Professional Documents
Culture Documents
Volumen 5 Nmero 3
OCTUBRE 2008
Revista de
Procesos y Mtricas
de las tecnologas de la informacin
CONTENIDOS
EL BUEN GOBIERNO DE LA SEGURIDAD. Miguel ngel Thomas ...57
GOBERNADOR DE TI: NACE UN NUEVO PUESTO EN EL NIVEL DIRECTIVO
Miguel Garca Menndez .......64
LA GESTIN CUANTITATIVA EN CMMI. RELACIN CON SPC Y SEIS
SIGMA. Anabel Manchn Diez.........67
DE LA GESTIN POR PROCESOS AL B.P.M. Dr. Montgomery Lee, PDF , Ignacio
Fernndez........72
ENTERPRISE AND IT ARCHITECTURE: LAS CLAVES DEL GOBIERNO DE TI
ngel Snchez..........77
PRUEBAS DE SEGURIDAD EN EL MARCO DE UNA FACTORA DE CALIDAD
DE PRODUCTO SOFTWARE. Jess Prez Cristbal........82
Revista de Procesos y
Mtricas de las Tecnologas
de la Informacin
Volumen 5 Nmero 3
1. Propsito de la Sociedad
2. Asociados
La asociacin se compone de dos clases de asociados: Miembros de Nmero y Miembros
Honorficos.
Los Miembros de Nmero son las personas fsicas o entidades que participan
regularmente en las actividades de la asociacin. La asociacin est abierta, sin
discriminacin, a todas las personas fsicas o entidades, sean estas organizaciones
pblicas o privadas, que estn interesadas en promover los fines y actividades de la
asociacin.
Los miembros de Nmero ingresan en la asociacin previa solicitud dirigida a la junta
directiva (El formulario se encuentra las pginas finales de esta revista).
3. Beneficios de la Asociacin
Los miembros de Nmero gozan de la plenitud de derecho en orden a participar en los
rganos de Gobierno de la asociacin, tanto en la Asamblea General como en la Junta
Directiva, siempre con sujecin a lo previsto en los estatutos y de acuerdo con las
directrices y normas fijadas por la Junta Directiva.
Los miembros de Nmero tienen derecho a participar en las actividades y actos sociales
en la forma, en que cada caso, disponga la Junta Directiva.
Los miembros de Nmero tienen derecho a recibir sin coste alguno las publicaciones
peridicas realizadas por la asociacin.
4. Publicaciones de la Asociacin
Boletn de la Asociacin Espaola de Mtricas de Sistemas informticos.
Publicacin de periodicidad trimestral cuyo contenido est centrado fundamentalmente
en la actividad interna de la asociacin. Se describen tambin nuevos recursos como
libros o herramientas software de inters para los asociados. Tambin se comentan
aquellos eventos de especial relevancia relacionados con la gestin de los Procesos de
las Tecnologas de la Informacin y las Comunicaciones.
Revista de Procesos y Mtricas de las Tecnologas de la Informacin.
Publicacin de periodicidad cuatrimestral cuyo contenido est formado por artculos
cientficos revisados por pares y enfocados en las reas de inters de la asociacin.
ISSN: 1698-2029
EL BUEN
GOBIERNO DE LA SEGURIDAD
Miguel ngel Thomas
Resumen:
La seguridad en los sistemas de informacin y la organizacin entorno a la misma es una preocupacin creciente
en las empresas y organizaciones actualmente. El presente artculo explica la evolucin actual del Gobierno de la
Seguridad en las empresas, el ciclo de vida del programa de seguridad as como los principios y reas de gobierno. El enfoque del artculo se basa en nuestra experiencia real en la implantacin del Gobierno de la Seguridad
dentro de grandes organizaciones.
Abstract:
Information Systems security procedures and supporting organization is becoming an increasing concern among
enterprises. This paper deals with the evolution of the IT Security Governance in different organizations, the Security Program Lifecycle and the fundamental application areas and principles. The approach displayed in this
article is based on our experience in several project engagements, deploying Security Governance framework in
big corporations.
Palabras clave:
1. SITUACIN ACTUAL
La evolucin actual del Gobierno de la Seguridad en las empresas, generalmente representados por los departamentos de Seguridad, se centra principalmente en el concepto de Seguridad Distribuida. En la
prctica el mbito de la seguridad dentro de
una organizacin abarca normalmente todas
las reas y departamentos:
Por lo tanto, es realmente difcil que un nico departamento de Seguridad sea capaz de
ejecutar directamente todas las iniciativas en
cada uno de los mbitos de aplicacin.
En la prctica, las tareas diarias que realizan
los departamentos de Seguridad dependen
directamente del nivel al que reporten y
dnde estn ubicados. Por ejemplo no es lo
mismo un departamento de Seguridad que
est dentro del rea de TI y reporta a la direccin de sistemas que un departamento de
Seguridad que reporta directamente al CEO
y est a la altura de las direcciones de Negocio.
No obstante, generalmente el Gobierno de la
Seguridad en una organizacin suele centrarse en dos tipos de actividades claramente
diferenciadas:
- 57 -
Poltica
Cumplimiento
Gobierno de la
Seguridad
Concienciacin
Monitoreo
Implementacin
De
te
Corr
e
2. PROCESOS DE GOBIERNO
Prevenir
ct a
gir
ISSN: 1698-2029
ISSN: 1698-2029
4. REAS DE GOBIERNO
Otro modo de enfocar el gobierno de la seguridad, en vez de a nivel de procesos, es
hacerlo segn las competencias que deba de
asumir en la organizacin. Evidentemente, y
tal y como se ha presentado al inicio del presente artculo, estas competencias dependern mucho del nivel de interlocucin que
tenga en la organizacin.
No obstante, y de un modo genrico las
competencias se podran agrupar como sigue:
Anlisis
Auditoras
Riesgos
Gobierno Seguridad
Soporte
Principio de independencia. La funcin de seguridad no debe estar condicionada en el nivel tctico y operativo
Tcnico
Formacin
Concienciacin
Proy.
