SEGUIMIENTO Y EVALUACIÓN PARA UN SOFTWARE DE...
230
SEGUIMIENTO Y EVALUACIÓN PARA UN SOFTWARE DE ADMINISTRACIÓN PARA UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA NORMA ISO 27001:2013 JUAN DANIEL VALERO DURAN INGENIERO DE SISTEMAS 20151099018 UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERÍA ESPECIALIZACIÓN DE INGENIERÍA DE SOFTWARE BOGOTÁ, D.C. 2015
Transcript of SEGUIMIENTO Y EVALUACIÓN PARA UN SOFTWARE DE...
SEGUIMIENTO Y EVALUACIÓN PARA UN SOFTWARE DE ADMINISTRACIÓN
PARA UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
BASADO EN LA NORMA ISO 27001:2013
JUAN DANIEL VALERO DURAN
INGENIERO DE SISTEMAS
20151099018
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN DE INGENIERÍA DE SOFTWARE
BOGOTÁ, D.C.
2015
SEGUIMIENTO Y EVALUACIÓN PARA UN SOFTWARE DE ADMINISTRACIÓN
PARA UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
BASADO EN LA NORMA ISO 27001:2013
JUAN DANIEL VALERO DURAN
INGENIERO DE SISTEMAS
20151099018
PROYECTO DE GRADO PARA OPTAR POR EL TÍTULO DE ESPECIALISTA EN
INGENIERÍA DE SOFTWARE
DIRECTOR DE TESIS ING. OSWALDO ALBERTO ROMERO VILLALOBOS,
M.SC.
REVISOR DE TESIS ING. GIOVANNY MAURICIO TARAZONA BERMUDEZ, PHD
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN DE INGENIERÍA DE SOFTWARE
BOGOTÁ, D.C.
2015
RESUMEN
Para el manejo de la auditoria en referente de la seguridad de la información no se
ha establecido una plataforma estándar, por la cual hay demasiadas empresas
implementando y ejerciendo ejecución de sus propias herramientas, que distribuyen
bajo el cobro de licencia de uso.
SGSIAdmin plantea el desarrollo de una herramienta que permite la administración
de un sistema de gestión basado en la norma iso 27001:2013 incluyendo módulos
generales que aportan valor adicional a los administradores de la seguridad, a
diferencia de las demás herramientas existentes en el mercado que tienen enfoques
hacia la gestión de riesgos, en la cual se tiene abarcado el compendio general de
esta norma, dando la factibilidad a las empresas que la adquieran debido a que se
hace bajo la licencia de uso open Source, aplicativo que se desarrolló por medio de
una herramienta generadora de páginas web que es PHPRuner, que incluye la
conexión de la base de datos (MySql) tomando como fuerte en su ejecución y
comportamiento del aplicativo, el diseño entidad relación que posea la base de
datos internamente.
AGRADECIMIENTO
En el presente trabajo de grado me gustaría agradecer a ti Dios por bendecirme
para llegar hasta donde he llegado, por qué hiciste real este sueño anhelado.
A la UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS por darme la
oportunidad de estudiar y mejorar mi perfil profesional.
Al director de proyecto de grado, Ing. Oswaldo Alberto Romero Villalobos, por su
esfuerzo y dedicación, quien con sus conocimientos, su experiencia, su paciencia y
su motivación ha logrado en mí que pueda terminar mis estudios con éxito.
Al revisor de proyecto de grado, Ing. Giovanny Mauricio Tarazona Bermudez, quien
por sus conocimientos, su experiencia y paciencia, me ha logrado guiar, por sus
consejos en el desarrollo y manejo de este proyecto.
El profesor Sandro Javier Bolaños Castro quien me brindo nueva información que
para mí era desconocida y que gracias a esta tengo más claro el ámbito de
modelamiento de software, junto con la adaptación al negocio que se quiera
implementar
Por ultimo agradezco a mis compañeros de la especialización con los cuales
compartimos conocimientos, trabajos, tareas e información del área en que nos
encontramos, la cual amplio mi ámbito social…. Son muchas las personas que han
formado parte de mi vida profesional a las que me encantaría agradecerles su
amistad, consejos, apoyo, ánimo y compañía en los momentos más difíciles de mi
vida; para todos ellos: Muchas gracias y que Dios los bendiga.
DEDICATORIA
Mi tesis la dedico con todo mi aprecio y cariño a Dios, por haberme dado una Madre
grandiosa que siempre me apoyo, por haberme guiado en caminos fáciles y difíciles,
llenos de Obstáculos para poder enfrentar y seguir adelante.
A mi Madre, Grandiosa mujer que siempre estuvo a mi lado apoyándome en las
buenas y en las malas. Por darme la alegría, cariño, Amor, Apoyo y aconsejarme
siempre del bien y el mal que hay en la Vida.
Por enseñarme a crecer como la persona madura, responsable, fuerte como lo soy
ahora en este momento, y siempre seré.
Gracias mama por haberme dado la vida, por traerme a este mundo, y enseñarme
el valor de la vida.
También dedico esta tesis a las personas que estuvieron apoyando en la causa,
para sacar este proyecto adelante.
6
TABLA DE CONTENIDO
INTRODUCCIÓN ................................................................................................... 19
PARTE I CONTEXTUALIZACIÓN DE LA INVESTIGACIÓN ................................. 20
CAPÍTULO 1 DESCRIPCIÓN DE LA INVESTIGACIÓN ........................................ 20
1.1 PLANTEAMIENTO/IDENTIFICACIÓN DEL PROBLEMA ......................... 20
1.2 OBJETIVOS .............................................................................................. 21
1.3 JUSTIFICACIÓN DEL TRABAJO/INVESTIGACIÓN ................................ 23
1.4 MARCO TEÓRICO/CONCEPTUAL .......................................................... 24
1.5 METODOLOGÍA DE LA INVESTIGACIÓN ............................................... 49
1.6 ESTUDIOS DE SISTEMAS PREVIOS..................................................... 50
PARTE II DESARROLLO DE LA INVESTIGACIÓN .............................................. 62
CAPÍTULO 2 PUNTOS DE VISTA DE ARQUITECTURA ...................................... 62
2.1 PUNTO DE VISTA DE LA ORGANIZACIÓN ............................................ 62
2.2 PUNTO DE VISTA COOPERACIÓN DE ACTOR ..................................... 64
2.3 PUNTO DE VISTA FUNCIÓN DE NEGOCIO ........................................... 66
2.4 PUNTO DE VISTA DE PROCESO DE NEGOCIO ................................... 68
2.5 PUNTO DE VISTA COOPERACIÓN DE NEGOCIO ................................ 70
2.6 PUNTO DE VISTA DE PRODUCTO......................................................... 72
2.7 PUNTO DE VISTA DE COMPORTAMIENTO DE APLICACIÓN .............. 74
2.8 PUNTO DE VISTA DE COOPERACIÓN DE APLICACIÓN ...................... 76
2.9 PUNTO DE VISTA DE ESTRUCTURA DE APLICACIÓN ........................ 78
7
2.10 PUNTO DE VISTA DE USO DE APLICACIÓN ..................................... 80
2.11 PUNTO DE VISTA DE INFRAESTRUCTURA ....................................... 82
2.12 PUNTO DE VISTA USO DE INFRAESTRUCTURA .............................. 84
2.13 PUNTO DE VISTA IMPLEMENTACIÓN Y ORGANIZACIÓN ................ 86
2.14 PUNTO DE VISTA DE ESTRUCTURA DE INFORMACIÓN ................. 88
2.15 PUNTO DE VISTA DE REALIZACIÓN DE SERVICIO .......................... 90
2.16 PUNTO DE VISTA CAPAS .................................................................... 92
2.17 PUNTO DE VISTA IMPLICADOS .......................................................... 94
2.18 PUNTO DE VISTA REALIZACIÓN OBJETIVOS ................................... 96
2.19 PUNTO DE VISTA CONTRIBUCIÓN .................................................... 98
2.20 PUNTO DE VISTA PRINCIPIOS ......................................................... 100
2.21 PUNTO DE VISTA REALIZACIÓN DE REQUERIMIENTOS .............. 102
2.22 PUNTO DE VISTA MOTIVACIÓN ....................................................... 104
2.23 PUNTO DE VISTA PROYECTO .......................................................... 106
2.24 PUNTO DE VISTA MIGRACIÓN ......................................................... 108
2.25 PUNTO DE VISTA IMPLEMENTACIÓN Y MIGRACIÓN..................... 110
CAPÍTULO 3 PATRONES DE DISEÑO .............................................................. 112
3.1 PATRONES CREACIONALES ............................................................... 112
3.2 PATRONES ESTRUCTURALES ............................................................ 119
3.3 PATRONES DE COMPORTAMIENTO ................................................... 129
CAPÍTULO 4 DESARROLLO DE LA METODOLOGÍA ....................................... 131
4.1 DETERMINACIÓN DE REQUERIMIENTOS .......................................... 131
4.2 CASOS DE USO .................................................................................... 133
4.3 DISEÑO DE LA BASE DE DATOS ......................................................... 159
8
4.4 VISTAS DE LA APLICACIÓN ................................................................. 162
PARTE III CIERRE DE LA INVESTIGACIÓN ...................................................... 201
CAPITULO 5 RESULTADOS Y DISCUSIÓN ...................................................... 201
CAPITULO 6 CONCLUSIONES .......................................................................... 202
6.1 VERIFICACIÓN, CONTRASTE Y EVALUACIÓN DE LOS OBJETIVOS 202
CAPITULO 7 PROSPECTIVA DEL TRABAJO DE GRADO ................................ 203
7.1 LÍNEAS DE INVESTIGACIÓN FUTURAS .............................................. 203
7.2 TRABAJOS DE INVESTIGACIÓN FUTURAS ........................................ 204
REFERENCIAS ................................................................................................... 207
ANEXOS .............................................................................................................. 211
A.1 DICCIONARIO DE DATOS ..................................................................... 211
9
TABLA DE ILUSTRACIONES
ILUSTRACIÓN 1 PROCESO-FORMAL-DE-PLANIFICACIÓN .............................. 26
ILUSTRACIÓN 2 ESQUEMA-DE-GESTIÓN ......................................................... 28
ILUSTRACIÓN 3 GES|CONSULTOR .................................................................... 53
ILUSTRACIÓN 4 ADMINISTRACIÓN DE RIESGOS ............................................. 55
ILUSTRACIÓN 5 TRATAMIENTO DE RIESGOS .................................................. 56
ILUSTRACIÓN 6 MANTÉNGASE Y CUMPLA CON LA NORMA ISO 27001
REQUISITOS CON EVENTLOG ANALYZER ........................................................ 57
ILUSTRACIÓN 7 METAMODELO PUNTO DE VISTA ORGANIZACIÓN .............. 62
ILUSTRACIÓN 8 MODELO PUNTO DE VISTA ORGANIZACIÓN ....................... 63
ILUSTRACIÓN 9 METAMODELO PUNTO DE VISTA DE COOPERACIÓN DE
ACTOR .................................................................................................................. 64
ILUSTRACIÓN 10 MODELO PUNTO DE VISTA COOPERACIÓN DE ACTOR ... 65
ILUSTRACIÓN 11 METAMODELO PUNTO DE VISTA FUNCIÓN DE NEGOCIO 66
ILUSTRACIÓN 12 MODELO PUNTO DE VISTA FUNCIÓN DE NEGOCIO ......... 67
ILUSTRACIÓN 13 METAMODELO PUNTO DE VISTA DE PROCESO DE
NEGOCIO .............................................................................................................. 68
ILUSTRACIÓN 14 MODELO PUNTO DE VISTA PROCESO DE NEGOCIO ........ 69
ILUSTRACIÓN 15 METAMODELO PUNTO DE VISTA COOPERACIÓN DE
PROCESO DE NEGOCIO ..................................................................................... 70
ILUSTRACIÓN 16 MODELO PUNTO DE VISTA COOPERACIÓN DE PROCESO
DE NEGOCIO ........................................................................................................ 71
ILUSTRACIÓN 17 METAMODELO PUNTO DE VISTA DE PRODUCTO ............. 72
