Desde cambiar un motor de base de datos RDBMS
hasta un navegador o browser sin un plan correspondiente implicar eventos no
controlados. En el caso de Cygsa Chile, se ha optado por elegir la Migracin
Parcial, enfocado principalmente al rea de servidores de la empresa,
considerando en una primera instancia los servicios de red ms crticos,
realizando una migracin tanto de hardware como software, optimizando los
recursos que provee uno de los servidores principales de la empresa, en el cual
posee la mayora de los proyectos implementados y por implementar.
Documentacin que debe ser resguardaba a alto nivel por el valor considerable de
la informacin que no debe ser conocida bajo ningn aspecto por su competencia
directa a la hora de la adjudicacin de algn proyecto en particular.
La modalidad a emplear para la migracin es la siguiente:
Plan de Trabajo y calendarizacin
1. Decisin.
2. Planificacin.
3. Recopilacin de informacin de los usuarios.
4. Ingeniera de detalle del plan de trabajo.
5. Implantacin.
6. Pruebas.

99

7. Integracin.
8. Capacitacin para administradores.
9. Capacitacin para usuarios.
10. Gestin de atencin continua y en sus diferentes niveles.
Esta migracin estar orientada en paralelo, sin necesidad de deshabilitar los
servicios para los usuarios de la empresa, y realizando la configuracin necesaria
tanto de hardware y software, utilizando el enlace dedicado de internet secundario
que posee la empresa y as no dificultar la parte operativa de los servicios de red,
no afectando a la productividad de la empresa.
4.3.7 Auditora Informtica
Se ha definido establecer un sistema de auditora informtica, con posterioridad a
la implementacin y puesta en marcha del Plan Informtico con el objeto de
instalar una instancia de control.
El control es parte del proceso de la Administracin. Idalberto Chiavenato define la
Administracin como: el proceso de planear, organizar, dirigir y controlar el uso de
los recursos para lograr los objetivos organizacionales.
Esta etapa del proceso de la Administracin consiste en medir y corregir el
desempeo individual y organizacional para garantizar que los hechos se apeguen
a los planes. Implica la medicin del desempeo con base en metas y planes, la
deteccin de desviaciones respecto de las normas y la contribucin a la correccin
de stas.
El control deber considerarse como la ltima etapa del proceso. Se puede
planear y crear una estructura de organizacin que en forma eficiente facilite el
logro de los objetivos y los empleados puedan ser dirigidos y motivados; no
obstante, no hay seguridad de que las actividades vayan conforme a lo planeado y
de que las metas que buscan los administradores de hecho se estn logrando.
Este estabn final en la cadena funcional de la Administracin, verifica las
actividades para asegurar que se lleven a cabo conforme a lo planeado y cuando
haya desviaciones significativas, tomar las medidas necesarias para corregirlas. El
valor de la etapa control probablemente queda mejor entendido conectndolo a
actividades de planeacin y control.Es significativo en Administracin porque:


100

1. Se aplica a todo, a las cosas, a las personas, y a los actos.
2. Reduce costos y ahorra tiempo al evitar errores.
3. Establece medidas para corregir las actividades, de tal forma que los planes
se ejecuten con xito.
4. Proporciona informacin acerca de la situacin de la ejecucin de los
planes.
5. Determina y analiza las causas que pueden originar desviaciones, para
evitarlas en el futuro.
6. Su aplicacin es racional y contribuye al logro de la productividad de todos
los recursos de la empresa.
El concepto de Auditora
El concepto es auditar, es controlar una determinada accin.
Auditora es un examen de la informacin por terceras partes, distintas de quienes
la generan y quienes la utilizan, con la intencin de establecer su suficiencia y
adecuacin e informar de los resultados del examen con objeto de mejorar su
utilidad.
Auditora Informtica
La auditora informtica comprende: la revisin, anlisis y evaluacin
independiente y objetiva por parte de personas independientes y tcnicamente
competentes de: un entorno informtico de una entidad, abarcando todas o
algunas de sus reas.
La siguiente es la definicin de Ron Weber en Auditing Conceptual Foundations
and Practice sobre auditora informtica:
Es una funcin que ha sido desarrollada para asegurar la salvaguarda de los
activos de los sistemas de computadoras, mantener la integridad de los datos y
lograr los objetivos de la organizacin de forma eficaz y eficiente.
Mientras que la definicin de Mair William es la siguiente:
Auditora en informtica es la verificacin de los controles en las siguientes tres
reas de la organizacin (informtica):
Aplicaciones (programa de produccin).
Desarrollo de sistemas.

101

Instalacin del centro de proceso.
Por tanto, se puede decir que auditora en informtica es la revisin y evaluacin
de los controles, sistemas y procedimientos de la informtica; de los equipos de
cmputo, su utilizacin, eficiencia y seguridad; de la organizacin que participa en
el procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente, confiable y segura de la
informacin que servir para una adecuada toma de decisiones.
La informacin contenida depende de la habilidad de reducir la incertidumbre
alrededor de las decisiones. El valor de la reduccin de la incertidumbre depende
del pago asociado con la decisin que se realiza.
Importancia de la auditora en informtica
Siempre ha existido la preocupacin por parte de las organizaciones por optimizar
todos los recursos con que cuenta la entidad, sin embargo en lo que respecta a la
tecnologa de informtica, es decir, software, hardware, sistemas de informacin,
investigacin tecnolgica, redes locales, bases de datos, ingeniera de software,
telecomunicaciones, etc., sta es una herramienta estratgica que representa
rentabilidad y ventaja competitiva frente a sus similares en el mercado.
En el mbito de los sistemas de informacin y tecnologa un alto porcentaje de las
empresas tiene problemas en el manejo y control, tanto de los datos como de los
elementos que almacena, procesa y distribuye.
El propsito de la revisin de la auditora en informtica, es el verificar que los
recursos, es decir, informacin, energa, dinero, equipo, personal, programas de
cmputo y materiales son adecuadamente coordinados y vigilados por la gerencia
o por quien ellos designen.
Durante aos se ha detectado el despilfarro de los recursos o uso inadecuado de
los mismos, especialmente en informtica, mostrando inters por llegar a la meta
sin importar el costo y los problemas de productividad.