Sensibilizacin
Figura 2.
- 59 -
ISSN: 1698-2029
- 60 -
ISSN: 1698-2029
- 61 -
ISSN: 1698-2029
ci
ina
um
en
tac
i n
n
i
luc cias
o
s n
Re cide
In
Nuevos
desarrollos
trol
Con ad
d
cali
d
or
Co
c
Do
Mantenimiento
operativo y correctivo
Viabilidad
Mantenimiento
preventivo y evolutivo
Mapa Competencias
- 62 -
Mantenimiento operativo y correctivo. El rea de seguridad realiza las tareas de gestin del mantenimiento operativo y correctivo de la misma forma
que el mantenimiento preventivo y
evolutivo pero teniendo en cuenta las
caractersticas de este tipo de proyectos.
Coordinacin de actividades. Realiza
funciones de coordinacin de proyectos
multi-sistema, independientemente de
los equipos y/o proveedores implicados. Estos proyectos tienen como elemento comn la seguridad.
Control de calidad. El rea de seguridad realiza las tareas de revisin de calidad siguiendo los estndares y metodologas proporcionadas por el marco
de seguridad de la organizacin de
forma que se garantiza la calidad de los
proyectos en los que intervenga el rea
de seguridad.
Revisa la calidad de los entregables relacionados con los entornos productivos de forma que
evaluar su validez en funcin de los estndares fijados y su cumplimiento con los requerimientos de seguridad solicitados. Colaborar
definiendo planes de pruebas y ejecutando las
pruebas que sean necesarias para aprobar los
pasos a produccin desde el punto de vista de
seguridad.
ISSN: 1698-2029
zando los formatos estndares de la organizacin. Toda la documentacin generada queda a disposicin de la organizacin en los repositorios que sta
designe.
Escalado y resolucin de incidencias.
El rea de seguridad se encarga de la
gestin de las incidencias dando el soporte necesario a los responsables de la
organizacin, tanto internos como externos, que se puedan ver involucrados
en la resolucin de las mismas.
6. REFERENCIAS.
[1] CISM, Certified Information Security Manager,
Review Manual 2008 ISACA.
[2] JTC 1/SC 27. ISO/IEC 27001:2005, International
Standards for Business, Government and Society.
- 63 -
ISSN: 1698-2029
miguel.gmenendez@atosorigin.com
Resumen:
El IT Governance est aqu para quedarse. Como ya ocurriera a principios de esta dcada con la Seguridad, hoy la palabra de moda es, sin duda, Gobernanza. Eso, al menos, parecen indicar todas las alarmas,
a la vista del creciente inters sobre el tema que ha venido observndose, en el ltimo ao y medio, en el
mercado espaol. Bajo esa premisa, el presente artculo propone la creacin de una nueva figura en las
organizaciones: el Gobernador de las TIC, y describe un posible perfil para estos nuevos directivos. A
partir de ah, se plantean una serie de dudas: estn los actuales responsables de Tecnologa preparados
para asumir ese nuevo papel?, constituye, para ellos, una oportunidad nica de ascender al nivel directivo? cabra pensar que el perfil descrito debera ser, tambin, el de los profesionales que asesoran a las
organizaciones en este mbito? Existe algn tipo de iniciativa formativa orientada a ayudar a moldear a
los actuales profesionales en la horma de la nueva figura?
Abstract:
Information Systems security procedures and supporting organization is becoming an increasing concern
among enterprises. This paper deals with the evolution of the IT Security Governance in different organizations, the Security Program Lifecycle and the fundamental application areas and principles. The approach displayed in this article is based on our experience in several project engagements, deploying Security Governance framework in big corporations.
Palabras clave:
1. INTRODUCCIN
Los Consejos de Administracin y las Direcciones Generales han comprendido, desde
hace tiempo, la necesidad de establecer marcos de buen gobierno corporativo. Esto se
hace particularmente evidente si se tienen en
cuenta las crecientes obligaciones en materia
de conformidad regulatoria.
Ms an, los Sistemas de Informacin, y las
Tecnologas de la Informacin y las Comunicaciones que los sustentan, han adquirido
una gran relevancia en el logro de los objetivos corporativos y en la entrega de beneficios. Ello ha llevado a un importante nmero
de organizaciones a darse cuenta de que la
gobernanza ha de extenderse tambin al
mbito tecnolgico; hasta tal punto, que, hoy
en da, el buen gobierno de las TI es considerado una parte integrante de la gobernanza
corporativa, como medio de apoyar y reforzar las estrategias y objetivos de la organizacin.
- 64 -
ISSN: 1698-2029
- 65 -
de negocio, cumplen con sus responsabilidades sobre la gestin del valor: esto es, que las nuevas inversiones en actividades apoyadas en tecnologa producen el beneficio esperado y aportan
un valor al negocio, medible, tanto invididual, como colectivamente; que las
capacidades (soluciones y servicios)
son entregados en tiempo y coste; y
que los servicios y otros activos de TI
contribuyen de manera contnua al valor del negocio. Todo ello, mediante el
desarrollo de un proceso de gobierno
del valor;
adicionalmente, los gobernadores de TI
debern asegurar la existencia y puesta
en marcha de marcos apropiados, alineados con las normas y modelos de
referencia, para identificar, evaluar, mitigar, gestionar, comunicar y supervisar
los riesgos del negocio relacionados
con las TI, como una actividad ms del
buen gobierno de la empresa. Todo
ello, mediante el desarrollo, mejora y
mantenimiento de un proceso contnuo y analtico de gestin de los riesgos empresariales;
estos nuevos directivos debern ocuparse de que el rea de TI disponga de
recursos suficientes, competentes y capaces de ejecutar los objetivos estratgicos presentes y futuros, y de responder a las demandas del negocio, a
travs de una optimizacin de la inversin, del uso y de la ubicacin de los
activos tecnolgicos (aplicaciones, informacin, infraestructuras y personal).