ILUSTRACIÓN 18 MODELO PUNTO DE VISTA DE PRODUCTO ....................... 73
ILUSTRACIÓN 19 METAMODELO PUNTO DE VISTA COMPORTAMIENTO DE
APLICACIÓN ......................................................................................................... 74
ILUSTRACIÓN 20 MODELO PUNTO DE VISTA DE COMPORTAMIENTO DE
APLICACIÓN ......................................................................................................... 75
10
ILUSTRACIÓN 21 METAMODELO PUNTO DE VISTA DE COOPERACIÓN DE
APLICACIÓN ......................................................................................................... 76
ILUSTRACIÓN 22 MODELO PUNTO DE VISTA COOPERACIÓN DE APLICACIÓN
............................................................................................................................... 77
ILUSTRACIÓN 23 METAMODELO PUNTO DE VISTA ESTRUCTURA DE
APLICACIÓN ......................................................................................................... 78
ILUSTRACIÓN 24 MODELO PUNTO DE VISTA ESTRUCTURA DE APLICACIÓN
............................................................................................................................... 79
ILUSTRACIÓN 25 METAMODELO PUNTO DE VISTA DE USO DE APLICACIÓN
............................................................................................................................... 80
ILUSTRACIÓN 26 MODELO PUNTO DE VISTA DE USO DE APLICACIÓN ....... 81
ILUSTRACIÓN 27 METAMODELO PUNTO DE VISTA DE INFRAESTRUCTURA
............................................................................................................................... 82
ILUSTRACIÓN 28 MODELO PUNTO DE VISTA DE INFRAESTRUCTURA......... 83
ILUSTRACIÓN 29 METAMODELO PUNTO DE VISTA USO DE
INFRAESTRUCTURA ............................................................................................ 84
ILUSTRACIÓN 30 MODELO PUNTO DE VISTA USO DE INFRAESTRUCTURA 85
ILUSTRACIÓN 31 METAMODELO PUNTO DE VISTA DE ORGANIZACIÓN E
IMPLEMENTACIÓN ............................................................................................... 86
ILUSTRACIÓN 32 MODELO PUNTO DE VISTA DE ORGANIZACIÓN E
IMPLEMENTACIÓN ............................................................................................... 87
ILUSTRACIÓN 33 METAMODELO PUNTO DE VISTA ESTRUCTURA DE
INFORMACIÓN ..................................................................................................... 88
ILUSTRACIÓN 34 MODELO PUNTO DE VISTA ESTRUCTURA DE
INFORMACIÓN ..................................................................................................... 89
ILUSTRACIÓN 35 METAMODELO PUNTO DE VISTA DE REALIZACIÓN DEL
SERVICIO .............................................................................................................. 90
ILUSTRACIÓN 36 MODELO PUNTO DE VISTA DE REALIZACIÓN DEL SERVICIO
............................................................................................................................... 91
ILUSTRACIÓN 37 MODELO PUNTO DE VISTA CAPAS ..................................... 93
11
ILUSTRACIÓN 38 METAMODELO PUNTO DE VISTA IMPLICADOS .................. 94
ILUSTRACIÓN 39 MODELO PUNTO DE VISTA IMPLICADOS ............................ 95
ILUSTRACIÓN 40 METAMODELO PUNTO DE VISTA REALIZACIÓN DE
OBJETIVOS ........................................................................................................... 96
ILUSTRACIÓN 41 MODELO PUNTO DE VISTA DE REALIZACIÓN DE
OBJETIVOS ........................................................................................................... 97
ILUSTRACIÓN 42 METAMODELO PUNTO DE VISTA CONTRIBUCIÓN ............ 98
ILUSTRACIÓN 43 MODELO PUNTO DE VISTA CONTRIBUCIÓN ...................... 99
ILUSTRACIÓN 44 METAMODELO PUNTO DE VISTA DE PRINCIPIOS ........... 100
ILUSTRACIÓN 45 MODELO PUNTO DE VISTA DE PRINCIPIOS ..................... 101
ILUSTRACIÓN 46 METAMODELO PUNTO DE VISTA REALIZACIÓN DE
REQUERIMIENTOS ............................................................................................ 102
ILUSTRACIÓN 47 MODELO PUNTO DE VISTA DE REALIZACIÓN DE
REQUERIMIENTOS ............................................................................................ 103
ILUSTRACIÓN 48 METAMODELO PUNTO DE VISTA MOTIVACIÓN ............... 104
ILUSTRACIÓN 49 MODELO PUNTO DE VISTA MOTIVACIÓN ......................... 105
ILUSTRACIÓN 50 METAMODELO PUNTO DE VISTA DE PROYECTO ............ 106
ILUSTRACIÓN 51 MODELO PUNTO DE VISTA DE PROYECTO ...................... 107
ILUSTRACIÓN 52 METAMODELO PUNTO DE VISTA MIGRACIÓN ................. 108
ILUSTRACIÓN 53 MODELO PUNTO DE VISTA MIGRACIÓN ........................... 109
ILUSTRACIÓN 54 METAMODELO PUNTO DE VISTA DE MIGRACIÓN E
IMPLEMENTACIÓN ............................................................................................. 110
ILUSTRACIÓN 55 MODELO PUNTO DE VISTA DE MIGRACIÓN E
IMPLEMENTACIÓN ............................................................................................. 111
ILUSTRACIÓN 56 METAMODELO PATRÓN SINGLETON ................................ 112
ILUSTRACIÓN 57 MODELO DEL PATRÓN SINGLETON .................................. 113
ILUSTRACIÓN 58 METAMODELO PATRÓN FABRICA ABSTRACTA ............... 113
ILUSTRACIÓN 59 MODELO DEL PATRON FABRICA ABSTARCTA ................. 114
ILUSTRACIÓN 60 METAMODELO PATRÓN CONSTRUCTOR ......................... 115
ILUSTRACIÓN 61 MODELO DEL PATRÓN CONSTRUCTOR ........................... 116
12
ILUSTRACIÓN 62 METAMODELO PATRÓN MÉTODO FABRICA .................... 116
ILUSTRACIÓN 63 MODELO DEL PATRÓN MÉTODO FABRICA ...................... 117
ILUSTRACIÓN 64 METAMODELO PATRÓN PROTOTIPO ............................... 117
ILUSTRACIÓN 65 MODELO DEL PATRÓN PROTOTIPO ................................. 118
ILUSTRACIÓN 66 METAMODELO PATRÓN ADAPTADOR POR COMPOSICIÓN
............................................................................................................................. 119
ILUSTRACIÓN 67 METAMODELO PATRÓN ADAPTADOR POR HERENCIA .. 119
ILUSTRACIÓN 68 MODELO PATRÓN DE ADAPTADOR POR HERENCIA ...... 120
ILUSTRACIÓN 69 MODELO DEL PATRÓN ADAPTADOR POR COMPOSICIÓN
............................................................................................................................. 121
ILUSTRACIÓN 70 METAMODELO PATRÓN PUENTE ...................................... 121
ILUSTRACIÓN 71 MODELO DEL PATRÓN PUENTE ........................................ 122
ILUSTRACIÓN 72 METAMODELO PATRON COMPONENTE ........................... 123
ILUSTRACIÓN 73 MODELO DEL PATRÓN COMPONENTE ............................. 124
ILUSTRACIÓN 74 METAMODELO PATRÓN DECORADOR ............................. 124
ILUSTRACIÓN 75 MODELO DEL PATRÓN DECORADOR ............................... 125
ILUSTRACIÓN 76 METAMODELO PATRÓN FACHADA ................................... 126
ILUSTRACIÓN 77 MODELO DEL PATRÓN FACHADA ..................................... 126
ILUSTRACIÓN 78 METAMODELO PATRÓN PESO LIGERO ............................ 127
ILUSTRACIÓN 79 MODELO DEL PATRÓN PESO LIGERO .............................. 128
ILUSTRACIÓN 80 METAMODELO PATRÓN PROXY ........................................ 128
ILUSTRACIÓN 81 MODELO DEL PATRÓN PROXY .......................................... 129
ILUSTRACIÓN 82 METAMODELO PATRÓN CADENA DE RESPONSABILIDADES
............................................................................................................................. 130
ILUSTRACIÓN 83 MODELO DEL PATRÓN CADENA DE RESPONSABILIDADES
............................................................................................................................. 130
ILUSTRACIÓN 94 CASO DE USO GESTIONAR DE USUARIOS ..................... 133
ILUSTRACIÓN 95 CASO DE USO GESTIONAR ASIGNACIÓN ROL ............... 133
ILUSTRACIÓN 96 CASO DE USO GESTIONAR CONTROL.............................. 137
ILUSTRACIÓN 97 CASO DE USO GESTIONAR RIESGO ................................. 138
13
ILUSTRACIÓN 98 CASO DE USO GESTIONAR IMPACTO ............................... 140
ILUSTRACIÓN 99 CASO DE USO GESTIONAR NIVEL IMPACTO ................... 141
ILUSTRACIÓN 100 CASO DE USO GESTIONAR PROCESOS ......................... 141
ILUSTRACIÓN 101 CASO DE USO GESTIONAR CARGO ................................ 142
ILUSTRACIÓN 102 CASO DE USO GESTIONAR DEPENDENCIA ................... 143
ILUSTRACIÓN 103 CASO DE USO GESTIONAR PROCESOS APLICACIONES
............................................................................................................................. 143
ILUSTRACIÓN 104 CASO DE USO GESTIONAR PROCESOS DETALLE ........ 144
ILUSTRACIÓN 105 CASO DE USO GESTIONAR PROCESOS CONTINUIDAD
............................................................................................................................. 144
ILUSTRACIÓN 106 CASO DE USO GESTIONAR PROCESOS ENTREGABLES
............................................................................................................................. 145
ILUSTRACIÓN 107 CASO DE USO GESTIONAR PROCESOS HARDWARE ... 145
ILUSTRACIÓN 108 CASO DE USO GESTIONAR PROCESOS IMPACTO ....... 146
ILUSTRACIÓN 109 CASO DE USO GESTIONAR PROCESOS NEGOCIO ....... 146
ILUSTRACIÓN 110 CASO DE USO GESTIONAR PROCESOS PROVEEDORES
............................................................................................................................. 147
ILUSTRACIÓN 111 CASO DE USO GESTIONAR PROCESOS REGISTROS
VITALES .............................................................................................................. 147
ILUSTRACIÓN 112 CASO DE USO GESTIONAR PROCESOS RECURSOS ... 148
ILUSTRACIÓN 113 CASO DE USO GESTIONAR MATRIZ AMENAZAS ........... 148
ILUSTRACIÓN 114 CASO DE USO GESTIONAR MATRIZ AUDITORIA .......... 149
ILUSTRACIÓN 115 CASO DE USO GESTIONAR MATRIZ DE CAPACITACIÓN
............................................................................................................................. 149
ILUSTRACIÓN 116 CASO DE USO GESTIONAR MATRIZ CONTROLES ........ 150
ILUSTRACIÓN 117 CASO DE USO GESTIONAR MATRIZ DECLARACIÓN DE
APLICABILIDAD .................................................................................................. 150
ILUSTRACIÓN 118 CASO DE USO GESTIONAR MATRIZ DE INCIDENTES ... 151
ILUSTRACIÓN 119 CASO DE USO GESTIONAR MATRIZ DE RIESGOS ........ 151
ILUSTRACIÓN 120 CASO DE USO GESTIONAR PROCESOS IMPACTADOS 152
14
ILUSTRACIÓN 121 CASO DE USO GESTIONAR APLICACIONES ................... 152
ILUSTRACIÓN 122 CASO DE USO CREACIÓN ASISTENTES ......................... 153
ILUSTRACIÓN 123 CASO DE USO GESTIONAR BASE DATOS ...................... 153
ILUSTRACIÓN 124 CASO DE USO GESTIONAR DOCUMENTACION ............. 154
ILUSTRACIÓN 125 CASO DE USO GESTIONAR EMPRESAS ......................... 154
ILUSTRACIÓN 126 CASO DE USO GESTIONAR EQUIPOS ............................. 155
ILUSTRACIÓN 127 CASO DE USO GESTIONAR ESTADO ............................. 155
ILUSTRACIÓN 128 CASO DE USO GESTIONAR FUNCIONARIOS .................. 156
ILUSTRACIÓN 129 CASO DE USO GESTIONAR LICENCIAS .......................... 156
ILUSTRACIÓN 130 CASO DE USO GESTIONAR REUNIONES ........................ 157
ILUSTRACIÓN 131 CASO DE USO GESTIONAR SERVIDORES ...................... 157