102

Antecedentes de la auditora en informtica
Si bien la auditora se ha llevado a cabo desde que el hombre hizo su aparicin,
sta se lleva de manera emprica, siendo de gran ayuda para los pueblos
conquistadores, ya que tenan que conocer y dar fe de los tributos que les rendan
los pueblos conquistados. En Mxico los oidores de la corona espaola, que con
el paso del tiempo se transformaran en auditores, vigilaban el pago del quinto real
a los reyes de Espaa.
La auditora en informtica es ms reciente, se tiene como antecedente ms
cercano a los Estados Unidos de Amrica.
En los aos cuarenta se empezaron a dar resultados relevantes en el campo de la
computacin, con sistemas de apoyo para estrategias militares, sin embargo, la
seguridad y el control slo se limitaba a dar custodia fsica a los equipos y a
permitir el uso de los mismos solo a personal altamente calificado.
Con el paso de los aos, la informtica y todos los elementos tecnolgicos que
rodean, han ido creando necesidades en cada sector social y se han vuelto un
requerimiento permanente para el logro de soluciones.
Tipo de auditora informtica
Para comenzar la implementacin del proceso de control, se efectuar el tipo de
Auditoria Informtica Interna debido a que cuenta con algunas ventajas
adicionales muy importantes respecto a la auditora externa, las cuales no son tan
perceptibles como las auditoras convencionales.
La Auditora Interna tiene la ventaja de que puede actuar peridicamente
realizando revisiones globales, como parte de su plan anual y de su actividad
normal. Los auditados conocen estos planes y se habitan a las Auditoras,
especialmente cuando las consecuencias de las recomendaciones benefician su
trabajo.
El sistema de Auditora Informtica contemplar dos enfoques o reas de trabajo
una vez hecha la migracin hacia nuevas plataformas: el rea tctica basada en
las mejores prcticas y el rea estratgica basada en el control y monitoreo,
establecidas en la propuesta metodolgica de este trabajo.

103

En el plano tctico, tendr como referente a la metodologa ITIL y en el plano
estratgico a la metodologa COBIT.
Metodologa ITIL: Provisin de Servicio y Soporte al Servicio
Debido a que en todo ciclo de los productos TI, la fase de operaciones alcanza
cerca del 70 80 % del total del tiempo y del costo, y el resto se invierte en el
desarrollo de productos, se aplicar esta metodologa para controlar que los
procesos sean ms eficaces y eficientes en la Gestin de Servicios TI, los que se
convierten en esenciales para el xito del Depto. de Informtica o TI con la
condicin de ser fiables, consistentes, de alta calidad y de costos aceptables.
Hasta hace poco las infraestructuras informticas se limitaban a dar servicio de
soporte y de alguna forma eran equiparables como otro material de oficina: algo
importante e indispensable para el correcto funcionamiento de la organizacin,
pero slo un poco ms.
En la actualidad y en la importancia de los procesos de negocios, los servicios de
TI representan generalmente una parte sustancial de ellos.
ITIL nace como un cdigo de buenas prcticas mediante:
Un enfoque sistemtico del servicio TI centrado en los procesos y
procedimientos.
El establecimiento de estrategias para la gestin operativa de la
infraestructura TI.
Este cdigo de buenas prcticas se aplica para cumplir los objetivos de una buena
gestin de servicios TI:
Proporcionar una adecuada gestin de la calidad.
Aumentar la eficiencia.
Alinear los procesos de negocios y la infraestructura TI.
Reducir los riesgos asociados a los Servicios TI.
Generar negocio.
Las mejores prcticas aplicadas a los siguientes procesos ITIL son el marco de
referencia para la Auditora Informtica de este nivel:
Administracin de Incidentes y Service Desk.

104

Administracin de la Configuracin.
Administracin de Problemas.
Administracin de Cambios.
Administracin de Release.
Administracin de Disponibilidad.
Administracin de Capacidad.
Administracin Continua de Servicios TI.
Administracin Financiera.
Administracin Niveles de Servicios.
ITIL es un conjunto de prcticas de administracin de los Servicios. Estas
prcticas de dar soporte a la entrega de los servicios ayuda a la organizacin a
documentar sus procesos de TI.
ITIL proporciona las guas acerca de lo que debe hacerse para lograr la mejor
prctica. Fortalece los procesos de entrega y soporte; describe como estructurar
los procesos operativos siendo su debilidad los controles de seguridad.
Es necesario que, una vez terminada la migracin y en pleno uso de las nuevas
plataformas, exista un control sobre las operaciones, por lo que se comenzar con
este tipo de Auditora Informtica, basada en la normativa de mejores prcticas de
ITIL.
Metodologa COBIT
Una vez obtenido el control de los Servicios y su Soporte, se proceder a controlar
el alineamiento de las metas de TI con las metas del negocio, tomando como
referencia las medidas y modelos de madurez del COBIT para medir sus logros e
identificar las responsabilidades asociadas de los dueos de los procesos de
negocio y TI.
Con el objeto de establecer un verdadero Gobierno Corporativo, se asegurar el
valor de TI, la administracin de sus riesgos asociados como el incremento de los
requerimientos para el control de la informacin.
Debido a que el Gobierno de TI, cuyo objetivo es alinear las Tecnologas de
Informacin y de Comunicacin (TIC) con la estrategia del negocio, es
responsabilidad de los altos niveles de la organizacin, reviste un carcter