Todo ello, mediante la puesta en marcha de un proceso contnuo de planificacin, gestin optimizada y evaluacin de recursos;
igualmente, debern asegurar que se establecen metas e indicadores para las
TI, de apoyo al negocio, en colaboracin con las partes interesadas; y que se
fijen, supervisen y evaluen ciertos obje-
Se trata, en definitiva, de habilidades y actividades directamente relacionadas con la definicin, el establecimiento y/o el mantenimiento
de un marco de referencia para la gobernanza de las TI (materializada en liderazgo,
estructuras organizativas y procesos) para: asegurar la sincronizacin con el buen gobierno de
la entidad; controlar el entorno de TI y la informacin de negocio mediante la puesta en
marcha de las mejores prcticas; y garantizar la
conformidad con los requisitos externos.
4. UNA REFLEXIN FINAL
Pero, acaso, el perfil descrito se corresponde
solamente al esperado de un directivo encargado del buen gobierno de las TI, dentro de su
organizacin?; o, de hecho, no se tratar, tambin, de un catlogo de competencias con las
que debera contar toda la comunidad de asesores y consultores que prestan sus servicios en el
mbito de referencia?
Tal vez la respuesta venga dada por la creciente
oferta acadmica de postgrado que, sobre el
Buen Gobierno de las TIC, diversas entidades
pblicas y privadas estn poniendo en marcha
en los ltimos tiempos. La ltima iniciativa en
este sentido, llega, una vez ms, de la mano de
ISACA (www.isaca.org) y su Instituto para el
Buen Gobierno de las TI (www.itgi.org): bajo el
acrnimo CGEIT (Certified in the Governance
ISSN: 1698-2029
- 66 -
ISSN: 1698-2029
1. INTRODUCCIN
CMMI es uno de los modelos ms conocidos
y empleados a nivel mundial, y cada da ms
y ms empresas lo emplean como estndar
para implementar Mejoras en sus Procesos
Software.
Con el nacimiento de las nuevas constelaciones CMMI, este modelo abarca no slo
Figura 1.
Aunque los niveles de madurez 2 y 3 son los
ms empleados tanto en el mbito nacional
como internacional, cada da est ms en
auge el empleo de los niveles 4 y 5, conocidos como Niveles de Alta Madurez, donde la
Gestin Cuantitativa, basada en el empleo de
tcnicas estadsticas, es la clave para obtener
los Modelos de Rendimiento y Lneas Base a
- 67 -
les usan como criterios en la gestin de procesos y proyectos. Los objetivos se basan en
las necesidades de los clientes, usuarios finales, organizacin e implantadores de los procesos. La calidad y efectividad de los procesos se miden en trminos estadsticos y se
eliminan las causas especiales de variacin
para predecir su rendimiento.
En el nivel 5, la organizacin mejora sus
procesos en base a una comprensin cuantitativa de las causas comunes de variacin
inherentes en los procesos y se enfoca sobre
la mejora continua de la eficacia del proceso,
a travs tanto de la mejora incremental, como de la innovacin tecnolgica.
2. CUNDO APLICAR UNA GESTIN
CUANTITATIVA?
Para poder realizar una Gestin Cuantitativa
de los Procesos y Proyectos de la organizacin, es necesario que se den una serie de
premisas:
ISSN: 1698-2029
3. QU ES SPC?
SPC (Statistical Process Control) es un conjunto de tcnicas estadsticas empleadas para
realizar un control sobre los procesos. Entre
estas tcnicas destacan las 7 Magnficas:
Grficos de Control
Histogramas
Hoja de Control
Diagrama de Procesos
Diagrama causa-efecto
Diagrama de Pareto
Diagrama de Dispersin
ISSN: 1698-2029
Figura 2.
- 69 -
ISSN: 1698-2029
Figura 3.
La Sigma del Proceso, su capacidad, est ligada al rendimiento que obtenemos de l, que
est asociado a los defectos o errores que se
detectan, los DPMO (Defectos por Milln de
Oportunidades). As, un proceso de capacidad
6Sigma equivale a un rendimiento del
99,9997% y slo 3,4 defectos por cada milln
de oportunidades, DPMO.
En la tabla adjunta puede verse la relacin entre la capacidad de los procesos (su sigma), el
rendimiento que se obtiene de l y el nmero
de defectos que se espera encontrar por cada
milln de oportunidades (DPMO).
Rendimiento
99,9997%
99.976%
99.4%
93%
65%
50%
DPMO
3,4
6
233
66.807
308.537
500.000
Sigma
6
5
4
3
2
1
Tabla 1.
Un ejemplo puede darnos una idea de las implicaciones:
Supongamos una compaa elctrica, cuyo
proceso de encendido de las luces fuera
4Sigma, esto equivaldra a que las luces estaran apagadas casi 1 hora a la semana debido
a problemas o defectos en el suministro, si la
compaa mejorara la capacidad de este proceso hasta 6Sigma, los cortes de luz debidos a
errores en el suministro, se reduciran a slo 2
segundos por semana.
- 70 -
ISSN: 1698-2029
para cubrir el objetivo, con lo que minimizamos podemos dar respuesta a las preguntas que
nos surgan al emplear solamente SPC: Qu
herramienta utilizar? , cundo? , cmo interpretar los resultados?,
HERRAMIENTAS
QFD/Casa de la Calidad
Diagrama de Proceso
Diagrama Causa Efecto/ Ishikawa
Diagrama de Pareto
Measure
Diagrama de Proceso
Evaluacin del Sistema de Medida (R&R)
Capacidad de Proceso
Analyze
Herramientas grficas:
Boxplot
Time Series
Diagramas de Efectos Principales
Diagramas de Interacciones
etc.
Grficos de Control
Ensayos de Hiptesis
Improve
Grficos de Control
Ensayos de Hiptesis
Diseo de Experimentos (DOE)
Control
Grficos de Control
Auditoras
Mtodos conductuales
Mtodos a prueba de error
Tabla 2.
- 71 -
ISSN: 1698-2029
Figura 1.