ILUSTRACIÓN 132 CASO DE USO GESTIONAR TEMAS ................................. 158
ILUSTRACIÓN 133 MODELO ER I SGSIADMIN ................................................ 159
ILUSTRACIÓN 134 MODELO ER II SGSIADMIN ............................................... 160
ILUSTRACIÓN 135 MODELO ER III SGSIADMIN .............................................. 161
ILUSTRACIÓN 136 LOGIN PARA SGSIADMIN .................................................. 162
ILUSTRACIÓN 137 REGISTRO ANTE LA PLATAFORMA ................................. 163
ILUSTRACIÓN 138 ÁREA DE ADMINISTRACIÓN Y OTORGACION DE
PERMISOS .......................................................................................................... 164
ILUSTRACIÓN 139 ÁREA DE ASIGNACIÓN DE GRUPOS ............................... 164
ILUSTRACIÓN 140 GESTIÓN DE USUARIOS ................................................... 165
ILUSTRACIÓN 141 MENÚS DE LA PLATAFORMA ........................................... 165
ILUSTRACIÓN 142 NORMA ISO 27001:2005 .................................................... 166
ILUSTRACIÓN 143 NORMA ISO 27001:2013 .................................................... 167
ILUSTRACIÓN 144 LISTADO DE CONTROLES EXISTENTES ......................... 168
ILUSTRACIÓN 145 FORMULARIO NUEVOS CONTROLES .............................. 168
ILUSTRACIÓN 146 FORMULARIO EDICIÓN DE CONTROLES ........................ 169
ILUSTRACIÓN 147 LISTADO DE IMPACTO ...................................................... 169
ILUSTRACIÓN 148 REGISTRO NUEVOS IMPACTOS ...................................... 170
ILUSTRACIÓN 149 EDICIÓN DE IMPACTOS .................................................... 171
15
ILUSTRACIÓN 150 LISTADO DE RIESGOS ...................................................... 172
ILUSTRACIÓN 151 NUEVO RIESGO ................................................................. 173
ILUSTRACIÓN 152 EDICIÓN DE RIESGO ......................................................... 173
ILUSTRACIÓN 153 LISTADO DE PROCESOS .................................................. 174
ILUSTRACIÓN 154 NUEVO PROCESO ............................................................. 174
ILUSTRACIÓN 155 EDICIÓN DE PROCESOS ................................................... 175
ILUSTRACIÓN 156 NUEVOS CARGOS ............................................................. 176
ILUSTRACIÓN 157 NUEVAS DEPENDENCIAS ................................................. 176
ILUSTRACIÓN 158 NUEVOS PROCESOS DE APLICACIONES ....................... 177
ILUSTRACIÓN 159 NUEVO PROCESOS DE CONTINUIDAD ........................... 178
ILUSTRACIÓN 160 NUEVOS PROCESOS DETALLE ........................................ 179
ILUSTRACIÓN 161 NUEVOS PROCESOS DE ENTREGABLES ....................... 179
ILUSTRACIÓN 162 NUEVOS PROCESOS DE HARDWARE ............................. 180
ILUSTRACIÓN 163 NUEVOS PROCESOS DE IMPACTO I ............................... 180
ILUSTRACIÓN 164 NUEVOS PROCESOS DE IMPACTO II .............................. 181
ILUSTRACIÓN 165 NUEVOS PROCESOS DE IMPACTO III ............................. 181
ILUSTRACIÓN 166 NUEVOS PROCESOS DE NEGOCIOS .............................. 182
ILUSTRACIÓN 167 NUEVOS PROCESOS DE PROVEEDORES ...................... 182
ILUSTRACIÓN 168 NUEVOS PROCESOS DE RECURSOS ............................. 183
ILUSTRACIÓN 169 NUEVOS REGISTROS ........................................................ 184
ILUSTRACIÓN 170 LISTADO MATRIZ DE AMENAZAS ..................................... 185
ILUSTRACIÓN 171 FORMULARIO NUEVA MATRIZ AMENAZAS ..................... 185
ILUSTRACIÓN 172 FORMULARIO EDICIÓN MATRIZ AMENAZAS .................. 186
ILUSTRACIÓN 173 LISTADO MATRIZ DE VULNERABILIDADES ..................... 186
ILUSTRACIÓN 174 FORMULARIO NUEVA MATRIZ VULNERABILIDADES ..... 187
ILUSTRACIÓN 175 FORMULARIO EDICIÓN MATRIZ DE VULNERABILIDADES
............................................................................................................................. 187
ILUSTRACIÓN 176 FORMULARIO NUEVA MATRIZ DE AUDITORIA ............... 188
ILUSTRACIÓN 177 FORMULARIO NUEVA MATRIZ DE CAPACITACIÓN ........ 189
ILUSTRACIÓN 178 FORMULARIO NUEVA MATRIZ DE CONTROLES ............ 190
16
ILUSTRACIÓN 179 FORMULARIO NUEVOS PROCESOS IMPACTADOS ....... 190
ILUSTRACIÓN 180 FORMULARIO NUEVA MATRIZ DECLARACIÓN DE
APLICABILIDAD .................................................................................................. 191
ILUSTRACIÓN 181 FORMULARIO NUEVA MATRIZ DE INCIDENTES ............. 192
ILUSTRACIÓN 182 FORMULARIO NUEVA MATRIZ DE RIESGOS .................. 192
ILUSTRACIÓN 183 FORMULARIO NUEVAS APLICACIONES .......................... 193
ILUSTRACIÓN 184 FORMULARIO NUEVOS ASISTENTES .............................. 194
ILUSTRACIÓN 185 FORMULARIO NUEVAS BASE DE DATOS ........................ 194
ILUSTRACIÓN 186 LISTADO BASE DOCUMENTACION .................................. 195
ILUSTRACIÓN 187 FORMULARIO NUEVA DOCUMENTACION ....................... 196
ILUSTRACIÓN 188 FORMULARIO EDICIÓN DOCUMENTACION .................... 196
ILUSTRACIÓN 189 FORMULARIO NUEVAS EMPRESAS ................................ 197
ILUSTRACIÓN 190 FORMULARIO NUEVOS EQUIPOS .................................... 197
ILUSTRACIÓN 191 FORMULARIO NUEVOS ESTADOS ................................... 198
ILUSTRACIÓN 192 FORMULARIO NUEVOS FUNCIONARIOS ......................... 198
ILUSTRACIÓN 193 FORMULARIO NUEVAS LICENCIAS ................................. 199
ILUSTRACIÓN 194 FORMULARIO NUEVAS REUNIONES ............................... 199
ILUSTRACIÓN 195 FORMULARIO NUEVOS SERVIDORES............................. 200
ILUSTRACIÓN 196 FORMULARIO NUEVOS TEMAS ........................................ 200
17
LISTADO DE TABLAS
TABLA 1 FUNCIONALIDADES SOFTEXPERT ..................................................... 61
TABLA 2 DESCRIPCIÓN DEL PUNTO DE VISTA DE ORGANIZACIÓN ............. 62
TABLA 3 DESCRIPCIÓN DE PUNTO DE VISTA DE ACTOR COOPERACIÓN ... 65
TABLA 4 DESCRIPCIÓN DE PUNTO DE VISTA DE LA FUNCIÓN DE NEGOCIO
............................................................................................................................... 67
TABLA 5 DESCRIPCIÓN DE PUNTO DE VISTA DEL PROCESO DE NEGOCIO69
TABLA 6 DESCRIPCIÓN DEL PUNTO DE VISTA DE NEGOCIO PROCESO
COOPERACIÓN .................................................................................................... 71
TABLA 7 DESCRIPCIÓN DEL PUNTO DE VISTA DEL PRODUCTO ................... 73
TABLA 8 DESCRIPCIÓN DE PUNTO DE VISTA DE COMPORTAMIENTO DE
APLICACIÓN ......................................................................................................... 75
TABLA 9 APLICACIÓN DESCRIPCIÓN DE PUNTO DE VISTA DE COOPERACIÓN
............................................................................................................................... 77
TABLA 10 DESCRIPCIÓN DE PUNTO DE VISTA DE ESTRUCTURA DE
APLICACIÓN ......................................................................................................... 79
TABLA 11 DESCRIPCIÓN DE PUNTO DE VISTA DE USO DE APLICACIÓN ..... 81
TABLA 12 DESCRIPCIÓN DEL PUNTO DE VISTA DE INFRAESTRUCTURA .... 83
TABLA 13 DESCRIPCIÓN DE PUNTO DE VISTA DE USO DE
INFRAESTRUCTURA ............................................................................................ 85
TABLA 14 DESCRIPCIÓN PUNTO DE VISTA DE ORGANIZACIÓN E
IMPLEMENTACIÓN ............................................................................................... 87
TABLA 15 DESCRIPCIÓN PUNTO DE VISTA ESTRUCTURA DE INFORMACIÓN
............................................................................................................................... 89
TABLA 16 DESCRIPCIÓN PUNTO DE VISTA DE REALIZACIÓN DEL SERVICIO
............................................................................................................................... 91
TABLA 17 DESCRIPCIÓN PUNTO DE VISTA CAPAS ......................................... 92
TABLA 18 DESCRIPCIÓN PUNTO DE VISTA IMPLICADOS ............................... 95
18
TABLA 19 DESCRIPCIÓN PUNTO DE VISTA REALIZACIÓN DE OBJETIVOS .. 97
TABLA 20 DESCRIPCIÓN PUNTO DE VISTA CONTRIBUCIÓN ......................... 99
TABLA 21 DESCRIPCIÓN PUNTO DE VISTA DE PRINCIPIOS ........................ 101
TABLA 22 DESCRIPCIÓN PUNTO DE VISTA DE REALIZACIÓN DE
REQUERIMIENTOS ............................................................................................ 103
TABLA 23 DESCRIPCIÓN PUNTO DE VISTA MOTIVACIÓN ............................ 104
TABLA 24 DESCRIPCIÓN PUNTO DE VISTA PROYECTO ............................... 107
TABLA 25 DESCRIPCIÓN PUNTO DE VISTA MIGRACIÓN .............................. 108
TABLA 26 DESCRIPCIÓN PUNTO DE VISTA DE MIGRACIÓN E
IMPLEMENTACIÓN ............................................................................................. 111
TABLA 27 CASO DE USO GESTIÓN USUARIOS .............................................. 134
TABLA 28 CASO DE USO GESTIÓN ROL ......................................................... 135
TABLA 29 CASO DE USO GESTIÓN PERMISOS .............................................. 136
TABLA 30 CASO DE USO GESTIÓN CONTROLES .......................................... 136
TABLA 31 CASO DE USO GESTIÓN RIESGOS ................................................ 137
TABLA 32 CASO DE USO GESTIÓN DE PROCESOS ...................................... 139
TABLA 33 CASOS DE USO GESTIÓN NIVEL DE IMPACTO ............................. 139
TABLA 34 CASO DE USO GESTIÓN DE IMPACTO .......................................... 140
19
INTRODUCCIÓN
Uno de los grandes problemas que presentan la mayoría de las empresas
colombianas es la aplicación de la norma ISO 27001:2013, debida a la carencia de
elementos teórico- prácticos en el que hacer los mismos.
La elaboración de la herramienta tiene como finalidad dar pautas generales para la
correcta gestión de la documentación que la norma ISO 27001:2013, y de aquellos
que sin formar parte del mismo quieran adoptarlo.
En consecuencia esta herramienta será de apoyo para iniciar las tareas inherentes
a la organización, partiendo tanto de la identificación de la clasificación que apoye
la generación de procedimientos y políticas y que permite hacer seguimiento al
cumplimiento del sistema de gestión.
Es importante que el sistema de gestión de la seguridad de la información sea parte
de los procesos y de la estructura de gestión total de la información de la
organización y que esté integrado con ellos, y que la seguridad de la información se
considere en el diseño de procesos, sistemas de información y controles. Se espera
que la implementación de un sistema de gestión de seguridad de la información se
difunda de acuerdo con las necesidades de la organización.
La presente Norma Internacional puede ser usada por partes internas y externas
para evaluar la capacidad de la organización para cumplir los requisitos de
seguridad de la propia organización.
20
PARTE I CONTEXTUALIZACIÓN DE LA INVESTIGACIÓN
CAPÍTULO 1 DESCRIPCIÓN DE LA INVESTIGACIÓN
1.1 PLANTEAMIENTO/IDENTIFICACIÓN DEL PROBLEMA
TEMA DE INVESTIGACIÓN
Desarrollo de un sistema que permita la administración y seguimiento de un sistema
de gestión de seguridad de la información basado en la norma ISO 27001:2013;
siendo esta la norma más actualizada a la fecha por el congreso de ISO/IEC.
