Gobierno de TI

El Gobierno de TI se define según la norma ISO 38500 como “el sistema a través del cual se dirige y controla la utilización de las TI actuales y futuras. Supervisando la evaluación y dirección de los planes de utilización de las TI que dan soporte a la organización y monitorización de dicho uso, para alcanzar los objetivos establecidos en los planes”.

Es un conjunto de políticas, procesos y procedimientos para soportar cualquier cosa que TI hace:

  • Permite al CIO cumplir con sus objetivos, fundamentalmente apoyado por las TI.
  • Permite la transparencia y control del área de TI.
  • Administra los riesgos relacionados con la tecnología.
  • Los procesos de sistemas tienen la responsabilidad de aportar valor al negocio.

Objetivos del Gobierno de TI

El Gobierno de TI persigue cinco objetivos principales:

  • Alinear la estrategia de TI con la operación empresarial.
  • Difundir la estrategia y las metas por toda la empresa.
  • Proporcionar las estructuras de la organización que faciliten la puesta en práctica de las metas y estrategias.
  • Insistir en que la estructura de control de TI se adopte e implemente.
  • Medir el desempeño de la TI.

El Gobierno de TI (ITG) tiene como objetivo principal manejar y corregir los malos hábitos, es decir, busca implementar procesos de alta calidad, bien definidos y repetibles, así como un grupo de “mejores prácticas”.

Puntos Críticos en la Implementación del Gobierno de TI

  • Analizar y diagnosticar la situación actual (grado de adecuación).
  • Determinar objetivos y actividades prioritarias para la compañía.
  • Seleccionar las actividades y procesos a implantar en la metodología.
  • Elegir el grado de granularidad y las plantillas necesarias.
  • Definir roles y responsabilidades.
  • Institucionalizar el proceso: capacitación y compromiso.
  • Monitorear y controlar.
  • Evaluar resultados.
  • Realizar ajustes.
  • Plan de mejora continua.

BYOD: Ventajas y Desventajas

Bring Your Own Device (BYOD), que en español significa “trae tu propio dispositivo”, es una política empresarial donde los empleados llevan sus propios dispositivos a su lugar de trabajo para tener acceso a recursos de la empresa, tales como correos electrónicos, bases de datos y archivos en servidores, así como datos y aplicaciones personales. También se le conoce como “Bring Your Own Technology” o “trae tu propia tecnología”, ya que de esta manera se expresa un fenómeno mucho más amplio, que no solo cubre al equipo, sino que también cubre al software.

Beneficios de BYOD

  • Mayor flexibilidad y movilidad.
  • Dispositivos del agrado del usuario.
  • Usuarios habituados al uso de su dispositivo.
  • Usuarios más contentos.
  • Reduce los costos de adquisición para la empresa.

Desventajas de BYOD

  • Ambiente heterogéneo.
  • Se pierde capacidad de control ante la nueva realidad de TI.
  • La estación de trabajo pasa a ser un dispositivo NO confiable.

Implementación de un SGSI y el Ciclo de Deming

El proceso de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) puede ser acompañado de alguna herramienta de calidad, permitiendo asegurar la mejora continua que mantendrá el nivel de seguridad deseado. El ciclo de Deming cumple con las características para una adecuada implantación de un SGSI. A continuación, se indican al menos dos procesos por cada una de las etapas del ciclo de Deming que permiten asegurar la mejora continua:

Etapa de Actuar (Act)

  • Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.
  • Medir el desempeño del SGSI.
  • Identificar mejoras en el SGSI a fin de implementarlas.
  • Tomar las acciones apropiadas a implementar en el ciclo en cuestión (preventivas y correctivas).
  • Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.
  • Revisar el SGSI donde sea necesario, implementando las acciones seleccionadas.

Ingeniería Social

¿Qué es la Ingeniería Social?

La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga a la persona u organismo comprometido a riesgo o abusos.

¿Qué Representa para la Empresa?

La ingeniería social representa una amenaza significativa para la seguridad de la información de las empresas. Los ataques de ingeniería social pueden resultar en la pérdida de datos confidenciales, interrupciones del servicio, daños a la reputación y pérdidas financieras.

Valores en los que se Sustenta

La ingeniería social se aprovecha de la naturaleza humana y se basa en los siguientes principios:

  • Todos queremos ayudar: Las personas tienden a ser amables y serviciales, lo que puede ser explotado por los atacantes.
  • El primer movimiento es siempre de confianza hacia el otro: Las personas tienden a confiar en los demás, especialmente en situaciones de autoridad o urgencia.
  • No nos gusta decir No: Las personas pueden sentirse presionadas para cumplir con las solicitudes, incluso si no están seguras de ellas.
  • A todos nos gusta que nos alaben: Los halagos y el reconocimiento pueden hacer que las personas sean más propensas a cooperar.