La discusin sobre la frase deriv al final en
una acalorada discusin acerca de lo que quiere
decir hacer las cosas bien. S, porque pese a
que todo el mundo utiliza esa sentencia, muy
pocos (o ninguno) son capaces de definir con
un mnimo de precisin su significado real.
Porque vamos a ver, cuando decimos que
hacemos las cosas bien, queremos decir que
las hacemos bonitas? baratas? Quiz de
forma ms rpida?..., pero claro, tambin podra ser con una mayor carga de diseo, o
pensndolo mejor... quiz de ms utilidad?...no obstante... no querremos decir
hacerlas ms fiables? ... o ms duraderas?....
Pero... Por qu hacer las cosas bien, si podemos hacerlas como siempre? Para qu complicarnos la vida? Mi insigne colega, el Dr.
Jos Mara Cervell, profesor de derecho, historiador y biblifilo, nos brinda la respuesta:
Hay que hacer las cosas bien por hacerlas bien
y porque es rentable
Toda esta disquisicin, aparte de ser una cua
publicitaria acerca de mi libro, el cual les recomiendo encarecidamente, creo que ilustra
perfectamente el tema de la gestin por procesos, porque esta filosofa no deja de ser un
aproximacin a hacer las cosas bien, de hecho
cada vez mejor, cambiando los viejos modus
operandi con los que hemos venido funcionando toda la vida en nuestros procesos de negocio.
- 72 -
Figura 2.
En definitiva, se tratara de pasar de los procesos de fabricacin artesanales, poco formalizados, basados en las habilidades y conocimientos del trabajador, con una baja capacidad de
produccin y repetibilidad, a las modernas
cadenas de montaje, en las que las piezas se
producen en serie con un alto nivel de fiabilidad, con procesos de montaje automatizados y
en muchos casos robotizados, con la mxima
reduccin de los stocks intermedios, ajustando
al mximo la productividad de todos los recursos, humanos y materiales, implicados en el
proceso de fabricacin.
ISSN: 1698-2029
Estas filosofas de mejora de procesos de fabricacin fueron concebidas en los Estados Unidos, fundamentalmente a partir de los estudios
de Demming y Juran, pero su implantacin de
forma efectiva se realiz en Japn, pas en el
que se aplicaron con xito y se perfeccionaron;
todo ello debido a la necesidad de reconstruir
un pas devastado por la guerra. De hecho, su
mximo impulso se obtuvo en la industria automovilistica nipona, y este hecho dio origen a
muchos modelos de referencia ampliamente
implantados en la actualidad como son el Lean
Manufacturing, Just-in-time y modelos de calidad total, entre otros. De hecho, se formalizaron y aplicaron con xito las filosofas de mejora continua, como el KAIZEN, de igual manera
que se consigui la implicacin de todo el personal en la consecucin de la mejora en la productividad y calidad de los productos fabricados, mediante lo que se vino en llamar los
Crculos de Calidad
En definitiva, todos estos modelos de calidad,
al igual que sus sucesores, como podra ser el
caso de Six Sigma, se basan en la definicin,
medicin y control del proceso productivo,
como base para su optimizacin posterior.
Ahora bien, todo esto que se ha aplicado con
xito demostrado a los procesos de fabricacin...es exportable a aquellos procesos de
negocio que no son de fabricacin, es decir, a
los procesos de soporte a los procesos de
servicio? es posible pasar de la ejecucin
artesana de los procesos administrativos de
desarrollo de sistemas, por ejemplo, a procesos
industrializados de soporte y servicios? Se
puede crear una cadena de montaje en la
tramitacin de un pedido? es posible industrializar el desarrollo y mantenimiento de aplicaciones? Se pueden eliminar los tiempos
muertos en la tramitacin de cualquier solicitud
administrativa interna en una empresa?
Figura 3.
- 73 -
Figura 4.
En definitiva... podemos industrializar todos
aquellos procesos que realizamos en nuestras
empresas que no sean estrictamente de fabricacin?
Y si la respuesta es afirmativa, deberamos
plantearnos cual debera ser el resultado esperado, que no es ms que la realizacin de dichos procesos de forma normalizada, lo cual
permitir facilitar su repetitividad, su medicin
y,a travs de sta, determinar las posibilidades
de optimizacin del proceso en cuestin, ya sea
simplificando los puntos de control, eliminando algunas de las tareas implicadas y, finalmente, evaluando la viabilidad tcnica y
econmica de su automatizacin.
Para todo ello, deberemos proceder de la misma manera que haramos en una cadena de
montaje, definiendo los pasos actividades que
componen el proceso y para cada uno de ellos,
identificar qu es lo que entra sale, quin
interviene, qu o quin en donde se frena el
flujo de trabajo, y, en definitiva, el valor aadido que todos y cada uno de los que intervienen
en el paso aportan al mismo, y si este valor se
puede incrementar. Para ello, convendra que
nos formulramos las siguientes preguntas:
ISSN: 1698-2029
Figura 5.
Resumiendo, implantar la gestin por procesos
implica, en primer lugar, identificar todos los
procesos relevantes, describirlos y analizarlos,
eliminar los puntos dbiles, reforzar los cuellos
de botella, eliminar los pasos innecesarios, en
definitiva optimizarlos. Adems se debe crear
una organizacin orientada a procesos, en la
cual cada uno de ellos tenga un propietario que
se responsabilice de su control y optimizacin,
de la misma forma que una cadena de fabricacin tiene siempre su responsable. Adems
debe asegurarse la integracin de los sistemas
de informacin que dan soporte al proceso y
garantizar que la infraestructura que los soporta
proporciona los tiempos de respuesta adecuados para que sta no se constituya en un cuello
de botella, pero sobre todo, es necesario establecer los mecanismos de seguimiento y monitorizacin, imprescindibles para conocer la
- 74 -
ISSN: 1698-2029
- 75 -
ISSN: 1698-2029
Figura 8.
Figura 6.