PLANTEAMIENTO DEL PROBLEMA
La actual expansión de incidentes de seguridad informática alrededor del mundo ha
llevado a que las empresas vean la necesidad de invertir recursos en la protección
de la información diseñando normas o estándares para implementar planes de
continuidad de negocio, proteger la infraestructura y evitar la pérdida de
confidencialidad, integridad o disponibilidad de la información, todo esto se ha
aplicado basándose en el estándar ISO 27001 que provee los mecanismos para la
implementación de un sistema de gestión de seguridad de la información, sin
embargo la administración manual de un sistema de gestión de seguridad de la
información resulta muy tediosa para una compañía, dado que existen demasiados
documentos que contienen información sensible y que deben gestionarse
correctamente, en vista de esta dificultad se ve la necesidad de crear o desarrollar
una herramienta de software que administre la documentación e información que
compone al SGSI y que brinde facilidades en la administración del mismo.
21
FORMULACIÓN DEL PROBLEMA
Teniendo en cuenta lo anterior se plantea el desarrollo de una aplicación web que
cuente con varios módulos que se ajusten a la norma ISO 27001:2013 y que
permitan la administración del SGSI tomando en cuenta sus diferentes fases
(Diseño, implementación, Gestión), la herramienta además permitirá hacer
seguimiento al avance y grado de madurez de cada una de ellas.
SISTEMATIZACIÓN DEL PROBLEMA
¿Bajo qué metodología realizara el análisis de requerimientos?
¿Cómo sustentara la visión de las necesidades que pretende cubrir la norma
27001:2013?
¿Cómo realizar la implementación de la herramienta?
¿Que garantiza que la página web sea de fácil acceso?
¿Base a que estándar se va a basar para el desarrollo de la herramienta web?
1.2 OBJETIVOS
OBJETIVO GENERAL
Desarrollar un software haciendo uso herramientas de desarrollo web libres, para
que permita administrar un sistema de gestión de seguridad de la información
basado en la norma ISO 27001.
22
OBJETIVOS ESPECÍFICOS
Realizar análisis de requerimientos, basados en la experiencia de los
administradores del sistema de gestión de la seguridad de la información,
para obtener una visión más exacta de las necesidades que debe cubrir por
la herramienta.
Generar el diseño de la herramienta web, teniendo en cuenta los estándares
de desarrollo de software, para garantizar el funcionamiento y calidad de la
misma.
Implementar la herramienta como una aplicación web para que permita el
fácil acceso y consulta de la información desde cualquier dispositivo con
conexión a internet.
ALCANCES
El proyecto en desarrollo tiene como alcance sistematizar la administración y
gestión de la NTC ISO 27001:2013 por medio del ambiente web. Los aspectos que
comprenden la investigación son la aplicación y gestión de la norma, situación que
actualmente se ejecuta de manera manual, lo cual es una tarea bastante engorrosa
por la infinidad de documentos, versiones y de más tareas solicitadas por la norma.
Los aspectos relacionados con la certificación y auditorías externas no se tendrán
contempladas, ya que estas ejecuciones se realizan por medio de un tercero, la
herramienta solo estará a la disposición de ayuda para estos fines.
23
LIMITACIONES
Las presentes limitaciones restringirán la investigación.
No es un sistema de gestión de la información, lo cual solo será una herramienta
para la gestión de la documentación de uno, ya que esto solo dependerá del tipo de
negocio de la empresa y la política que dispongan para su negocio.
Se realizara la división por módulos de los principales numerales que especifica la
norma que estarían contempladas por (planear, hacer, verificar, actuar). Cada uno
de estos tendrá unos ítems que almacenaran un documento donde especifique la
actividad a realizar.
También contara con la división por módulos de las principales pólizas que
especifica la norma, las cuales deberán estar definidas por la alta gerencia de la
empresa y los colaboradores de cada área perteneciente a esta.
1.3 JUSTIFICACIÓN DEL TRABAJO/INVESTIGACIÓN
Teniendo en cuenta que la expansión de la tecnología es cada vez más amplia y
que cada día hay más dispositivos, aplicaciones y herramientas que contienen o
almacenan información la cual puede ser alterada, secuestrada, robada, etc. En el
mundo se ha visto la necesidad de establecer mecanismos de protección para la
misma bajo esta visión surge la ISO 27001, la cual pretende reglamentar los
procesos de diseño e implementación de los sistemas de gestión de seguridad de
la información, para ofrecer confidencialidad, integridad y disponibilidad de la
información de forma segura, actualmente las empresas han desarrollado cultura y
preocupación por el tema de la seguridad de la información acogiendo la
implementación y certificación de la norma, es más en muchos casos este proceso
de implementación resulta ser obligatorio o reglamentario para poder acceder a
ciertos servicios hasta aquí todo ha resultado de mucho beneficio, ahora bien la
implementación de la ISO 27001:2013 con lleva a un cambio en la concepción y
administración de la información y esto a su vez genera unos procesos que deben
24
documentarse, mantenerse y administrarse es aquí donde este proyecto pretende
convertirse en una herramienta de software (aplicación) web que administre los
documentos, que apoye la generación de procedimientos y políticas y que permite
hacer seguimiento al cumplimiento del sistema de gestión.
A pesar de que en el mercado existen herramientas que realizan procedimientos
muy parecidos a los anteriormente mencionados, contienen consigo un
licenciamiento la cual generan un costo más para las empresas, contrario a esto la
herramienta propuesta se está desarrollando en software libre y será de uso gratuito
para el manejo de cualquier empresa.
1.4 MARCO TEÓRICO/CONCEPTUAL
En los siguientes numerales se realizará la descripción del marco teórico y del
marco conceptual que intervendrán en la debida investigación a realizar.
MARCO TEÓRICO
En este marco teórico se verá descrito lo que es un sistema de gestión y de que se
compone, junto con esto se definirá la familia de la iso 27000 y sus debidos
componentes.
SISTEMA DE GESTIÓN
Un Sistema de Gestión es un conjunto de etapas unidas en un proceso continuo,
que permite trabajar ordenadamente una idea hasta lograr mejoras y su continuidad.
Se establecen cuatro etapas en este proceso, que hacen de este sistema, un
proceso circular virtuoso, pues en la medida que el ciclo se repita recurrente y
recursivamente, se logrará en cada ciclo, obtener una mejora.
Las cuatro etapas del sistema de gestión son: (Vergara, 2009)
25
ETAPA DE IDEACIÓN
El objetivo de esta etapa es trabajar en la idea que guiará los primeros pasos del
proceso de creación que se logra con el sistema de gestión propuesto. Existen
varias metodologías para lograr refinar la idea. Sin embargo, se recomienda una
muy práctica Lluvia de ideas o Brainstorming: Primero se debe generar el máximo
de ideas para obtener un amplio espectro de posibilidades en dónde atacar. El
proceso consiste en lo siguiente en que un grupo o una persona, durante un tiempo
prudente (de 10-30 minutos), se enfocan en generar o “lanzar” ideas sin
restricciones, pero que tengan cercanía con el tema que se está tratando.
Una vez que se tenga un listado adecuado, se procede a analizar las ideas y a pulir
su cercanía con lo que realmente se quiere. La idea central de este proceso es que
aquí se debe definir claramente el objetivo perseguido, es decir el “¿Qué queremos
lograr?”. Una vez definido, se procede al “¿Cómo lograrlo?” y se pasa a la siguiente
etapa. (Vergara, 2009)
ETAPA DE PLANEACIÓN
Dentro del proceso, la planificación constituye una etapa fundamental y el punto de
partida de la acción directiva, ya que supone el establecimiento de sub-objetivos y
los cursos de acción para alcanzarlos.
En esta etapa, se definen las estrategias que se utilizarán, la estructura
organizacional que se requiere, el personal que se asigna, el tipo de tecnología que
se necesita, el tipo de recursos que se utilizan y la clase de controles que se aplican
en todo el proceso.
Si bien es cierto que el proceso de planificación depende de las características
particulares de cada organización, tal como señalan Arnoldo Hax y Nicolás Majluf,
26
dentro de cualquier proceso formal de planificación, existen tres perspectivas
básicas comunes: la estrategia corporativa, de negocios y funcional. Véase el
esquema de un proceso formal de planificación estratégica.
ILUSTRACIÓN 1 PROCESO-FORMAL-DE-PLANIFICACIÓN
FUENTE: (HAX, 1997)
El proceso de planificación contiene un número determinado de etapas que hacen
de ella una actividad dinámica, flexible y continua. En general, estas etapas
consideran, para cada una de las perspectivas mencionadas, el examen del medio
externo (identificación de oportunidades y amenazas), la evaluación interna
27
(determinación de fortalezas y debilidades), y concluye con la definición de una
postura competitiva sugerida (objetivos y metas).
A nivel corporativo, se obtienen como resultado las directrices estratégicas y los
objetivos de desempeño de la organización. Además, se determina la asignación de
recursos, la estructura de la organización (que se necesita para poner en práctica
exitosamente la estrategia definida), los sistemas administrativos y las directrices
para la selección y promoción del personal clave.
A nivel de negocios y funcional, los resultados se enmarcan en propuestas de
programas estratégicos de acción y programación de presupuestos. Estas
propuestas son, finalmente, evaluadas y consolidadas a nivel corporativo. (Vergara,
2009)
ETAPA DE IMPLEMENTACIÓN
En su significado más general, se entiende por gestión, la acción y efecto de
administrar. Pero, en un contexto empresarial, esto se refiere a la dirección que
toman las decisiones y las acciones para alcanzar los objetivos trazados.
Es importante destacar que las decisiones y acciones que se toman para llevar
adelante un propósito, se sustentan en los mecanismos o instrumentos
administrativos (estrategias, tácticas, procedimientos, presupuestos, etc.), que
están sistémicamente relacionados y que se obtienen del proceso de planificación.
(Vergara, 2009)
28
ILUSTRACIÓN 2 ESQUEMA-DE-GESTIÓN
FUENTE (Vergara, 2009)
ETAPA DE CONTROL
El control es una función administrativa, esencialmente reguladora, que permite
verificar (o también constatar, palpar, medir o evaluar), si el elemento seleccionado
(es decir, la actividad, proceso, unidad, sistema, etc.), está cumpliendo sus objetivos
o alcanzando los resultados que se esperan.
Es importante destacar que la finalidad del control es la detección de errores, fallas
o diferencias, en relación a un planteamiento inicial, para su corrección y/o
prevención. Por tanto, el control debe estar relacionado con los objetivos
inicialmente definidos, debe permitir la medición y cuantificación de los resultados,
la detección de desviaciones y el establecimiento de medidas correctivas y
preventivas. (Vergara, 2009)
LAS ETAPAS BÁSICAS DEL CONTROL
ESTABLECIMIENTO DE LOS ESTÁNDARES PARA LA MEDICIÓN
29
Un estándar es una norma o criterio que sirve como base para la evaluación o
comparación. Los estándares, deben ser medidas específicas de actuación con
base en los objetivos. Son los límites en los cuales se debe encuadrar la
organización. Se pueden definir, entre otros, estándares de cantidad, calidad,
tiempo y costos. (Vergara, 2009)
MEDICIÓN DEL DESEMPEÑO
Tiene como fin obtener resultados del desempeño para su posterior comparación
con los estándares definidos. Luego, es posible detectar si hay desvíos o
variaciones en relación a lo esperado.
DETECCIÓN DE LAS DESVIACIONES EN RELACIÓN AL ESTÁNDAR
ESTABLECIDO
Conocer las desviaciones de los resultados es la base para conocer las causas de
éstas. Todas las variaciones que se presenten, en relación con los planes, deben
ser analizadas detalladamente para conocer las causas que las originaron. Analizar
las razones que dieron origen a las variaciones permite eficiencia y efectividad en
la búsqueda y aplicación de soluciones. (Vergara, 2009)
DETERMINACIÓN DE ACCIONES CORRECTIVAS Y PREVENTIVAS
Se determinan las acciones correctivas para corregir las causas de las desviaciones
y orientar los resultados al estándar definido. Esto puede significar cambios en una
o varias actividades, sin embargo, cabe señalar que podría ser necesario que la
corrección se realice en los estándares originales, en lugar de las actividades.
En términos preventivos, es importante considerar que lo más significativo es
encontrar maneras constructivas que permitan que los resultados finales cumplan
30
con los parámetros definidos (anticiparse), y no tan sólo en identificar y corregir los
errores pasados. (Vergara, 2009)
FAMILIA ISO/IEC 27000
La serie ISO/IEC 27000 sirve para desarrollar, mantener e implementar
especificaciones para los sistemas de gestión de la seguridad de la información,
también conocido como (SGSI). (27000, s.f.)