105

estratgico al ser responsabilidad de los ejecutivos, del consejo de directores y
tiene que ver con el liderazgo, estructuras y procesos organizacionales.
COBIT tiene como parte de la base de su modelo a ITIL, definiendo los objetivos
de control de TI los cuales a su vez dan soporte a los procesos de negocios. Tiene
ms que ver con probar y establecer un conjunto de objetivos para asegurar el
control.
Se puede decir que COBIT es como una herramienta de auditora y monitoreo
para determinar si las cosas se han hecho bien.
La documentacin de procesos mediante ITIL y los objetivos de control de COBIT
son una combinacin muy poderosa que puede acelerar el cumplimiento de los
negocios.
COBIT se enfoca en controles y mtricas, hacindole falta tambin la seguridad,
pero proporciona una visin ms global de los procesos de TI que la que
proporciona ITIL.
La Auditora Informtica de este nivel estratgico tendr como base el modelo de
control y monitoreo de la metodologa COBIT, que subdivide las TI en 34 procesos
de acuerdo a las reas de responsabilidad de planear, construir, ejecutar y
monitorear, ofreciendo una visin de punta a punta de la TI.
Estos 34 procesos se distribuyen en los siguientes dominios de COBIT:
PO: Planear y Organizar.- Cubre las necesidades y tcticas, se identifica
con la forma en que TI puede contribuir mejor al logro de los objetivos del
negocio, para lo cual se debe poseer una apropiada organizacin adems
de una infraestructura tecnolgica.
AI: Adquirir e Implementar.- Para llevar a cabo la estrategia de TI, las
soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, as
como implementadas e integradas en los procesos de negocio.
DS: Entregar y Dar Soporte.- Cubre la necesidad en s de los servicios
adquiridos, lo que incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administracin de los datos y de las instalaciones operativas.

106

ME: Monitorear y Evaluar.- Todos los procesos de TI deben evaluarse de
forma regular en el tiempo, en cuanto a su calidad y cumplimiento de los
requerimientos de control.
COBIT est dirigido a auditores, administradores, personal del negocio, consultores,
ingenieros y en general a todos los niveles de la organizacin donde se requiera
implantar un Gobierno de TI, pero resulta til para gerentes generales y para junta
de socios, porque COBIT suministra un lenguaje comn que le permite a los
ejecutivos de negocios comunicar las metas, objetivos y resultados con auditores,
IT y otros profesionales.
COBIT fue creado para ser utilizado en tres tipos de audiencias, entre las cuales
est la Auditora de Sistemas de Informacin, que est dirigida a la administracin
de controles internos y adems de la seguridad y eficiencia de los recursos de las
TI:
Administracin, para ayudarles a lograr un balance entre los riesgos y las
inversiones, en control en un ambiente de tecnologa de informacin
frecuentemente impredecible.

Usuarios, para obtener una garanta en cuanto a la seguridad y controles de
los servicios de tecnologa de informacin proporcionados internamente o
por terceras partes.

Auditores de Sistemas de Informacin, para dar soporte a las opiniones
sobre controles internos mostradas a la administracin.


107

4.4 Resumen del estudio realizado
4.4.1 Informe de los escenarios considerados para cada nivel de la
organizacin.
Los escenarios considerados respecto de cada nivel de la organizacin son los
siguientes:

1. Nivel Estratgico.

Ubicacin de la Informtica como un elemento de apoyo a gestiones
operativas y no como un organismo estratgico o de staff, en el apoyo a la
toma de decisiones del nivel estratgico.

Visin no sistmica de la empresa con un estilo de estancos separados, lo
que no permite soluciones integrales.

Inexistencia de un plan informtico, afectando el aporte del rea a la toma
de decisiones.

Debilidad en la estabilidad de la empresa por falencias en la informacin.

Niveles de seguridad no integrados siendo un importante punto de
vulnerabilidad.

Manejo de informacin desde la plana directiva que afecta a todos los
niveles.

2. Nivel Tctico.

La aplicacin y desarrollo de las diferentes capas tecnolgicas por
separado no proporcionan el soporte informtico adecuado a la empresa.

Existencia de brecha tecnolgica que afecta al manejo de la ejecucin del
planeamiento estratgico, afectando los productos esperados.


108

Confusin en la informacin que incide en la toma de decisiones para la
supervisin en la ejecucin de los trabajos.

Instauracin de poderes en los mandos medios que afectan el
funcionamiento de las unidades en general e Informtica en particular.

Inexistencia de un plan de desarrollo organizacional que al menos
contemple la satisfaccin de necesidades de capacitacin.

3. Nivel Operativo

Manejo deficiente de las plataformas informticas, generados por la brecha
tecnolgica.

Impacto de la brecha tecnolgica en el recurso humano ante sistemas no
amigables que no puede manejar, afectando la satisfaccin en el cargo y
el desempeo laboral.

Clima Laboral no favorable a la empresa, como consecuencias del
desempeo de los trabajadores.

Concentracin de requerimientos susceptibles de solucionar a nivel de
usuario, recargando el trabajo de la Unidad de Informtica.
4.4.2 Evaluacin de las debilidades y fortalezas de la unidad de informtica
(Anlisis FODA).
Fortalezas
1. La existencia de la Unidad de Informtica se funda, adems de ser una
necesidad para la empresa, en la obligacin contractual de los clientes de
contar con ella para el desarrollo de todo tipo de proyectos, exigencia
especialmente de los contratos con empresas del Estado.
2. Obligacin de contar con asignacin presupuestaria para dicha Unidad.
3. Existencia de aplicaciones que requieren asistencia de soporte por parte
de los usuarios.