En cuanto a las herramientas de simulacin, se
basan en las anteriores, que les proporcionan
los modelos de procesos, a los que agregan
caractersticas de capacidad, velocidad de ejecucin y dems limitaciones, lo que permite
simular el comportamiento de un proceso,
identificar los cuellos de botella y evaluar la
efectividad de los cambios producidos en un
proceso.
Para concluir, creo que es imprescindible distinguir entre la filosofa BPM y la tecnologa
que comparte siglas. Adems, cualquier proyecto de implantacin de herramientas BPM
debera pasar por implantar antes la filosofa de
gestin por procesos, puesto que es de todos
conocidos que no se puede mejorar lo que no
se mide y que automatizar un desastre solamente proporciona un desastre automtico.
Locura es hacer ms de lo mismo y pretender
alcanzar distintos resultados" - Albert Einstein
Si buscas resultados distintos, no hagas siempre lo mismo - Albert Einstein
La mejor estructura no garantizar los resultados ni el rendimiento. Pero la estructura
equivocada es una garanta de fracaso Peter
Drucker (1909-2005) Escritor y consultor estadounidense
El progreso y el desarrollo son imposibles si
uno sigue haciendo las cosas tal como siempre
las ha hecho - Wayne W. Dyer (1940-?) Escritor estadounidense
Figura 7.
Por ltimo, las herramientas de anlisis y monitorizacin proporcionan amplias capacidades
grficas para el anlisis del comportamiento de
un proceso, la evolucin de sus mtricas de
control y la plasmacin grfica, tanto de los
resultados de la simulacin como de las mejoras y optimizaciones propuestas.
- 76 -
ISSN: 1698-2029
www.everis.com
Resumen:
Una de las principales preocupaciones de las reas de sistemas es el alineamiento con los procesos de negocio,
as como el uso eficiente de sus recursos TI o, de una manera ms general, de sus activos de proceso. Estos dos
objetivos se pueden cumplir simultneamente usando los principios y mtodos de las Enterprise Architectures
(EA), que persiguen la replicacin y uso eficiente de los recursos tecnolgicos y del negocio siguiendo las necesidades de las reas de negocio. Una estrategia de EA empieza con la identificacin de todo aquel elemento candidato a ser replicado a otras localizaciones o reas organizativas o, simplemente, susceptible de ser mejorado en
la bsqueda de la eficiencia. Estos "bloques" se componen de hardware TI, datos, aplicaciones y procesos de negocio. La gestin apropiada de estos elementos, as como su identificacin es una tarea compleja que requiere de
equipos especficos y herramientas adecuadas. Este artculo proporciona una visin general de los principios de
las EA y sus beneficios, todo ello desde un punto de vista prctico a partir de experiencias reales en proyectos.
Abstract:
One of IT Departments main concern is the alignment with business processes and trends as well as the efficient
use of IT resources or, in general, IT processes' assets. These two goals can be simultaneously achieved by using
the principles and methods of the Enterprise Architectures (EA), which aim the replication and efficient use of IT
and business resources following the needs of the business areas. An EA strategy starts with the identification of
any element candidate to be replicate to other locations or organizational units or, merely, improved seeking efficiency. These "building blocks" are composes of IT hardware, data, application and business processes. The appropriate management of such elements, as well as their identification is a difficult task which requires specific
teams and adequate tools. This article provides and overview of EA principles and benefits from a practical point
of view based on actual project experiences.
Palabras clave:
1. INTRODUCCIN - QU ES UNA
ENTERPRISE ARCHITECTURE?
Llevamos muchos aos hablando sobre el alineamiento entre negocio y sistemas, es como
un mantra que se repite, que omos en todo
tipo de reuniones, mesas redondas y, en general, cualquier foro al que asistimos los profesionales de la Gestin de las Tecnologas de la
Informacin (quienes quiera que seamos y
somos muchos). De tanto orlo nos hacemos
los sordos. Basta una pregunta, Cuntos directores de sistemas (CIOs) forman parte del Consejo de las principales compaas? La respues-
- 77 -
ISSN: 1698-2029
2. DE LAS EA Y ARQUITECTURAS TI
AL GOBIERNO DE TI
Segn se ha explicado en la seccin anterior,
las Arquitecturas TI (como concrecin al rea
de sistemas del concepto ms amplio de de
EA) permiten estructurar claramente los activos del rea de sistemas y por lo tanto gestionarlos mejor. No debemos de olvidar que un
marco de Gobierno de TI debe de ayudar a
movilizar los recursos de un departamento de
la forma ms eficiente obedeciendo a necesidades:
1) Normativas, como pueden ser los marcos regulatorios (ahora de nuevo en
primera plana) como Sarbanes-Oxley,
CobIT, CMMi, etc.
2) Operativas, la tan comentada eficiencia.
3) Del negocio. Por ejemplo, planes de
gestin de la demanda.
Evidentemente, para poder hacer los tres puntos anteriores, logrando una operacin de nuestros sistemas de informacin que minimice los
riesgos, generando la confianza que el negocio
(y los clientes) requiere, es necesario conocer
de qu material esta hecho nuestra organizacin, cules son los activos clave, su relacin,
etc. Y lo que es ms, como se relaciones con
los procesos de negocio Este marco de relaciones es lo que hemos denominado Arquitectura TI, entendiendo que es parte de la EA y
que se encuentra ntimamente relacionada con
las actividades del negocio, tal y como se ilustra en la figura 1:
- 78 -
RPM-AE
EMES, VOL. 5,
5 N 3, Octubbre 2008
ISSN
N: 1698-20299
E
Enterprise
Arch
hitecture
Aplicaciones
Interfaces
Sistemas
Arquitectura de TI
Aplicaciones
(Software)
Fraameworks
Plaataformas
Infrraestructura
Tecnologa
(Infraestructura)
Base de datos
Entidades
Flujos
Metas
Visin
Estrategia
Drivers
Principios
Dominios
Soluciones
Implementacciones
Arquittectura de
Ne
egocio
Organizacional
Procesos de
d
Negocio e
Informacin
Datos
(Informacin)
Estrucctura
Productos
Serviccios
Unidades
Locacciones
Posiciiones
Dessempeo
del Negocio
Mtricas
Eficiencia
Riesgos
Proccesos
Conocimiento
Usabilidad
Worrkflows
Estrructuras
Activvidades
Tareeas
Evenntos
F
Figura
1. : Las
L Arquitecturas TI y deel Negocio ccomo elemenntos constituutivos de lass EA.