El uso de esta familia de normas ayudará a su organización a administrar la
seguridad de los activos, tales como información financiera, la propiedad intelectual,
detalles de los empleados o la información confiada a usted por terceros.
ISO
La Organización Internacional para la Estandarización o ISO (del griego ἴσος, (isos),
que significa “igual”) nacida tras la Segunda Guerra Mundial (23 de febrero de 1947),
es el organismo encargado de promover el desarrollo de normas internacionales de
fabricación (tanto de productos como de servicios), comercio y comunicación para
todas las ramas industriales. Su función principal es la de buscar la estandarización
de normas de productos y seguridad para las empresas u organizaciones (públicas
o privadas) a nivel internacional. (iso, s.f.)
IEC
La Comisión Electrotécnica Internacional (CEI o IEC, pos sus siglas de idioma ingles
International Electrotecnical Commission) es una organización de normalización en
los campos eléctrico, electrónico y tecnologías relacionadas. Numerosas normas se
desarrollan conjuntamente con la ISO (nomas ISO/IEC). (iec, s.f.)
31
ISO/IEC 27000 DICCIONARIO CON VOCABULARIO ESTÁNDAR.
Esta Norma Internacional proporciona la visión general de los sistemas de gestión
de seguridad de la información, y los términos y definiciones de uso común en la
familia de normas de SGSI. Esta norma es aplicable a todos los tipos y tamaños de
organización (por ejemplo, las empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro). (org, www.iso.org, 2014)
ISO/IEC 27001 REQUISITOS PARA LA IMPLANTACIÓN DEL SGSI.
Esta norma internacional especifica los requisitos para establecer, implementar,
mantener y mejorar continuamente un sistema de gestión de seguridad de la
información en el contexto de la organización. Esta norma también incluye requisitos
para la evaluación y el tratamiento de los riesgos de seguridad de la información a
la medida de las necesidades de la organización. Los requisitos establecidos en
esta Norma Internacional son genéricos y se pretende que sean aplicables a todas
las organizaciones, sin importar su tipo, tamaño o naturaleza. Excluyendo
cualquiera de los requisitos especificados en las cláusulas 4 a 10 no es aceptable
cuando una organización reclama la conformidad con esta Norma Internacional.
(org, www.iso.org, 2013)
ISO/IEC 27002 CÓDIGO DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN.
Esta Norma Internacional proporciona directrices para las normas de seguridad de
información de la organización y las prácticas de gestión de seguridad de
información, incluyendo la selección, implementación y gestión de los controles,
32
teniendo en cuenta el medio ambiente riesgo seguridad de la información de la
organización (s).
Esta Norma Internacional está diseñado para ser utilizado por las organizaciones
que tengan la intención de:
los controles de selección dentro del proceso de implantación de un Sistema
de Gestión de Seguridad de la Información basado en ISO / IEC 27001.
aplicar controles de seguridad de la información generalmente aceptadas.
desarrollar sus propias directrices de gestión de seguridad de la información.
(org, www.iso.org, 2013)
ISO/IEC 27003 GUÍA DE IMPLEMENTACIÓN DE SGSI.
Esta Norma Internacional se centra en los aspectos críticos necesarios para el éxito
del diseño e implementación de un Sistema de Gestión de Seguridad de la
Información (SGSI) de acuerdo con la norma ISO / IEC 27001: 2013. En él se
describe el proceso de especificación y diseño SGSI desde su inicio hasta la
producción de los planes de ejecución. En él se describe el proceso de obtener la
aprobación de la gerencia para implementar un SGSI, define un proyecto de
implantación de un SGSI (contempladas en esta norma ya que el proyecto SGSI), y
proporciona orientación sobre cómo planificar el proyecto SGSI, dando lugar a un
proyecto final SGSI plan de implementación.
Esta Norma Internacional está destinado a ser utilizado por las organizaciones
ejecutoras un SGSI. Es aplicable a todos los tipos de organización (por ejemplo, las
empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro) de todos los tamaños. Complejidad y riesgos de cada organización son
únicos, y sus requisitos específicos impulsarán la implantación del SGSI. Las
organizaciones más pequeñas se encuentra que las actividades señaladas en esta
norma son aplicables a ellos y pueden simplificarse. A gran escala o de
organizaciones complejas podrían encontrar que es necesario un sistema de
33
organización o gestión de capas para gestionar las actividades en esta norma
internacional efectiva. Sin embargo, en ambos casos, las actividades pertinentes
pueden planificarse mediante la aplicación de esta norma internacional.
Esta Norma Internacional proporciona recomendaciones y explicaciones; no
especifica los requisitos. Esta Norma Internacional está destinado a ser utilizado en
conjunción con la norma ISO / IEC 27001: 2013 y la ISO / IEC 27002: 2013, pero no
tiene la intención de modificar y / o reducir los requisitos especificados en la norma
ISO / IEC 27001: 2013 o las recomendaciones de ISO / IEC 27002: 2013.
Reivindicación de la conformidad con esta Norma Internacional no es apropiada.
(org, www.iso.org, 2010)
ISO/IEC 27004 MÉTRICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN.
Esta Norma Internacional proporciona orientación sobre el desarrollo y uso de las
medidas y la medición con el fin de evaluar la eficacia de un sistema de gestión de
seguridad de la información en práctica (SGSI) y controles o grupos de controles,
como se especifica en la norma ISO / IEC 27001.
Esta norma es aplicable a todos los tipos y tamaños de organización. (org,
www.iso.org, 2009)
ISO/IEC 27005 GESTIÓN DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN.
Esta Norma Internacional proporciona directrices para la gestión de riesgos de
seguridad de la información.
Esta norma es compatible con los conceptos generales especificados en la norma
ISO / IEC 27001 y está diseñado para ayudar a la ejecución satisfactoria de
seguridad de la información basado en un enfoque de gestión de riesgos.
34
El conocimiento de los conceptos, modelos, procesos y terminologías que se
describen en la norma ISO / IEC 27001 y la ISO / IEC 27002 es importante para una
comprensión completa de esta Norma Internacional.
Esta Norma Internacional es aplicable a todo tipo de organizaciones (por ejemplo,
las empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro), que tienen la intención de gestionar los riesgos que podrían comprometer la
seguridad de información de la organización. (org, www.iso.org, 2011)
ISO/IEC 27006 REQUISITOS ESPECÍFICOS PARA LA CERTIFICACIÓN DE UN
SGSI.
Esta norma internacional especifica los requisitos y proporciona una guía para los
organismos que realizan la auditoría y certificación de un sistema de gestión de
seguridad de la información (SGSI), además de los requisitos contenidos en la
norma ISO / IEC 17021 y la ISO / IEC 27001. Está destinado principalmente para
apoyar la acreditación de los organismos de certificación que ofrecen la certificación
del SGSI.
Los requisitos contenidos en esta norma deben ser demostrada en términos de
competencia y fiabilidad por parte de cualquier organismo que proporciona la
certificación de SGSI, y las orientaciones contenidas en esta Norma Internacional
proporciona interpretación adicional de estos requisitos para cualquier organismo
que proporciona la certificación del SGSI.
NOTA Esta Norma Internacional puede ser utilizada como un documento de criterios
para la acreditación, la evaluación por pares u otros procesos de auditoría. (org,
www.iso.org, 2011), (org, www.iso.org, 2015)
35
ISO/IEC 27007 GUÍA PARA AUDITAR UN SGSI.
Esta Norma Internacional proporciona orientación sobre la gestión de un sistema de
gestión de seguridad de la información (SGSI) programa de auditoría, en la
realización de las auditorías y de la competencia de los auditores ISMS, además de
las orientaciones contenidas en la norma ISO 19011.
Esta Norma Internacional es aplicable a aquellos que necesitan comprender o
realizar auditorías internas o externas de un SGSI o para gestionar un programa de
auditoría SGSI. (org, www.iso.org, 2011)
SOFTWARE DE ADMINISTRACIÓN Y GESTIÓN
El software de administración es un sistema informático encargado de llevar a cabo
todas las tareas referidas a la administración de una empresa, mediante sistemas
de información en forma de base de datos que resultan sumamente útiles y
fundamentales para la resolución de diferentes problemas.
El software de administración más conocido que suelen utilizar la mayoría de las
grandes empresas, de denomina “Sistema de básicos de conocimientos” y se
destacan por estar fabricados de manera tal, que se encuentran preparados para
hacerle frente a cualquier tipo de situación de riesgo que una usuario no pueda
resolver. Estos software de administración, son capaces de almacenar un cantidad
innumerable de información que se refiere no solo a las posibles soluciones que se
pueden aplicar en cada problema que surja durante el desarrollo de las actividades
de una empresa, sino que también posee el mismo conocimiento de cómo
administrar correctamente cada sector de una empresa.
Estas serán las encargadas de guiar a los altos ejecutivos en aquellos casos donde
se deben tomar decisiones que determinen el rumbo que adoptara la empresa.
36
MARCO CONCEPTUAL
SEGURIDAD DE LA INFORMACION
La seguridad de la información son los mecanismos procedimentales o normativos
adoptados por una entidad con el fin de asegurar la información considerada como
sensible para la organización, entre estos pueden hallarse las políticas, los
procedimientos documentados, los comités, las auditorias, los informes , el
gobierno, etc. Estos mecanismos pueden ser preventivos o correctivos de acuerdo
al tipo de amenaza o de incidente a tratar.
SEGURIDAD INFORMATICA
La seguridad informática a diferencia de hace referencia a todos los mecanismos
técnicos usados para la protección de la información y garantizar la confidencialidad,
integridad y disponibilidad.
SOFTWARE
Conjunto de programas, instrucciones y reglas informáticas para ejecutar ciertas
tareas en una computadora, algunas otras definiciones lo definen como la parte
intangible de una computadora que se encarga de realizar o llevar a cabo
instrucciones ordenadas de forma sistemática escritas en un lenguaje de máquina.
(software, s.f.)
HARDWARE
En computación, término inglés que hace referencia a cualquier componente físico
tecnológico, que trabaja o interactúa de algún modo con la computadora. No sólo
incluye elementos internos como el disco duro, disquetera, sino que también hace
37
referencia al cableado, circuitos, gabinete, etc. e incluso hace referencia a
elementos externos como la impresora, el mouse, el teclado, el monitor y demás
periféricos. (hadware, s.f.)
SISTEMA OPERATIVO
Es un programa, definido como el más importante utilizados por las computadoras.
Este software coordina y dirige servicios y aplicaciones que utiliza el usuario. Esto
quiere decir que este programa permite que el resto de los programas funcionen ya
que permite que se reconozcan ciertas conexiones, la seguridad de la computadora,
realizar controles, envíos, etc. Los más utilizados son Windows, Linux, OS/2 y DOS.
(operativo, s.f.)
¿PARA QUÉ SIRVE UN SISTEMA OPERATIVO?
Los S.O. permiten que otros programas puedan utilizarlo de apoyo para poder
funcionar. Es por ello que a partir del sistema utilizado podrán ser instalados ciertos
programas y otros no. Pueden ser clasificados según la cantidad de tareas que
pueden realizar de manera simultánea, según la cantidad de usuario que pueden
utilizar los programas, el tiempo en el que actúan, este puede ser real o no, entre
otras clasificaciones posibles.
El sistema operativo posee tres componentes esenciales. Estos hacen referencia a
los paquetes de software que permiten la interacción con el hardware.
En primer lugar pueden ser mencionados los sistemas de archivos, que como bien
lo indica su nombre es el registro de archivos, estos adquieren una estructura
arbórea.
38
En segundo lugar se encuentran aquellos componentes que permiten la
interpretación de los comandos. Estos tienen como función comunicar las órdenes
dadas por el usuario en un lenguaje que el hardware pueda interpretar, sin que aquel
que de las órdenes conozca dicho lenguaje.
El último componente a mencionar es el núcleo. El mismo permite el funcionamiento
en cuestiones básicas como la comunicación, entrada y salida de datos, gestión de
procesos y de la memoria entre otros.
LICENCIA
Las licencias son básicamente un contrato entre el autor del programa y el usuario,
y comprenden una serie de términos y cláusulas que el usuario deberá cumplir para
usar el mismo.
Esto rige en todos los programas, comerciales, o libres y gratuitos, pero en este
último caso, las condiciones siempre están a favor del usuario final. (licencia, s.f.)