109

4. Soporte de software de base para usuarios locales y de oficinas externas
de propiedad de la empresa.
5. Parque computacional numeroso, que requiere mantencin y soporte
especializado.
6. Necesidad de desarrollo de aplicaciones corporativas.
7. Percepcin de la empresa de implementar un desarrollo informtico.

Oportunidades
1. Amplia brecha de mercado a la que puede acceder la empresa en el rea
de obras civiles, tanto en la minera como obras pblicas y otros, que por
magnitud requieren apoyo informtico.
2. Exigencia de un Depto. de Informtica en las postulaciones va licitacin,
por parte de la mayora de los clientes del estado especialmente, con el fin
de contar con una buena base de informacin.
3. Empresa transnacional, con respaldo financiero que le permite soportar
fluctuaciones del mercado.
4. Desarrollo del pas que permite el acceso y utilizacin de las tecnologas de
informacin en la ejecucin de proyectos de envergadura.
5. Continua actualizacin tecnolgica en funcin de la ejecucin de proyectos
en el tiempo, de acuerdo al momento de licitacin y el requisito de los
clientes de contar con la ltima tecnologa.

Debilidades
1. Ubicacin no estratgica de la Unidad de Informtica al interior de la
empresa.
2. Presupuestos movibles y generalmente recortados, que no satisfacen las
necesidades de la Unidad.
3. Cultura organizacional no tecnolgica de la empresa, con tendencia al
mnimo esfuerzo.
4. Poco personal calificado para las necesidades de la empresa.
5. La planta de personal de la Unidad no alcanza a cubrir las necesidades de
la empresa, con las consecuencias que ello significa.
6. Segmentacin y discriminacin de la informacin en todos los niveles de la
empresa, pero especialmente en el nivel estratgico, afectando las
decisiones de la Unidad de Informtica.

110


Amenazas
1. Fuerte competencia en el mercado.
2. Exigente control tanto de organismos pblicos y privados, respecto de
normas informticas.
3. Fuerte lobby efectuado por la competencia.
4. Heterogeneidad en la calidad de los servicios prestados por la competencia
en funcin de costos.
5. Inexistencia de estudios de mercado laboral informtico, que determine el
nivel de las recompensas en uso.
6. Falta de una cultura informtica, ya que no son aprovechadas
adecuadamente las nuevas teoras de la comunicacin y de la informacin,
as como el conocimiento sobre sus aplicaciones y capacitacin pertinente.
7. El avance de la tecnologa cuyo impacto incide en un mayor trfico de datos
e informacin, as como la utilizacin de equipos cada vez ms poderosos,
aunados a su uso intensivo, hace necesaria la implementacin de
proyectos de mantenimiento y modernizacin.
8. Mantener y mejorar los instrumentos computacionales y de
telecomunicaciones al contexto de proyectos, para optimizar el proceso de
atencin al cliente.
4.4.3 Evaluacin de alternativas de software y de sus proveedores segn
bases de los proyectos adjudicados
Al momento de realizar una evaluacin respecto a software que se requiera,
existen dos maneras para desarrollarlo. Por una parte, se toman como referencia
las bases tcnicas en cuanto a los requerimientos que posee la empresa y su
ordenamiento lgico necesario para llevar a cabo el software a implementar.
Software, que puede ser desarrollado por el Departamento de Informtica de
Cygsa, o en su contraparte realizar los estudios necesarios del software a
implementar y entregarlos al mejor oferente del software en el mercado.


111

4.4.4 Evaluacin de alternativas de equipamientos y de sus proveedores
segn pautas de los proyectos adjudicados.
En los procedimientos de evaluacin en cuanto a hardware se refiere, Cygsa toma
como base los requerimientos que solicitan los clientes en los proyectos que
deben poner en marcha, debido a que stos son ofertas pblicas que realizan los
oferentes. Se debe considerar que dentro de cada proyecto, existe un apartado
asignado a la implementacin informtica que se debe contemplar. Se toman las
bases tcnicas y se realiza el procedimiento de cotizaciones hacia los proveedores
de hardware con los cuales se cuenta. El proceso de seleccin en el cual se
incurre, toma en cuenta los siguientes aspectos: costos, garantas, servicios post-
venta, etc.







112

V. Conclusiones y recomendaciones
La prdida de relevancia de la Informtica en cuanto a su ubicacin al interior de
la empresa y especialmente dentro de su estructura, se observa comnmente en
las organizaciones en general, debido a que la gente de Informtica por falta de
metodologa y otras competencias en el mbito de la administracin y,
particularmente en el de las relaciones humanas, nunca pudo enfrentar de lleno el
problema del cambio organizacional asociado a las aplicaciones computacionales
debido a que su enfoque consisti en concentrarse en los aspectos tcnicos de
los sistemas de informacin.
Debido a que la Reingeniera de Procesos de Negocios, por ejemplo, se
desarroll en ese nicho vaco creado por los especialistas en Sistemas de
Informacin e Informtica, esta ltima ha sido desplazada del papel que debiera
cumplir en la gestin de la empresa desde el punto de vista estratgico y en los
procesos desde el punto de vista tctico, minimizando su importancia a niveles
meramente operativos y slo para cumplir algunas especificaciones.
Cygsa Chile S.A. no es la excepcin en esta caso. Tal es as que en el
organigrama se observa en el ltimo casillero de Equipos de Apoyo , como
Unidad de Informtica , debiendo ubicarse en un lugar de dependencia directa
del Gerente General, como corresponde a su importancia estratgica.
La magnitud de los clientes de Cygsa Chile S.A. es de alto nivel como: Codelco,
MOP, EFE, Intendencias, Aguas Andinas, SERVIU, ENAP, etc., con lo que la
exigencia en cuanto a los servicios contratados son elevadas.
Es as como estas empresas exigen contractualmente la existencia de un
Departamento de Informtica, en apoyo a la gestin de negocios y gestin de la
informacin. En este plano, la funcin informtica es supervisada por
inspecciones dependientes de los mismos clientes.
La cultura organizacional imperante en Cygsa no ha permitido el desarrollo de las
TI y los beneficios que ello significa, manteniendo una unidad operativa de bajo
nivel, con recursos en funcin del desconocimiento de las TI, implicando tambin
la inexistencia de Planes Informticos, poniendo en riesgo la fidelidad de los
clientes y finalmente la existencia de Cygsa Chile S.A. como empresa, al cumplir
solamente con las exigencias mnimas operativas de los clientes en el rea
informtica.