Por otroo lado, siguiiendo las ideeas de Ross (anteriormeente citado),, una vez que
q la organnizacin disppone de un marco
m
comn para la ejecucin de sus procesoos o servicioos (lo que see de-
nomina en ingls
i
Founndation for Exceution)
E
),
el modelo operativo
o
dee la compaa, su Arquitectura TI y el modeloo de Gobierrno est ntimamente reelacionados:
2 : Modelo operativo, EA
E y modeloo de Gobiernno como blooques constittutivos del rea
de siste-Figura 2.
mas y sooporte de la oorganizacinn.
3.
DE
EMOS UNA
A VISIN DE CONJU
UNTO
abajo a arrriba. En pprimer lugarr nos encontramos con todas las innfraestructuraas tecnolgicas, inmediiatamente poor encima see encuentrann
las funcionees de gestinn del servicio TI, dondee
el modelo ITIL marca lla referenciaa. Llegados a
a
bsieste punto nos encontrramos con activos
camente teccnolgicos, los procesoss que soporrtan el servicio que estaa tecnologa presta y lass
- 79 -
ISSN: 1698-2029
personas entrenadas para ello. A muchos pisos por encima, se encuentran los procesos de
negocio soportados por las aplicaciones desarrolladas a tal efecto. Lo normal es que no se
vaya ms all y que estos dos niveles o agrupaciones de activos se encuentren separados, sin
un mecanismo que permita visualizarlos de
forma integrada. Entonces, cmo debemos
proceder? Vayamos paso a paso:
- 80 -
ISSN: 1698-2029
Entorno de Negocio
Audiencia objetivo:
Propsito:
Modelado
Consultor Estratgico.
Analista de Negocio.
BPMN
Analista de Procesos.
Arquitectos TI.
BPEL
Convergencia
Negocio - TI
Desarrolladores.
Responsables Servicio TI .
Ejecucin
Implementacin Tecnolgica
Figura 3. : Convergencia negocio TI a travs de los mtodos de EA
Es importante destacar que la adopcin del
paradigma SOA tiene ms implicaciones en la
definicin de procesos, es decir, en las reas
negocio que en las tcnicas. En efecto, SOA
supone un cambio radical pues la idea de aplicacin que soporta a uno o varios procesos se
pierde. En su lugar lo que tenemos es un conjunto de servicios, adecuadamente inventariados y expuestos, que bien agrupados con la
ayuda de alguna solucin de integracin darn
soporte a los procesos de negocio. Si el anlisis
y exposicin por parte de las reas de tcnicas
se hace correctamente, son los analistas de
negocio los que deben sacar el mximo partido
a dichos servicios mediante un correcto modelado.
4. CONCLUSIONES
A modo de conclusin, destacara que pese a
su inmadurez actual, los principios, tcnicas
(como el cuadrante Zachman o el modelo TOGAF) y herramientas de Arquitectura TI nos
abren las puertas a un nuevo mundo en el que
analistas de negocio (procesos) y sistemas (arquitectos) se confundan, siendo difcil establecer la distincin entre unos y otros pues ambos
trabajarn sobre los mismos activos de informacin, usando las mismas tcnicas. Esto no es
Ciencia Ficcin, est a la vuelta de la esquina y
las oportunidades para los negocios sern muy
significativas, permitiendo al fin la tan manida
convergencia entre las reas de negocio y sistemas.
Por otro lado, el conocer y ordenar adecuadamente los activos del rea de sistemas permite
desplegar modelos de Gobierno TI, o lo que es
ms, se la base de los mismo, ligando la gestin de los activos con su gobierno.
5. REFERENCIAS.
[1] J.Ross, 2006. Enterprise Architecture: Deriving
Business Benefits from IT, MIT Center for Information Systems Research, abril de 2006.JTC 1/SC
27. ISO/IEC 27001:2005, International Standards
for Business, Government and Society.
[2] N.G. Carr, 2003. IT dosent Matter, Harvard
Business Review.
[3] M. Curley, 2004. "Managing Information Technology for Business Value", INTEL Press
- 81 -
ISSN: 1698-2029
jesus.perez@mtp.es
http://www.mtp.es
Resumen
El artculo presenta una visin de las pruebas de seguridad dentro del marco de estandarizacin de procesos que representa el modelo de factora de pruebas. Dicha visin es fruto de la experiencia de MTP. Dentro
de este mbito se realiza un anlisis general sobre cuestiones tales como metodologas utilizadas, cuadros de
mando, procesos de calidad, utilizacin de herramientas especializadas o modelos de riesgo.
1. INTRODUCCIN
El paradigma de la factora software est tomando auge gracias a la tendencia actual de
buscar modelos de fabricacin de software que
tiendan a esquemas ms industriales y que se
alejen de las formas artesanales que han dominado por mucho tiempo este sector (y que han
ocasionado no pocos perjuicios). Recordemos
que, como diversos autores han sealado, las
caractersticas esenciales de las factoras software son la estandarizacin de sus procesos,
productos y servicios como camino para mejorar la calidad del software, reducir los tiempos
de desarrollo e incrementar la productividad.
Pero el creciente xito del modelo de factora
software no debe entenderse de forma aislada.
Otras tendencias asentadas en la economa
actual han servido de revulsivo a este modelo.
Algunas de estas tendencias son: la externalizacin de servicios por parte de las empresas
(outsourcing), que dota a las empresas de mayor flexibilidad o la creciente deslocalizacin
como importante factor de reduccin de costes.
Otra tendencia destacable sera la bsqueda por
parte de las empresas de las economas de escala (basado en el fenmeno comprobado de
que a medida que la produccin en una empre-
- 82 -
ISSN: 1698-2029
- 83 -
ISSN: 1698-2029
Figura 1.