SOFTWARE LIBRE O FREE SOFTWARE
Es un software disponible para cualquiera que desee utilizarlo, copiarlo y distribuirlo,
ya sea en su forma original o con modificaciones. La posibilidad de modificaciones
implica que el código fuente está disponible. Si un programa es libre, puede ser
potencialmente incluido en un sistema operativo también libre. Es importante no
confundir software libre con software gratis, porque la libertad asociada al software
libre de copiar, modificar y redistribuir, no significa gratuidad. Existen programas
gratuitos que no pueden ser modificados ni redistribuidos. (licencia, s.f.)
39
COPYLEFT
La mayoría de las licencias usadas en la publicación de software libre permite que
los programas sean modificados y redistribuidos. Estas prácticas están
generalmente prohibidas por la legislación internacional de copyright, que intenta
impedir que alteraciones y copias sean efectuadas sin la autorización del o los
autores. Las licencias que acompañan al software libre hacen uso de la legislación
de copyright para impedir la utilización no autorizada, pero estas licencias definen
clara y explícitamente las condiciones bajo las cuales pueden realizarse copias,
modificaciones y redistribuciones, con el fin de garantizar las libertades de modificar
y redistribuir el software registrado. A esta versión de copyright, se le da el nombre
de copyleft. (licencia, s.f.)
GPL
La Licencia Pública General GNU (GNU General Public License GPL) es la licencia
que acompaña los paquetes distribuidos por el Proyecto GNU, más una gran
variedad de software que incluye el núcleo del sistema operativo Linux. La
formulación de GPL es tal que en vez de limitar la distribución del software que
protege, llega hasta impedir que este software sea integrado en software propietario.
La GPL se basa en la legislación internacional de copyright, lo que debe garantizar
cobertura legal para el software licenciado con GPL. (licencia, s.f.)
BSD
La licencia BSD cubre las distribuciones de software de Berkeley Software
Distribución, además de otros programas. Ésta es una licencia considerada
'permisiva', ya que impone pocas restricciones sobre la forma de uso, alteraciones
y redistribución del software. El software puede ser vendido y no hay obligaciones
de incluir el código fuente. Esta licencia garantiza el crédito a los autores del
40
software pero no intenta garantizar que las modificaciones futuras permanezcan
siendo software libre. (licencia, s.f.)
FREEWARE
El término freeware no posee una definición ampliamente aceptada, pero es
utilizada para programas que permiten la redistribución pero no la modificación, y
que incluyen su código fuente. Estos programas no son software libre.
Es un programa gratuito. Sin embargo, no es libre. En este tipo de licencia el autor
puede restringir su programa al uso empresarial, redistribución no autorizada,
modificación por usuarios y otro tipo de restricciones. (Ejemplos: Internet Explorer,
Adobe Flash Player, Windows Live Messenger). (licencia, s.f.)
SHAREWARE
Shareware es el software disponible con el permiso para que sea redistribuido, pero
su utilización implica el pago. Generalmente, el código fuente no se encuentra
disponible, y por lo tanto es imposible realizar modificaciones.
Es un programa distribuido gratuitamente, pero por tiempo limitado o con algunos
recursos restringidos. A través del pago de un valor definido por el autor del
programa, se puede obtener el registro del programa o la versión integral con todos
los recursos. Abarca las licencias trial y demo.
SOFTWARE PROPIETARIO
El Software propietario es aquel cuya copia, redistribución o modificación están, en
alguna medida, prohibidos por su propietario. Para usar, copiar o redistribuir, se
debe solicitar permiso al propietario o pagar.
41
INFORMACION
Es el conjunto de datos organizados y procesados que constituyen mensajes,
instrucciones, operaciones, funciones y cualquier tipo de actividad que tenga lugar
en relación con un ordenador. El procesador del mismo requiere de información
para cumplir una orden recibida, y toda tarea computacional implica el intercambio
de un dato informativo de un lugar a otro. Esto no sólo ocurre en forma electrónica
al interior del ordenador, sino que también es natural a las acciones que un usuario
cualquiera ejecute con una computadora. (informacion, s.f.)
ACTIVO DE INFORMACION
Es todo aquello que las entidades consideran importante o de alta validez para la
misma ya que puede contener importante información como lo puede ser Bases de
Datos con usuarios, contraseñas, números de cuentas, etc. seria critico que a una
entidad que maneja alta información confidencial los intrusos pudieran acceder a
ella afectando así la confidencialidad, la disponibilidad y la integridad de dicha
información por eso algunas de tantas entidades adoptan un plan de seguridad para
los activos de información y así no tener la desgracia de que los datos se fuguen,
se modifiquen o se pierdan. (informacion a. d., s.f.)
BASE DE DATOS
Es una serie de datos organizados y relacionados entre sí, los cuales son
recolectados y explotados por los sistemas de información de una empresa o
negocio en particular. (Sánchez, 2004), (Valdés, 2007)
42
CARACTERÍSTICAS
Entre las principales características de los sistemas de base de datos podemos
mencionar:
Independencia lógica y física de los datos.
Redundancia mínima.
Acceso concurrente por parte de múltiples usuarios.
Integridad de los datos.
Consultas complejas optimizadas.
Seguridad de acceso y auditoría.
Respaldo y recuperación.
Acceso a través de lenguajes de programación estándar. (Sánchez, 2004), (Valdés,
2007)
SISTEMA DE GESTIÓN DE BASE DE DATOS (SGBD)
Los Sistemas de Gestión de Base de Datos (en inglés DataBase Management
System) son un tipo de software muy específico, dedicado a servir de interfaz entre
la base de datos, el usuario y las aplicaciones que la utilizan. Se compone de un
lenguaje de definición de datos, de un lenguaje de manipulación de datos y de un
lenguaje de consulta. (Valdés, 2007)
VENTAJAS DE LAS BASES DE DATOS
CONTROL SOBRE LA REDUNDANCIA DE DATOS:
Los sistemas de ficheros almacenan varias copias de los mismos datos en ficheros
distintos. Esto hace que se desperdicie espacio de almacenamiento, además de
provocar la falta de consistencia de datos.
43
En los sistemas de bases de datos todos estos ficheros están integrados, por lo que
no se almacenan varias copias de los mismos datos. Sin embargo, en una base de
datos no se puede eliminar la redundancia completamente, ya que en ocasiones es
necesaria para modelar las relaciones entre los datos. (Valdés, 2007)
CONSISTENCIA DE DATOS:
Eliminando o controlando las redundancias de datos se reduce en gran medida el
riesgo de que haya inconsistencias. Si un dato está almacenado una sola vez,
cualquier actualización se debe realizar sólo una vez, y está disponible para todos
los usuarios inmediatamente. Si un dato está duplicado y el sistema conoce esta
redundancia, el propio sistema puede encargarse de garantizar que todas las copias
se mantienen consistentes. (Valdés, 2007)
COMPARTIR DATOS:
En los sistemas de ficheros, los ficheros pertenecen a las personas o a los
departamentos que los utilizan. Pero en los sistemas de bases de datos, la base de
datos pertenece a la empresa y puede ser compartida por todos los usuarios que
estén autorizados. (Valdés, 2007)
MANTENIMIENTO DE ESTÁNDARES:
Gracias a la integración es más fácil respetar los estándares necesarios, tanto los
establecidos a nivel de la empresa como los nacionales e internacionales. Estos
estándares pueden establecerse sobre el formato de los datos para facilitar su
intercambio, pueden ser estándares de documentación, procedimientos de
actualización y también reglas de acceso. (Sánchez, 2004), (Valdés, 2007)
44
MEJORA EN LA INTEGRIDAD DE DATOS:
La integridad de la base de datos se refiere a la validez y la consistencia de los
datos almacenados. Normalmente, la integridad se expresa mediante restricciones
o reglas que no se pueden violar. Estas restricciones se pueden aplicar tanto a los
datos, como a sus relaciones, y es el SGBD quien se debe encargar de mantenerlas.
(Valdés, 2007)
MEJORA EN LA SEGURIDAD:
La seguridad de la base de datos es la protección de la base de datos frente a
usuarios no autorizados. Sin unas buenas medidas de seguridad, la integración de
datos en los sistemas de bases de datos hace que éstos sean más vulnerables que
en los sistemas de ficheros. (Valdés, 2007), (Sánchez, 2004)
MEJORA EN LA ACCESIBILIDAD A LOS DATOS:
Muchos SGBD proporcionan lenguajes de consultas o generadores de informes que
permiten al usuario hacer cualquier tipo de consulta sobre los datos, sin que sea
necesario que un programador escriba una aplicación que realice tal tarea. (Valdés,
2007)
MEJORA EN LA PRODUCTIVIDAD:
El SGBD proporciona muchas de las funciones estándar que el programador
necesita escribir en un sistema de ficheros. A nivel básico, el SGBD proporciona
todas las rutinas de manejo de ficheros típicas de los programas de aplicación.
45
El hecho de disponer de estas funciones permite al programador centrarse mejor en
la función específica requerida por los usuarios, sin tener que preocuparse de los
detalles de implementación de bajo nivel. (Valdés, 2007)
MEJORA EN EL MANTENIMIENTO:
En los sistemas de ficheros, las descripciones de los datos se encuentran inmersas
en los programas de aplicación que los manejan.
Esto hace que los programas sean dependientes de los datos, de modo que un
cambio en su estructura, o un cambio en el modo en que se almacena en disco,
requiere cambios importantes en los programas cuyos datos se ven afectados.
Sin embargo, los SGBD separan las descripciones de los datos de las aplicaciones.
Esto es lo que se conoce como independencia de datos, gracias a la cual se
simplifica el mantenimiento de las aplicaciones que acceden a la base de datos.
(Valdés, 2007)
AUMENTO DE LA CONCURRENCIA:
En algunos sistemas de ficheros, si hay varios usuarios que pueden acceder
simultáneamente a un mismo fichero, es posible que el acceso interfiera entre ellos
de modo que se pierda información o se pierda la integridad. La mayoría de los
SGBD gestionan el acceso concurrente a la base de datos y garantizan que no
ocurran problemas de este tipo. (Valdés, 2007)
MEJORA EN LOS SERVICIOS DE COPIAS DE SEGURIDAD:
Muchos sistemas de ficheros dejan que sea el usuario quien proporcione las
medidas necesarias para proteger los datos ante fallos en el sistema o en las
46
aplicaciones. Los usuarios tienen que hacer copias de seguridad cada día, y si se
produce algún fallo, utilizar estas copias para restaurarlos.
En este caso, todo el trabajo realizado sobre los datos desde que se hizo la última
copia de seguridad se pierde y se tiene que volver a realizar. Sin embargo, los SGBD
actuales funcionan de modo que se minimiza la cantidad de trabajo perdido cuando
se produce un fallo. (Valdés, 2007)
DESVENTAJAS DE LAS BASES DE DATOS
COMPLEJIDAD:
Los SGBD son conjuntos de programas que pueden llegar a ser complejos con una
gran funcionalidad. Es preciso comprender muy bien esta funcionalidad para poder
realizar un buen uso de ellos. (Valdés, 2007)
COSTE DEL EQUIPAMIENTO ADICIONAL:
Tanto el SGBD, como la propia base de datos, pueden hacer que sea necesario
adquirir más espacio de almacenamiento. Además, para alcanzar las prestaciones
deseadas, es posible que sea necesario adquirir una máquina más grande o una
máquina que se dedique solamente al SGBD. Todo esto hará que la implantación
de un sistema de bases de datos sea más cara. (Sánchez, 2004), (Valdés, 2007)
VULNERABLE A LOS FALLOS:
El hecho de que todo esté centralizado en el SGBD hace que el sistema sea más
vulnerable ante los fallos que puedan producirse. Es por ello que deben tenerse
copias de seguridad (Backup). (Valdés, 2007)
47
TIPOS DE CAMPOS
Cada Sistema de Base de Datos posee tipos de campos que pueden ser similares
o diferentes. Entre los más comunes podemos nombrar:
Numérico: entre los diferentes tipos de campos numéricos podemos encontrar
enteros “sin decimales” y reales “decimales”.
Booleanos: poseen dos estados: Verdadero “Si” y Falso “No”.
Memos: son campos alfanuméricos de longitud ilimitada. Presentan el
inconveniente de no poder ser indexados.
Fechas: almacenan fechas facilitando posteriormente su explotación. Almacenar
fechas de esta forma posibilita ordenar los registros por fechas o calcular los días
entre una fecha y otra.
Alfanuméricos: contienen cifras y letras. Presentan una longitud limitada (255
caracteres).