113

La propuesta de esta tesis pretende desarrollar una metodologa que explote las
TI de bajo costo, confiables y en continuo desarrollo.
Como resultado de esta propuesta, se puede concluir lo siguiente:
1.- El Plan Informtico de acuerdo a la metodologa a utilizar fue aprobado por la
empresa, caracterizndose por:
1.1.- Sistema Operativo de Red ( Open Source ).- Esta tecnologa releva el
sistema en uso con un equipo de personas formado por la direccin de un
profesional ya contratado y con apoyo de personal del Depto. de Informtica de la
misma empresa, el cual ser fortalecido con un proceso de capacitacin continuo,
basado en franquicia tributaria sin costo para la empresa.
Esto permite la captacin y renovacin constante de nueva tecnologa a un bajo
costo, para su aplicacin a la empresa, evitando el outsourcing e iniciando un
proceso de cambios por va de la implantacin de una cultura tecnolgica.
1.2.- Equipamiento.- En la forma de trabajo de Cygsa, cada proyecto contempla
en sus costos el equipamiento de ltima generacin como exigencia de los
clientes, por lo que no es necesario proveer al Departamento de Informtica de
exigencias fuera de norma, como consecuencia de la aplicacin de la
Metodologa propuesta.
Si el proyecto no exigiera el equipamiento por lo que no lo financiara, Cygsa
cuenta con un parque actualizado.
1.3.- Buenas Prcticas y Estndares.- La transformacin de la Unidad de
Informtica en Departamento de Informtica, contempla la formacin de un equipo
profesional necesario, a cargo del Jefe del Departamento de Informtica para la
aplicacin de buenas prcticas y estndares.
Esta instancia tambin contempla una capacitacin constante con uso de
franquicia tributaria, sin costo para la empresa.
2.- La aceptacin del Plan Informtico tuvo como consecuencia la
transformacin de la Unidad en Departamento de Informtica, ubicndose en un
nivel estratgico dentro de la organizacin, con dependencia directa de la
Gerencia General.


114

Referencias Bibliogrficas
Tallado Jimnez Monica, PMI Member ID 1352929
Libro Gua de los Fundamentos para la Direccin de Proyectos (Gua del
PMBOK, 4ta Edicin
Project Management Institute, Inc.
14 Campus Boulevard
Estados Unidos
Ao 2008
393 Pginas

Bailey Cristian
Libro ITIL Conjunto de Mejores Prcticas, Gestin Servicios TI, Versin 3
Ao 2010
322 Pginas

Niemann Vizcarra Karen
Apunte Conceptos Bsicos sobre un Plan Informtico

IT Governance Institute
Libro COBIT , Versin 4.1
Ao 2007
211 Pginas
Sitio web www.itgi.org

Software Libre
www.gnu.org

Open Source
opensource.org

Norma de calidad ISO/IEC 27001
Estndar para la seguridad de la informacin
www.iso27000.es
www.iso27001standard.com


115

Norma Chilena Oficial NCh- ISO 27002 . Of2009
www.entidadacreditadora.gob.cl

GNU / Linux
es.wikipedia.org/wiki/GNU/Linux

Gua Metodolgica 2011
www.dipres.gob.cl


116

Terminologa
1. Metodologa
Conjunto de procedimientos racionales utilizados para alcanzar una gama
de objetivos que rigen en una investigacin cientfica o tareas que requieran
habilidades, conocimientos o cuidados especficos. Se puede definir
tambin como el estudio o eleccin de un mtodo pertinente para un
determinado objetivo.

2. Tecnologas de la Informacin (TI)
Las TI agrupan los elementos y las tcnicas usadas en el tratamiento y
transmisin de la informacin, principalmente la informtica, Internet y las
telecomunicaciones. El uso de las tecnologas de la informacin y la
comunicacin ayudara a disminuir la brecha digital, aumentando el
conglomerado de usuarios que las utilicen como medio tecnolgico para el
desarrollo de sus actividades.
3. Reingeniera
La reingeniera de procesos es el rediseo radical y la reconcepcin
fundamental de los procesos de negocios para lograr mejoras dramticas
en medidas de desempeo tales como en costos, servicio y rapidez. Es la
actividad destinada a incrementar las capacidades de gestin de nivel
operativo y complementarias de las apuestas estratgicas y polticas de
una organizacin.

4. Monitoreo de Servicios
El servicio de monitoreo de servicios de red permite visualizar grficamente
el estado de sus dispositivos, previniendo errores de la plataforma TI de la
empresa y permitiendo tomar decisiones correctas a tiempo. La
visualizacin es en lnea, desde cualquier computador que se disponga y
desde cualquier lugar con acceso a su red o internet.


117

5. Firewall
Un firewall (cortafuegos) es una parte de un sistema o una red que est
diseado para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto
de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico
entre los diferentes mbitos sobre la base de un conjunto de normas y
criterios.
6. Dominio

Un dominio es una red de identificacin asociada a un grupo de dispositivos
o equipos conectados a la red. El propsito principal conjuntamente con el
Sistema de Nombres de Dominio (DNS), es traducir las direcciones IP de
cada nodo activo en la red, a trminos memorizables y fciles de encontrar
en palabras.