Evaluación de Alternativas de Almacenamiento de Datos para PEMO Tech

La empresa PEMO Tech está generando una gran cantidad de información debido al aumento en las operaciones, por lo que es necesario contratar una empresa para almacenar los datos obtenidos y optimizar el espacio de almacenamiento de los sistemas operacionales. Como Ingeniero en Computación e Informática (ICI), se ha solicitado evaluar las diferentes alternativas disponibles considerando los pilares o soportes sobre los que se sustenta la seguridad de la información.

Cloud Computing

Dado que la computación en nube no permite a los usuarios poseer físicamente los dispositivos de almacenamiento de sus datos, deja la responsabilidad del almacenamiento de datos y su control en manos del proveedor. La computación en nube ha sido criticada por limitar la libertad de los usuarios y hacerlos dependientes del proveedor de servicios. Algunos afirman que solo es posible usar las aplicaciones y servicios que el proveedor esté dispuesto a ofrecer. Es crucial evaluar la confidencialidad, integridad y disponibilidad que ofrece el proveedor de servicios en la nube.

Servidores Locales

Mantener servidores locales ofrece un mayor control sobre la seguridad física y lógica de los datos. Sin embargo, implica una mayor responsabilidad en términos de mantenimiento, actualizaciones y seguridad. Se debe evaluar la capacidad de la empresa para garantizar la confidencialidad, integridad y disponibilidad de los datos en un entorno local.

La evaluación debe considerar aspectos como la escalabilidad, el costo, la seguridad, el cumplimiento normativo y la facilidad de acceso a los datos. Se debe realizar un análisis de riesgos para determinar la mejor opción para PEMO Tech.

ITSM: SLA, Catálogo de Servicios y Portafolio de Servicios

¿Qué es un SLA?

Un Acuerdo de Nivel de Servicio (ANS), o Service Level Agreement (SLA) en inglés, es un contrato escrito entre un proveedor de servicio y su cliente con el objeto de fijar el nivel acordado para la calidad de dicho servicio. El ANS es una herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio, etc.

¿Qué es un Catálogo de Servicios?

El Catálogo de Servicios es un documento que contiene información sobre todos los servicios que una organización de TI ofrece a sus clientes. Es una vista externa de los servicios disponibles, diseñada para ser comprensible para los usuarios y clientes.

¿Qué es un Portafolio de Servicios?

El Portafolio de Servicios proporciona una referencia estratégica y técnica clave dentro de la organización de TI, ofreciendo una descripción detallada de todos los servicios que se prestan y los recursos asignados para ello. Incluye servicios actuales, pasados y futuros.

Relación entre SLA, Catálogo de Servicios y Portafolio de Servicios

El SLA se basa en la información contenida en el Catálogo de Servicios. El Catálogo de Servicios describe los servicios que se ofrecen, mientras que el SLA especifica el nivel de calidad acordado para cada servicio. El Portafolio de Servicios proporciona una visión más amplia y estratégica, incluyendo el Catálogo de Servicios y los SLAs como componentes.

Big Data: Características

El concepto de Big Data se aplica a toda aquella información que no puede ser procesada o analizada utilizando procesos o herramientas tradicionales. Según IDC, es indispensable que las organizaciones y líderes en TI se concentren en el volumen, variedad y velocidad cada vez mayores de la información que conforma el Big Data.

Volumen

Se refiere a la gran cantidad de datos generados y almacenados, como datos de transacciones, datos de texto de redes sociales, datos de sensores, etc.

Variedad

Los datos se presentan en todo tipo de formatos: desde bases de datos tradicionales hasta almacenes de datos jerárquicos, documentos de texto, correos electrónicos, datos de mediciones, video, audio, información bursátil y transacciones financieras.

Velocidad

Según Gartner, la velocidad “designa la rapidez con que se generan los datos y con la que deben procesarse para satisfacer la demanda”. Las etiquetas RFID y los contadores inteligentes están impulsando una creciente necesidad de procesar torrentes de datos casi en tiempo real.

Otras fuentes de Big Data incluyen: Web and Social Media, Machine to Machine (M2M), Big Transaction Data, Biometrics y Human Generated Data.