- 84 -
4. CUADROS DE MANDO
Como en el resto de pruebas, las de seguridad
deben formar parte de un proceso definido,
documentado y medido para poder ser gestionado. En el mbito de la medicin dentro de
una factora software son esenciales los cuadros de mando operacionales que permiten la
monitorizacin en vivo de determinadas mtricas seleccionadas por su importancia en el proceso.
Marcos de referencia como Cobit, principalmente, e Itil, nos pueden ayudar a disear cuadros de mandos para los procesos de gestin de
pruebas en general y de gestin de pruebas de
seguridad en particular (conjuntamente con la
metodologa OWASP).
Existirn dos tipos de cuadros de mando: el
interno, diseado para los responsables de la
factora de pruebas, y el cuadro de mando externo, creado para los clientes de la factora y
que forma parte del interfaz externo que la
factora proporciona a estos.
Las mtricas utilizadas en los cuadros de mando de la fase de pruebas de seguridad, junto
con las tcnicas de estimacin adecuadas, nos
deben permitir controlar informacin tal como
la duracin de las pruebas, los recursos dedicados, o el tiempo medio entre vulnerabilidades
encontradas. Adems pueden existir otros indicadores que recojan informacin sobre la calidad del proceso. Ejemplos de tales mtricas
pueden ser: esfuerzo total del proyecto (horas
hombre), esfuerzo total en cada fase, nmero
de vulnerabilidades encontradas en cada fase,
vulnerabilidades crticas halladas
5. AUTOMATIZACIN DE PRUEBAS
La estandarizacin del proceso de pruebas de
seguridad pasa por la utilizacin de herramientas de seguridad que proporcionen automatismo en las tareas a realizar. Por ello la factora
de pruebas debe desarrollar una estrategia de
ISSN: 1698-2029
automatizacin de pruebas. Esta estrategia debe definir qu actividades se pretenden automatizar, qu categoras de herramientas de
pruebas se utilizaran, qu acciones sern necesarias llevar a cabo.
Finalmente se debe definir cules son los costes y beneficios esperados de la estrategia de
automatizacin.
Un subgrupo de estas herramientas son las que
proporcionan automatismo en las bsquedas de
vulnerabilidades. Hay dos tipos de estas:
Herramientas automticas de intrusin: suelen funcionar como proxies intermedios entre el cliente web y el servidor. Retienen la informacin intercambiada y a partir de ah son capaces
de lanzar gran cantidad de pruebas automticas. Estas pruebas pueden ahorrar gran cantidad de tiempo a los
tcnicos que realizan pruebas manuales
de penetracin.
Herramientas automticas de anlisis de cdigo: a partir del cdigo fuente
permiten descubrir posibles vulnerabilidades de seguridad. Puede ser de una
gran ayuda en las revisiones de cdigo
manuales.
Son obvias las ventajas que aporta la automatizacin: rapidez, exhaustividad, permite realizar
pruebas de manera repetitiva, y a largo plazo
reduce los costes. Sin embargo este tipo de
herramientas de anlisis y comprobacin de
seguridad automatizadas tienen grandes limitaciones. En primer lugar estas herramientas son
genricas, por lo que no estn diseadas para
aplicaciones especficas, sino para aplicaciones
en general. Por lo que aunque pueden encontrar
determinadas vulnerabilidades genricas, no
tienen el conocimiento suficiente sobre una
aplicacin especfica como para permitirles
detectar la mayora de los agujeros de seguridad. Adems en una gran parte de los casos las
- 85 -
ISSN: 1698-2029
- 86 -
ISSN: 1698-2029
Figura 2.
8. CONCLUSIONES
Dada la estandarizacin y formalizacin del desarrollo software en la actualidad en base a modelos reconocidos y
atendiendo a los beneficios de la externalizacin de procesos especializados,
es factible estandarizar el proceso de
- 87 -
ISSN: 1698-2029
- 88 -
ISSN: 1698-2029
Vol
Fecha
Autor/es
Agosto 2004
Agosto 2004
Agosto 2004
L. Fernndez, P. Lara
Agosto 2004
Diciembre 2004
Diciembre 2004
HERACLES
Diciembre 2004
Diciembre 2004
A. Cano, J. Tuya
Marzo 2005
Marzo 2005
Marzo 2005
Agosto 2005
Agosto 2005
Agosto 2005
Diciembre 2005
Diciembre 2005
Diciembre 2005
Abril 2006
Abril 2006
Giovani Salvadori
Abril 2006
Septiembre 2006
Septiembre 2006
Septiembre 2006
Enero 2007
J. L. Lpez-Cuadrado, . Garca-Crespo, B.
Ruiz-Mezcua, I. Gonzlez-Carrasco
J.A. Calvo-Manzano, G. Cuevas, I. Garca,
T. San Feliu, A. Serrano, F. Arboledas, F.
Ruiz de Ojeda
R. Colomo Palacios, E. Tovar Caro, J. Carrillo Verdn
- 89 -
Nombre
proceso software
Team Software Process (TSP): mejoras en la
estimacin, calidad y productividad de los equipos en la gestin del software
Desde ISO 9001 hacia CMMI, pasos para la
mejora de los procesos y mtricas
Contribucin de los estndares internacionales a
la gestin de procesos software
Asociacion tecnica de cajas de ahorros(ATCA):
un plan de mejora basado en el modelo CMMI
EXHAUSTIF: Una herramienta de inyeccin
de fallos por software para sistemas empotrados
distribuidos heterogneos
Anlisis de Fiabilidad de Sistemas Aplicando
Tcnicas de Crecimiento de Fiabilidad del Software
Definicin de Mtricas de Calidad en el Procesos
de Parametrizacin de Sistemas ERP
Anlisis del Valor de un Proyecto en el Marco
del Mtodo Parker
Benchmarking is an essential control mecanism
for management
Changing from fpa to cosmic a transition framework
Modelo de gobierno de una factora software
Case study of a successful measure-ment program
Cuadro de mando para la gestin integrada
Increase ict project success with concrete scope
management
Capacitacin de recursos testing
Calidad en modelos conceptuales: un anlisis
multidimensional de modelos cuantitativos basados en la iso 9126
Kemis: entorno para la medicin de la calidad
del producto software
Anlisis del valor de un proyecto de TI en el
marco del mtodo Parker
Gobierno de la externalizacin del proceso software
Gestin de los riesgos tecnolgicos
Importancia de la gestin del proceso de la demanda de TI.