7. Controlador de dominio
Un controlador de dominio es una entidad administrativa, no es un
ordenador en concreto, sino un conjunto de ordenadores agrupados que se
cien a unas reglas de seguridad y autenticacin comunes. Para regular un
dominio, se precisa de al menos un equipo que sea el controlador principal,
la fuente primaria donde se almacenan las reglas del dominio y donde sern
consultadas esas reglas en ltima instancia.
8. Antivirus
Los antivirus son programas cuyo objetivo es detectar y/o eliminar virus
informticos.

9. Anti-spam
Es un mtodo para prevenir correo basura. Tanto los usuarios finales
como los administradores de sistemas de correo electrnico utilizan
diversas tcnicas contra ello. Algunas de stas tcnicas han sido
incorporadas en productos, servicios y software para alivianar la carga que
cae sobre los usuarios y administradores. Las tcnicas antispam se pueden
diferenciar en cuatro categoras: las que requieren acciones por parte
humana, las que de manera automtica son los mismos correos

118

electrnicos los administradores; las que se automatizan por parte de los
remitentes de correos electrnicos; las empleadas por los administradores y
funcionarios encargados de hacer cumplir las leyes.

10. VPN
Una red privada virtual (VPN) de las siglas en ingls Virtual Private
Network, es una tecnologa de red que permite la extensin segura de la
red local sobre una red pblica o no controlada. Un ejemplo claro es la
posibilidad de interconectar dos o ms sucursales de una empresa
utilizando como vnculo internet, permitir a los miembros del equipo de
soporte tcnico la conexin desde su casa al centro de cmputo, o que un
usuario pueda acceder a su equipo desde un sitio remoto.

11. Terminal Server
Los servicios de escritorio remoto, antiguamente conocidos como servicios
de terminal (terminal services), son un componente de los sistemas
operativos que permite a un usuario acceder a las aplicaciones y datos
almacenados en otro ordenador mediante un acceso por red.

12. ISP
Un proveedor de servicios de internet (ISP) es una empresa que brinda
conexin a internet a sus clientes. Un ISP conecta a sus usuarios a internet
a travs de diferentes tecnologas.

13. Filesystem

Los sistemas de archivos (Filesystem) estructuran la informacin guardada
en una unidad de almacenamiento (disco duro, pendrive, etc.) que luego
ser representada ya sea textual o grficamente utilizando un gestor de
archivos. La mayora de los sistemas operativos manejan su propio sistema
de archivos.



119

14. GNU
La licencia pblica general (GNU) es una licencia orientada principalmente
a proteger la libre distribucin, modificacin y uso de software. Su propsito
es declarar que el software cubierto por esta licencia es software libre y
protegerlo de intentos de apropiacin que restrinjan esas libertades a los
usuarios.

15. Open Office Libre Office
Open Office o Libre Office es una suite ofimtica libre y gratuita compatible
con diversos sistemas operativos (Windows, Mac, Linux). Cuenta con un
procesador de textos, un editor de hojas de clculos, un creador de
presentaciones, un gestor de bases de datos, un editor de grficos
vectoriales y un editor de frmulas matemticas. Est disponible bajo una
licencia pblica y es una alternativa al software privativo de Microsoft.

16. Cdigo fuente
El cdigo fuente de un programa informtico (o software), es un conjunto de
lneas de texto que son las instrucciones que debe seguir el computador
para ejecutar dicho programa. Por tanto, en el cdigo fuente de un
programa est descrito por completo su funcionamiento.

17. Unix
Es un sistema operativo portable, multitarea y multiusuario desarrollado a
principios de 1969. El objetivo del proyecto era desarrollar un gran sistema
operativo interactivo que contase con muchas innovaciones y dentro de la
ms importante las mejoras en las polticas de seguridad.

18. PMI
El Project Management Institute (PMI) es una organizacin internacional sin
fines de lucro que asocia a profesionales relacionados con la Gestin de
Proyectos. Desde principios del ao 2011, es la ms grande en el mundo
en su rubro, dado que se encuentra integrada por ms de 380.000
miembros en cerca de 170 pases. Sus principales objetivos son: formular
estndares profesionales en gestin de proyectos, generar conocimiento a

120

travs de la investigacin, promover la gestin de proyectos como profesin
a travs de sus programas de certificacin.

19. Balanced Scorecard
El concepto de Cuadro de Mando Integral CMI (Balanced Scorecard BSC)
plantea que el CMI es un sistema de administracin o sistema
administrativo (management system), que va ms all de la perspectiva
financiera con la que los gerentes acostumbran evaluar la marcha de una
empresa.
Es un mtodo para medir las actividades de una compaa en trminos de
su visin y estrategia. Proporciona a los gerentes una mirada global del
desempeo del negocio.

20. Framework
El marco de trabajo (Framework) define un conjunto estandarizado de
conceptos, prcticas y criterios para enfocar un tipo de problemtica en
particular que sirve como referencia, para enfrentar y resolver nuevos
problemas de ndole particular.

21. VAL TI
Es un framework de gobernabilidad que se puede utilizar para crear valor
de negocio de las inversiones TI. Consiste en un conjunto de principios
rectores y una serie de procesos y mejores prcticas, que se los define
como un conjunto de prcticas de gestin claves para apoyar y ayudar a la
gerencia ejecutiva y juntas a nivel empresarial.

22. Stackeholders
Estos grupos o individuos son los pblicos interesados o el entorno
interesado (Stackeholders) que deben ser considerados como un elemento
esencial en la planificacin estratgica de los negocios. Se puede definir
como cualquier persona o entidad que es afectada por las actividades o la
marcha de la organizacin, por ejemplo los trabajadores de la organizacin,
sus accionistas, los sindicatos, etc.