Autoincrementables: son campos numéricos enteros que incrementan en una
unidad su valor para cada registro incorporado. Su utilidad resulta: Servir de
identificador ya que resultan exclusivos de un registro. (Valdés, 2007)
TIPOS DE BASE DE DATOS
Entre los diferentes tipos de base de datos, podemos encontrar los siguientes:
48
MySql: es una base de datos con licencia GPL basada en un servidor. Se
caracteriza por su rapidez. No es recomendable usar para grandes volúmenes de
datos. (Sánchez, 2004) (Valdés, 2007)
PostgreSql y Oracle: Son sistemas de base de datos poderosos. Administra muy
bien grandes cantidades de datos, y suelen ser utilizadas en intranets y sistemas de
gran calibre. (Valdés, 2007)
Access: Es una base de datos desarrollada por Microsoft. Esta base de datos, debe
ser creada bajo el programa Access, el cual crea un archivo .mdb con la estructura
ya explicada. (Valdés, 2007)
Microsoft SQL Server: es una base de datos más potente que Access desarrollada
por Microsoft. Se utiliza para manejar grandes volúmenes de informaciones.
(Sánchez, 2004) (Valdés, 2007)
¿QUÉ SON LOS CASOS DE USO?
Los casos de uso son una técnica para especificar el comportamiento de un sistema:
“un caso de uso es una secuencia de interacciones entre un sistema y alguien que
usa alguno de sus servicios.”
Todo sistema de software ofrece a su entorno – aquellos que lo usan – una serie de
servicios. Un caso de uso es una forma de expresar como alguien o algo externo a
un sistema lo usa. Cuando decimos “alguien o algo” hacemos referencia a que los
sistemas son usados no solo por usuarios, sino también por otros sistemas de
hardware y software. (Ceria, 2001)
49
1.5 METODOLOGÍA DE LA INVESTIGACIÓN
Para realizar la ejecución de este proyecto se tendrá en cuanta la metodología
scrum y xp, las cuales están enfocadas en el desarrollo de software.
METODOLOGÍA XP (PROGRAMACIÓN EXTREMA)
De la metodología xp se tendrá en cuenta las siguientes características:
Desarrollo interactivo e incremental: pequeñas mejoras unas tras otras.
Pruebas unitarias continuas, frecuentemente repetidas y automatizadas, incluyendo
pruebas de regresión. Se aconseja escribir el código de la prueba antes de la
codificación.
Corrección de todos los errores antes de añadir nueva funcionalidad. Hacer
entregas frecuentes.
Refactorización del código, es decir reescribir ciertas partes del código para
aumentar su legibilidad y mantenibilidad pero sin modificar su comportamiento. Las
pruebas han de garantizar que en la refactorización no se ha producido ningún fallo.
Propiedad del código compartida: en vez de dividir la responsabilidad en el
desarrollo de cada módulo en grupos de trabajo distintos, este método promueve el
que todo el personal pueda corregir y extender cualquier parte del proyecto. Las
frecuentes pruebas de regresión garantizan que los posibles errores serán
detectados.
Simplicidad en el código. Es la mejor manera de que las cosas funcionen. Cuando
todo funcione se podrá añadir funcionalidad si es necesario.
Xp describe cuatro actividades básicas que son realizadas durante el proceso de
desarrollo de software: (XP, s.f.)
50
Codificación
Pruebas
Escucha (similar al levantamientos de requisitos)
Diseño
METODOLOGÍA SCRUM
De la metodología scrum se tendrá en cuenta las siguientes características:
Enfatiza valores y prácticas de gestión, sin pronunciarse sobre requerimientos,
prácticas de desarrollo, implementación y demás cuestiones técnicas
Hace uso de Equipos auto-dirigidos y auto-organizados, puede ser aplicado
teóricamente a cualquier contexto en donde un grupo de gente necesita trabajar
junta para lograr una meta común.
Desarrollo de software iterativo, incremental basado en prácticas agiles
Iteraciones de treinta días; aunque se pueden realizar con más frecuencia, estas
iteraciones, conocidas como Sprint, Dentro de cada Sprint se denomina el Scrum
Master al Líder de Proyecto quien llevará a cabo la gestión de la iteración
Se convocan diariamente un “Scrum Daily Meeting” el cual representa una reunión
de avance diaria de no más de 15 minutos con el propósito de tener realimentación
sobre las tareas de los recursos y los obstáculos que se presentan. En la cual se
responden preguntas como: ¿Qué has hecho desde el último encuentro? ¿Qué
obstáculos hay para cumplir la meta? ¿Qué harás antes del próximo encuentro?
(SCRUM, s.f.)
1.6 ESTUDIOS DE SISTEMAS PREVIOS
A pesar de que se plantea el desarrollo de una aplicación como solución al problema
antes descrito, debe aclararse que en la actualidad existen aplicaciones en el
51
mercado que han sido diseñadas para este propósito; sin embargo este trabajo
plantea el desarrollo de una herramienta que si bien permite la administración de un
SGSI también debe decirse que se basa en un modelo totalmente diferente e
innovador con respecto a las demás herramientas del mercado. la herramienta se
publicará bajo una licencia GPL, es decir, será totalmente gratuita de libre uso y
disponible para todas aquellas organizaciones que requieran de una solución para
el seguimiento y administración de la seguridad de la información, otro valor
agregado es que estará disponible en idioma español, esto resulta en un beneficio
para los usuarios dado que la mayoría de las herramientas han sido creadas por
empresas especializadas en desarrollo de software ubicadas en países de habla
inglesa y por ende las aplicaciones se encuentran en el mismo idioma.
Adicionalmente el desarrollo incluirá un módulo de apoyo para la generación
automática de documentos borradores de procesos, procedimientos y políticas, es
decir que si el usuario selecciona un control específico de la norma, la aplicación
generará un esquema o bosquejo del documento requerido para cumplimiento del
mismo, este contendrá la información básica del procedimiento. Sin embargo el
usuario debe ajustarlo según lo requerido por la organización y posteriormente
realizar el trámite de aprobación por la dirección antes de cargarlo a la herramienta
como evidencia en el módulo de implementación. Por último la aplicación incluirá un
módulo grafico que corresponde al tablero de control de la implementación, este
permitirá visualizar gráficamente el nivel de implementación con respecto al
cumplimiento de la norma, esta evaluación se basa o realiza teniendo en cuenta
puntualmente las evidencias o documentos del SGSI, es decir la norma exige una
documentación que permite validar o evidenciar el cumplimiento de determinados
aspectos, SGSIADMIN validará la existencia de los documentos y con base a esto
generará graficas como informes, que permitirán visualizar el porcentaje de
cumplimiento e identificar los ítems aún pendientes de ser este el caso. Aun así
como conocimiento general se dan a conocer algunas de las soluciones existentes
en el mercado y sus características más destacadas:
52
Ges Consultor
Ges Consultor es una solución de software muy robusta desarrollada para apoyar a
empresas en la administración de diferentes aspectos relacionados con la
seguridad, los servicios, protección de datos y la calidad. La aplicación enfocada
especialmente a la ISO 27001 es denominada GesConsultor GRC.
Ofrece una plataforma que integra todos los elementos necesarios para la
implantación y gestión completa del ciclo de vida de un SGSI, así como otros
requisitos de cumplimiento de aspectos legales, normativos, contractuales y con
terceras partes que sean de aplicación al Alcance del Sistema de Gestión.
Adicionalmente proporciona capacidades diferenciadoras en su motor de
cumplimiento para incorporar las nuevas versiones de las Normas y, con ello,
asegurar el mantenimiento y evolución de los proyectos basados en las mismas. La
plena integración con la Capa Operativa de GesConsultor GRC ofrece una colección
diferencial de automatismos que permiten conseguir niveles máximos de calidad en
la implementación, mantenimiento y evolución del SGSI. Así, se minimizan las
cargas internas de trabajo, sistematizando las operaciones y controles relacionados
con la Seguridad TIC y enlazando directamente con los requerimientos de ISO/IEC
27001 (Monitorización, Métricas e Indicadores, Incidentes, Seguridad Gestionada,
Vulnerabilidades, Formación, Gestión de Recursos, etc.). (GESDATOS Software,
(s.f))
53
ILUSTRACIÓN 3 GES|CONSULTOR
FUENTE: (gesconsultor, s.f.)
Global Suite
Global suite es una suite de aplicaciones que se complementan o integran para
ofrecer una completa solución de administración de sistemas de gestión, gestión
documental, gestión de incidentes, etc. Sin embargo contiene un módulo específico
para la administración de sistemas de seguridad denominada GlobalSUITE –
Information Security.
Este es el software web que permite cubrir el ciclo completo de análisis,
implantación, gestión y mantenimiento de la norma ISO 27001:2013. Está disponible
54
en múltiples versiones adaptadas a las necesidades de las Multinacionales y
Grandes Empresas, Administraciones
Públicas y PYMES. La versatilidad del software hace que cumpla con los
requerimientos más complejos de una forma asequible e intuitiva, podrá realizar el
proceso de Análisis y Gestión de Riesgos enfocado tanto a procesos como a
activos, así como documentar y mantener actualizada la Declaración de
Aplicabilidad alineada con los riesgos detectados y los procedimientos
documentales correspondientes. (globalsgsi, s.f.)
Características principales de GlobalSUITE
Análisis diferencial (GAP Analysis)
Definición de Servicios y Procesos
Inventario de Activos
Análisis y Gestión de Riesgos
Gestión de Controles
Configuración de las dimensiones de seguridad
Configuración de metodologías para el cálculo de los riesgos
Configuración de metodologías para la madurez de controles
Declaración de aplicabilidad
Gestión de Incidencias de Seguridad
Publicación de Encuestas de Activos y Riesgos
Cuadro de Mando
Planes de Formación y Auditorías
Gestor Documental
Gestor de Informes
Gestión de Proyectos
Integración con los sistemas de la organización Interconexión con otros
sistemas y software ya existentes en la organización
55
Históricos y trazabilidad en el tiempo
RM Studio
Software RM Studio es una solución dinámica que combina la gestión de riesgos y
la gestión de continuidad del negocio en una sola. Es una herramienta fácil de usar
y simplifica la gestión del riesgo operacional e implementación de un SGSI
permitiendo la implementación de estratégicas reguladas a través de un marco de
aplicación de procedimientos que permiten gestionar riesgos y delinear la
planificación de recuperación del negocio. RM Studio es una aplicación con las
características de gran ayuda para las entidades y los administradores.
Algunas de ellas son el ahorro de tiempo y muchas opciones de personalización
que se adapten a las necesidades de la organización. (riskmanagementstudio, s.f.)
ILUSTRACIÓN 4 ADMINISTRACIÓN DE RIESGOS
FUENTE: (riskmanagementstudio, s.f.)
56
ILUSTRACIÓN 5 TRATAMIENTO DE RIESGOS
FUENTE: (riskmanagementstudio, s.f.)
EventLog Analizer – Manage Engine
Eventlog Analizer es una herramienta que ayuda a las compañías a dar
cumplimiento con algunos de los controles exigidos por la norma ISO 27001,
específicamente los A12.4.1, A12.4.2 y A12.4.3 que hacen referencia al
almacenamiento y administración de eventos como evidencia. Adicionalmente
también apoyan los controles A9.2.1, A9.2.5 y A9.4.2 que previenen accesos no
autorizados a sistemas y servicios. (manageengine, s.f.)
57
ILUSTRACIÓN 6 MANTÉNGASE Y CUMPLA CON LA NORMA ISO 27001 REQUISITOS CON EVENTLOG ANALYZER
FUENTE: (manageengine, s.f.)
Soft Expert
Soft Expert es una compañía que desarrolló y distribuye una solución completa
llamada SoftExpert Excellence Suite que se compone de varios módulos cada uno
de ellos diseñado con el propósito de apoyar determinadas actividades de la
implementación del SGSI (softexpert, s.f.). Estos se distribuyen de la siguiente
forma:
58
Módulo Requisito Normativo
SE Action Plan
Mantener el plan de acción de seguridad de la información.
Mantener registro de eventos y acciones del SGSI.
Implementar acciones de mejora en el SGSI.
Tomar acciones correctivas y preventivas cuando sea apropiado.
Colocar en práctica las lecciones aprendidas en experiencias anteriores.
Usar acciones correctivas y preventivas para mejorar continuamente el SGSI.
Establecer un procedimiento de acciones preventivas para evitar la ocurrencia de potenciales no conformidades.
SE Audit
Verificar si los requisitos de seguridad están siendo atendidos.
Ejecutar auditorías internas del SGSI de forma regular.
Establecer y documentar un procedimiento de auditoría interna del SGSI.
Definir la frecuencia de auditorías internas.