Un nuevo marco de convergencia y calidad para
la gestin de la seguridad en el servicio de TI.
Las bases de datos de gestin de la configuracin, el corazn de ITIL.
ISSN: 1698-2029
Autor/es
ngel Garca Crespo
Bayona, S., Calvo Manzano, J., Cuevas,
G., San Feliu, T.
Vol
Enero 2007
Rolando Armas Andrade, Arturo Chamorro Gmez, Maite Montes Beobide, Jos
A. Gutirrez de Mesa
Francisco J. Pino, Flix Garcia, Mario
Piattini
Pablo Serrats Surez, Alberto Villuendas
Hereza, Pilar Meneses Ballestar,
Antonio da Silva, Jos F. Martnez, Lourdes Lpez , Luis Redondo
Enero 2007
Abril 2007
Abril 2007
Abril 2007
Septiembre 2007
Septiembre 2007
Septiembre 2007
Ton Dekkers
Octubre 2007
Octubre 2007
Octubre 2007
Octubre 2007
Douglas Wagner
Carol Dekkers, Pekka Forselius
4
4
4
4
Octubre 2007
Octubre 2007
Octubre 2007
Octubre 2007
Octubre 2007
Enero 2008
Enero 2008
Enero 2008
Mayo 2008
Mayo 2008
Mayo 2008
- 90 -
Fecha
ISSN: 1698-2029
Uno de los principales objetivos de esta revista es que aquellas entidades y organizaciones interesadas participen en ella. Y por ello le instamos tanto a usted como a su institucin para que realicen contribuciones,
o enven sus comentarios y sugerencias. Actualmente estamos abiertos a
la recepcin de trabajos para el prximo nmero que cubra los siguientes
tpicos:
Artculos acadmicos.
Casos prcticos o casos de xito (success histories) de aplicacin
de mtricas y procesos de tecnologas de la informacin en organizaciones
Artculos de difusin que traten conceptos tericos, bsicos, novedosos, etc explicados de forma amena, o que traten aspectos relacionados con la difusin y empleo de ciertas tcnicas, mtricas o
procesos.
Informacin sobre noticias, eventos, etc
La revista se edita en formato electrnico y papel (ambas con ISSN propio), y es accesible a travs de su web:
http://www.aemes.fi.upm.es/rpm/rpm.php. Consulte la Gua para Autores publicada en este nmero o visite la web para ms informacin sobre
el formato de las contribuciones.
Esperamos sus contribuciones en: rpm@aemes.org
- 91 -
ISSN: 1698-2029
Nombre:
e-mail:
Datos Bancarios
Nmero de Cuenta:
Titular:
Autorizo a AEMES a cargar a la cuenta arriba indicada la cuota Anual de inscripcin que asciende a 360 + la
cuota de inscripcin que asciende a 150
Fecha y Firma
Nombre:
e-mail:
Datos Bancarios
Nmero de Cuenta:
Titular:
Autorizo a AEMES a cargar a la cuenta arriba indicada la cuota Anual de subscripcin a RPM que
asciende a 60 + Gastos de Envo
Fecha y Firma
- 92 -
Socios Institucionales
ALCAMPO S.A.
ALI
AI2
ASOCIACIN TCNICA DE CAJAS DE AHORROS
ATOS ORIGIN
BANCO DE ESPAA
BBVA
CAELUM INFORMATION & QUALITY TECHNOLOGIES
CARE TECHNOLOGIES S.A.
CAST SOFTWARE ESPAA
C.E.C.A.
CENTRO DE CLCULO DE ALAVA, S.A.
COMPUTER ASSOCIATES ESPAA
COMPUWARE, S.A.
CORITEL, S.L.
DELOITTE, S.L.
EL CORTE INGLS
ELITE SISTEMAS DE CONTROL
ENDESA SERVICIOS
EUROPEAN SOFTWARE INSTITUTE
EVERIS
EWORK-LINE TECHNOLOGY SERVICES, S.A.
GAS NATURAL INFORMTICA
GESEIN
IBERDROLA
IBERIA
ICM
IEE
INDRA SISTEMAS S.A.
INDRA SOFTWARE LABS, S.L.
INSA
ITDEUSTO, S.L.
LA CAIXA
LEDA CONSULTING, S.L.
LINEA DIRECTA ASEGURADORA
MAPFRE INTERNET
MTP
NESS PRO SPAIN
ONCE
OPTIMYTH SOFTWARE TECHNOLOGIES
SADIEL
SOFTWARE AG, ESPAA, S.A.
SOGETI ESPAA, S.L.
SOPRA PROFIT, SAU
TECNOLOGA Y CALIDAD DE SOFTWARE, S.A.
TELEFNICA DE ESPAA, S.A.U.
UNIVERSIDAD CARLOS III
UNIVERSIDAD DE ALCAL DE HENARES
UNIVERSIDAD DE DEUSTO
UNIVERSID OBERTA DE CATALUNYA
UNIVERSIDAD POLITCNICA DE MADRID
UNIVERSIDAD POLITCNICA DE VALENCIA
1 y 13
12
3 de noviem
n
mbre de 2008
8
IX Confe
erenc
cia An
nual de la Asocia
A
acin Espa
aola de
Mtricas de
d Sis
stema
as Info
ormtticos.
GESTI
G
N DE
EL SER
RVICIO
O DE T
TI:
G
GOBIE
ERNO,, INDIC
CADORES, MTR
M RICAS Y
FIN
NANZA
AS
PATROC
CINADORES
S PLATA
PATROCINADORES BRONCE