121

23. COSO
C.O.S.O. es un comit (Comit de Organizaciones Patrocinadoras de la
Comisin Treadway) que redact un informe que orienta a las
organizaciones y gobiernos sobre control interno, gestin de riesgo,
fraudes, tica empresarial, entre otras. Dicho documento es conocido como
informe C.O.S.O y ha establecido un modelo comn de control interno con
el cual las organizaciones pueden evaluar sus sistemas de control.

24. Service Desk
La tecnologa de mesa de ayuda (Service Desk) es un conjunto de servicios
que ofrece la posibilidad de gestionar y solucionar todas las incidencias de
manera integral, junto con la atencin de requerimientos relacionados con
las TICS (Tecnologas de Informacin y Comunicaciones). Es un servicio de
mesa de ayuda, donde se ofrecen los servicios de soporte tcnico.

25. Clusters
El trmino cluster hace referencia a un conjunto o conglomerado de
computadores enlazados mediante la utilizacin de hardware comunes y
que se comportan como si fuese un solo computador.

26. Cableado Estructurado
El cableado estructurado es una infraestructura de cable destinada a
transportar las seales que emite un emisor de algn tipo de seal, hasta el
correspondiente receptor. Es fsicamente una red de cable nica y
completa, con combinaciones de alambre de cobre (pares trenzados),
cables de fibra ptica, bloques de conexin, cables terminados en
diferentes tipos de conectores y adaptadores. Para poder definir un
cableado estructurado se debe llevar a la prctica lo estipulado en las
normas y estndares internacionales.



122

27. BIA
El anlisis de impacto sobre el negocio, conocido comnmente como BIA
(Business Impact Anlisis) es determinar y entender qu procesos son
esenciales para la continuidad de las operaciones y calcular su posible
impacto. Este proceso es fundamental dentro de la elaboracin de un Plan
de Continuidad de Negocio.

28. BCP
El Plan de Continuidad de Negocios es el resultado de la aplicacin de una
metodologa interdisciplinaria, llamada cultura BCP, usada para crear y
validar planes logsticos para la prctica de cmo una organizacin debe
recuperar y restaurar sus funciones crticas parcial o totalmente
interrumpidas, dentro de un tiempo predeterminado despus de una
interrupcin no deseada o desastre.

29. RPO
El Punto Objetivo de Recuperacin, es cuando la infraestructura, ya
recomenzada, volver a hacerse evidente. Bsicamente significa lo que la
organizacin est dispuesta a perder en cantidad de datos. Para reducir un
RPO es necesario aumentar el sincronismo de rplica de datos.

30. RTO
El Tiempo Objetivo de Recuperacin, es el tiempo que pasar una
infraestructura antes de estar disponible. Para reducir el RTO, se requiere
que la infraestructura (tecnolgica, logstica, fsica) est disponible en el
menor tiempo posible pasado el evento de interrupcin.

31. Enlaces Dedicados
Es un servicio que permite establecer un acceso permanente a internet de
alta capacidad, con un costo fijo, independientemente del tiempo de
conexin y del volumen de informacin transmitida.



123

32. Switch
Un conmutador (switch) es un dispositivo digital lgico de interconexin de
redes de computadores que opera en la capa de enlace de datos del
modelo OSI. Su funcin es interconectar dos o ms segmentos de red,
pasando de un segmento a otro de acuerdo a la direccin MAC de destino
de las tramas en la red, dado que funcionan como filtro en la red, mejoran el
rendimiento y la seguridad de las redes de rea local.

33. PFSense
Es una distribucin personalizada del Sistema Operativo de red FreeBSD
adaptado para su uso como Firewall y Router. Se caracteriza por ser de
cdigo abierto, puede ser instalado en una variedad de equipos y adems
posee una interfaz web para su configuracin.

34. HTTP
El protocolo de transferencia de hipertexto (HTTP) es el protocolo usado en
cada transaccin de la world wide web (www). Define la sintaxis y la
semntica que utilizan los elementos de software de la arquitectura web
(clientes, servidores, proxies) para comunicarse.

35. HTTPS
El protocolo seguro de transferencia de hipertexto (HTTPS) , es un
protocolo de aplicacin basado en el protocolo HTTP, destinado a la
transferencia segura de datos de hipertexto, es decir es la versin segura
de HTTP.

36. DNS
Sistema de Nombres de Dominio (DNS) es un sistema de nomenclatura
jerrquica para computadores, servicios o cualquier recurso conectado a
internet o a una red privada. Traduce nombres inteligibles para las personas
en identificadores binarios asociados con los equipos conectados a la red,
con el fin de localizar y direccionar estos equipos mundialmente.



124

37. SMTP
Protocolo para la transferencia simple de correo electrnico (SMTP), es un
protocolo de la capa de aplicacin del modelo OSI. Protocolo de red basado
en texto, utilizado para el intercambio de mensajes de correo electrnico
entre computadores u otros dispositivos (Pda, telfonos mviles, etc). Est
definido en el RFC 2821 y es un estndar oficial de internet.

38. POP3
Protocolo de Oficina Postal (POP3) nos permite poder recepcionar los
mensajes de correos electrnicos almacenados en un servidor remoto. Es
un protocolo de nivel de aplicacin en el Modelo OSI.

39. NAT
Traduccin de Direccin de Red (NAT), es un mecanismo utilizado para
intercambiar paquetes entre dos redes que asignan mutuamente
direcciones incompatibles. Consiste en convertir, en tiempo real, las
direcciones utilizadas en los paquetes transportados.
40. Proxy Squid
Es un programa de software libre que implementa un servidor proxy y un
dominio para cach de pginas web. Dentro de sus caractersticas puede
acelerar un servidor web, guardando el cach las peticiones repetidas a
DNS, cach de web, adems de aadir seguridad filtrando el trfico.

41. MS-RDP
Es un protocolo desarrollado por Microsoft que permite la comunicacin
durante la ejecucin de una aplicacin entre un terminal, mostrando la
informacin procesada que muestra el servidor y un servidor Windows,
recibiendo la informacin dada por el usuario en el terminal mediante ratn
y teclado.


125

42. FTP
El Protocolo de Transferencia de Archivos (FTP), es un protocolo de red
para la transferencia de archivos entre sistemas conectados entre una red
TCP (Protocolo de Transmisin y Control), basado en la arquitectura Cliente
y Servidor.
43. SFP
Tipo de puerto que se utiliza para conectar la fibra ptica, intercambiando
informacin entre la red de cobre y la de fibra.
44. LACP
Es un protocolo de red definido en el estndar 802.1ad y que puede
agrupar puertos por su velocidad, modo dplex, troncales, VLan nativas,
etc.

45. IEEE 802
Es un conjunto de estndares elaborado por el Instituto de Ingenieros
Elctricos y Electrnicos (IEEE) que acta sobre redes de computadores.
Tambin se usa el nombre IEEE 802 para referirse a los estndares que
proponen, como por ejemplo Ethernet (IEEE 802.3), Wifi (IEEE 802.11).

46. ACL
Una lista de acceso (ACL) es un concepto de seguridad informtica usado
para fomentar la separacin de privilegios. Es una forma de determinar los
permisos de acceso apropiados a un determinado objeto. Las ACLs
permiten controlar el flujo de trfico en equipos de redes.
47. MAC
El Control de Acceso al Medio (MAC) es un identificador de 48 bits (6
bloques hexadecimales) que corresponde de forma nica a una tarjeta o
dispositivo de red. Se conoce tambin como direccin fsica, y es nica
para cada dispositivo. Est determinada y configurada por el IEEE.



126

48. IP
Una direccin IP es una etiqueta numrica que identifica, de manera lgica
y jerrquica, a una interfaz (elemento de comunicacin, conexin al
exterior) de un dispositivo dentro de una red que utilice el protocolo IP
(Internet Protocol), que corresponde al nivel de red del Modelo OSI.

49. VOIP
Voz sobre Protocolo de Internet, es un grupo de recursos que hacen posible
que la seal de la voz viaje a travs de internet empleando un protocolo IP
(Protocolo de Internet). Esto significa que se enva la seal de voz en forma
digital, en paquetes de datos, en lugar de enviarla en forma analgica a
travs de circuitos utilizables slo por telefona convencional.
50. Spanning-Tree Protocol
Es un protocolo de red de nivel 2 del modelo OSI (nivel de enlace de datos).
Su funcin es la de gestionar la presencia de bucles en topologas de red
debido a la existencia de enlaces redundantes. El protocolo permite a los
dispositivos de interconexin activar o desactivar automticamente los
enlaces de conexin.

51. RSTP
Es un protocolo de red de nivel 2 del modelo OSI (nivel de enlace de datos),
que gestiona enlaces redundantes, especificado en IEEE 802.1w. Es una
evolucin del Spanning Tree Protocol (STP). Reduce significativamente el
tiempo de convergencia de la topologa de red, cuando ocurre un cambio en
la topologa.

52. MSTP
Son mltiples STP (Spannig Tree Protocol).
53. Tramas Jumbo
Son tramas Ethernet mayores a 1518 bytes. Se pueden utilizar para reducir
la utilizacin de la CPU e incrementar el flujo, esto puede significar que se
cree ms latencia. El tamao mximo de una trama jumbo es de 16,128
bytes.


127

54. IGMP
Es un protocolo de red que se utiliza para intercambiar informacin acerca
del estado de pertenencia entre enrutadores IP, que admiten la
multidifusin, y miembros de grupo de multidifusin.

55. Snooping
Es una tcnica que tiene como objetivo obtener informacin de una red a la
que estn conectados los computadores sin modificarla, similar al sniffing
(packet sniffer). Adems de interceptar el trfico de red, el atacante accede
a documentos, mensajes de correo electrnico y otra informacin privada
existente en el sistema, guardando en la mayora de los casos esta
informacin en su equipo.

56. Multicast
Multidifusin, es el envo de la informacin en una red a mltiples destinos
simultneamente.

57. Router
Enrutador o encaminador de paquetes, es un dispositivo que proporciona
conectividad a nivel de red o nivel tres del modelo OSI. Su funcin principal
consiste en enviar o encaminar paquetes de datos de una red a otra.

58. DHCP
Protocolo de configuracin dinmica de host, es un protocolo de red que
permite a los clientes de una red IP, obtener sus parmetros de
configuracin automticamente. Se trata de un protocolo de tipo cliente /
servidor en el que generalmente un servidor posee una lista de direcciones
IP dinmicas y las va asignando a los clientes conforme stas van estando
libres.
59. WPA2
Acceso Protegido Wi-Fi 2, es un sistema para proteger las redes
inalmbricas (WIFI); creado para corregir las vulnerabilidades detectadas en
WPA. Est basado en el nuevo estndar 802.11i. Versin certificada del
estndar 802.11i.

128

60. Hosts Bastiones
Un bastin host es una aplicacin que se localiza en un server con el fin de
ofrecer seguridad a la red interna, por lo que ha sido especialmente
configurado para la recepcin de ataques, generalmente provee un solo
servicio (como por ejemplo un servidor proxy).
61. Backups
Una copia de seguridad (backup) en tecnologa de informacin o informtica
es el proceso de copia de seguridad, con el fin de que estas copias
adicionales puedan utilizarse para restaurar el original despus de una
eventual prdida de datos.