Programar auditorías internas en los intervalos definidos.
Dejar claro el alcance de cada auditoría del SGSI.
Especificar los criterios de auditoría de cada auditoría interna.
Definir el método de auditoría del SGSI.
Seleccionar a los auditores del SGSI.
Conducir auditorías internas regularmente, auditando controles, procesos y procedimientos del SGSI.
Utilizar los resultados de la auditoría para mejorar continuamente el SGSI.
SE BI
Identificación, colecta y análisis de datos apropiados para demostrar la adecuación, la eficacia y la mejora continúa del SGSI.
SE
Competence
Asegurar que todos los colaboradores vinculados al SGSI posean las competencias para ejecutar las actividades de su responsabilidad.
59
Mantener registros que evidencien la competencia de los colaboradores que ejecutan actividades que impacten en el SGSI.
SE Document
Definir la política del SGSI de la organización
Definir documentos que registren tomas de decisión
Documentar el SGSI de la organización.
Proteger y controlar la documentación del SGSI.
Establecer un procedimiento para controlar los documentos del SGSI.
Establecer y mantener registros que apoyen al SGSI de la organización.
Aplicar una política de seguridad para mejorar continuamente la eficacia del SGSI.
SE Incident
Identificar no conformidades.
Definir un procedimiento para toma de acción sobre incidentes de seguridad y no conformidades.
Utilizar el procedimiento de gestión de incidentes de la organización para identificar no conformidades.
SE
Performance
Asegurar que los cambios en el SGSI de la organización estén alcanzando los resultados esperados.
Demostrar que la alta gestión apoya y acompaña la implantación, operación, monitoreo, análisis crítico, mantenimiento y mejora continua del SGSI.
Asegurar que la alta gestión analice críticamente al SGSI a intervalos regulares.
Examinar el desempeño y eficacia del SGSI.
Analizar si el SGSI necesita cambios o mejoras.
Evaluar si la política de seguridad precisa cambios o mejoras.
Durante el análisis crítico, generar decisiones y tomas de acción para mitigar eventos que afecten el desempeño del SGSI.
Analizar y examinar:
Resultados de gestiones anteriores;
Mediciones anteriores del SGSI;
La situación de acciones de corrección tomadas anteriormente;
60
Oportunidades de mejora del SGSI;
Cambios que puedan afectar al SGSI
SE Problem
Analysis
Investigar y eliminar no conformidades y sus causas.
Tomar acciones de acompañamiento para asegurar que no conformidades y sus causas hayan sido eliminadas en el tiempo previsto.
Verificar si acciones correctivas sobre las causas fueron tomadas.
Reportar los resultados de las verificaciones de eficacia de las acciones.
Utilizar procedimientos para análisis e identificación de causas raíz.
SE Process
Administrar la autorización de la alta gestión para implementación y operación del SGSI.
Administrar los recursos del SGSI de la organización.
Definir procedimientos de seguridad de la organización.
Revisar regularmente el SGSI.
Comunicar cambios del SGSI a las partes interesadas.
Identificar las necesidades de recursos para el SGSI
Proveer los recursos necesarios para el SGSI.
Identificar los recursos necesarios para que los procesos de seguridad de la información sustenten los requisitos de negocio.
Aplicar el proceso de mejora continua para aumentar la eficacia del SGSI.
SE Project
Establecer programas y portafolios para educación y concienciación de la importancia de la seguridad de la información.
Planificar actividades y proyectos de auditoría interna.
SE Risk
Definir el abordaje utilizado para el análisis de riesgo.
Identificar los riesgos de seguridad de la organización.
Analizar y evaluar los riesgos.
Identificar y evaluar las acciones y opciones de tratativa de riesgos.
Definir controles y objetivos de control para tratar riesgos.
Asegurar que la alta gestión apruebe riesgos residuales.
61
Preparar una declaración de aplicabilidad que liste los controles y objetivos específicos de la organización.
Desarrollar un plan de riesgos para administrar los riesgos de seguridad de la información.
Implantar un plan de tratativa de riesgos.
Implantar controles de seguridad.
Utilizar procedimientos y controles para monitorear y analizar el SGSI.
Revisar la evaluación de los riesgos regularmente.
SE Training
Establecer programas de entrenamiento.
Evaluar la eficacia de entrenamiento de los colaboradores del SGSI.
Asegurar que los colaboradores tengan conciencia de la importancia de las actividades del SGSI.
TABLA 1 FUNCIONALIDADES SOFTEXPERT
FUENTE: (softexpert, s.f.)
62
PARTE II DESARROLLO DE LA INVESTIGACIÓN
CAPÍTULO 2 PUNTOS DE VISTA DE ARQUITECTURA
2.1 PUNTO DE VISTA DE LA ORGANIZACIÓN
ILUSTRACIÓN 7 METAMODELO PUNTO DE VISTA ORGANIZACIÓN
FUENTE: (archimate, s.f.)
El punto de vista de la organización se centra en la organización (interna) de una
empresa, un departamento, una red de empresas, o de otra entidad organizacional.
Es posible a los modelos presentes en este punto de vista como diagramas de
bloques anidados, pero también de un modo más tradicional, como organigramas.
El punto de vista de la organización es muy útil en la identificación de competencias,
autoridad y responsabilidades en una organización.
PUNTO DE VISTA ORGANIZACIÓN
Partes interesadas Empresa, proceso y dominio arquitectos, gerentes, empleados, accionistas
Temas a tratar Identificación de capacidades, autoridad, y responsabilidades
Objetivo Diseñar, decidir, informar
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 7)
TABLA 2 DESCRIPCIÓN DEL PUNTO DE VISTA DE ORGANIZACIÓN
63
ILUSTRACIÓN 8 MODELO PUNTO DE VISTA ORGANIZACIÓN
FUENTE: ELABORACIÓN PROPIA
Teniendo en cuenta el grafico anterior el servicio SGSIADMIN se localiza en la web,
por el cual tendrán acceso, juntamente se le han definido tres actores que son:
Desarrollador, Auditor Interno y Auditor externo, lo cuales intervendrán en el
desarrollo del producto e interacción del mismo.
64
2.2 PUNTO DE VISTA COOPERACIÓN DE ACTOR
ILUSTRACIÓN 9 METAMODELO PUNTO DE VISTA DE COOPERACIÓN DE ACTOR
FUENTE: (archimate, s.f.)
El punto de vista de agente o actor de cooperación se centra en las relaciones de
los actores entre sí y su entorno. Un ejemplo común de esto es el "diagrama de
contexto", que pone a una organización en su entorno, que consta de partes
externas tales como clientes, proveedores y otros socios comerciales. Es muy útil
en la determinación de colaboraciones y dependencias externas y muestra la
cadena de valor o red en que opera el agente o actor.
Otro uso importante del punto de vista de agente o actor de cooperación es mostrar
cómo una serie de actores de negocio cooperantes y/o componentes de la
aplicación juntos realizar un proceso de negocios. Por lo tanto, en este punto de
65
vista, ambos actores de negocio o funciones y componentes de la aplicación pueden
ocurrir.
Continuando con el desglose del negocio, definiremos en este punto como tendrán
relación los actores al servicio, y por medio de que interfaces harán interacción con
el servicio, como también cual será la colaboración para el desarrollo de este
servicio o producto.
PUNTO DE VISTA DE COOPERACIÓN DE ACTOR
Partes interesadas Arquitectos de la empresa, proceso y dominio
Temas a tratar Relaciones de los actores con su entorno
Objetivo Diseñar, decidir, informar
Nivel de abstracción Detalle
Aspectos Estructura (ver ilustración 9)
TABLA 3 DESCRIPCIÓN DE PUNTO DE VISTA DE ACTOR COOPERACIÓN
ILUSTRACIÓN 10 MODELO PUNTO DE VISTA COOPERACIÓN DE ACTOR
FUENTE: ELABORACIÓN PROPIA
66
2.3 PUNTO DE VISTA FUNCIÓN DE NEGOCIO
ILUSTRACIÓN 11 METAMODELO PUNTO DE VISTA FUNCIÓN DE NEGOCIO
FUENTE: (archimate, s.f.)
El punto de vista de negocio función muestra las funciones principales de una
organización y sus relaciones en términos de los flujos de información, valor o de
mercancías entre ellos. Las funciones de negocio se utilizan para representar los
aspectos más estables de la empresa en cuanto a las actividades primarias que
realiza, independientemente de cambios organizacionales o desarrollos
tecnológicos. Por lo tanto, la arquitectura de función de negocios de las empresas
que operan en el mismo mercado a menudo exhibe semejanzas cercanas. El punto
de vista de la función de negocio así ofrece una visión de alto nivel en las
operaciones generales de la empresa y puede utilizarse para identificar las
competencias necesarias, o para estructurar una organización según sus
actividades principales.
Se le asigna al rol un autor y en consecuente al rol se le asignan una variedad de
funciones, según sea la necesidad de la organización, y así mismo se refleja que
tipo de relación tiene las funciones unos con otros.
67
PUNTO DE VISTA DE LA FUNCIÓN DE NEGOCIO
Partes interesadas Arquitectos de la empresa, proceso y dominio
Temas a tratar Identificación de competencias, identificación de principales actividades, reducción de la complejidad
Objetivo Diseño
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 11)
TABLA 4 DESCRIPCIÓN DE PUNTO DE VISTA DE LA FUNCIÓN DE NEGOCIO
ILUSTRACIÓN 12 MODELO PUNTO DE VISTA FUNCIÓN DE NEGOCIO
FUENTE: ELABORACIÓN PROPIA
68
2.4 PUNTO DE VISTA DE PROCESO DE NEGOCIO
ILUSTRACIÓN 13 METAMODELO PUNTO DE VISTA DE PROCESO DE
NEGOCIO
FUENTE: (archimate, s.f.)
El punto de vista de proceso de negocio se utiliza para mostrar la estructura de alto
nivel y la composición de uno o más procesos de negocio. Junto a los procesos en
sí, este punto de vista contiene otros conceptos directamente relacionados, tales
como:
Los procesos de los servicios que ofrece un proceso de negocios hacia el
mundo exterior, mostrando cómo un proceso contribuye a la realización de
productos
69
De la empresa la cesión del negocio a los papeles, que da la penetración en las
responsabilidades de los actores
Asocia la información utilizada por el proceso de negocio, cada una de ellas
puede considerarse como un "sub vista" de la vista del proceso de negocio.
Una vez definidos las funciones pasamos a tomar los más relevantes, los cuales
definirán el eje del funcionamiento del producto, plasmando actividades individuales
que apoyan o se correlacionan con la actividad principal, por tanto serán aquellas
que permitirán llevar al proyecto de certificación a buen término.
PUNTO DE VISTA DEL PROCESO DE NEGOCIO
Partes interesadas Proceso y dominio arquitectos, gerentes operacionales
Temas a tratar Estructura de procesos de negocio, consistencia y completitud, responsabilidades
Objetivo Diseño
Nivel de abstracción Detalle
Aspectos Estructura (ver ilustración 13)
TABLA 5 DESCRIPCIÓN DE PUNTO DE VISTA DEL PROCESO DE NEGOCIO
ILUSTRACIÓN 14 MODELO PUNTO DE VISTA PROCESO DE NEGOCIO
FUENTE: ELABORACIÓN PROPIA
70
2.5 PUNTO DE VISTA COOPERACIÓN DE NEGOCIO
ILUSTRACIÓN 15 METAMODELO PUNTO DE VISTA COOPERACIÓN DE PROCESO DE NEGOCIO
FUENTE: (archimate, s.f.)
El punto de vista de la cooperación del proceso del negocio se utiliza para mostrar
las relaciones de uno o más procesos de negocios entre sí o con su entorno. Se
pueden ambos utilizar para crear un diseño de alto nivel de procesos de negocio
dentro de su contexto y para proporcionar un funcionamiento responsable de uno o
más procesos con penetración en sus dependencias. Aspectos importantes de la
cooperación de procesos de negocio son:
Las relaciones causales entre los procesos de negocio principal de la empresa
Mapeo de procesos de negocio en las funciones de negocio
71
Realización de servicios por procesos de negocio
Uso de datos compartidos
Cada uno de ellos puede considerarse como una "sub vista" de la vista de
cooperación de proceso de negocio.
Tanto el rol de auditor interno como el externo, son los encargados o quienes tienen
como parámetros fijados en colaborar con el proceso principal de negocio, que es
certificar la empresa en la norma 27001:2013 indicando los puntos que se
encuentran en calidad de cumplimiento y los que están en proceso de cumplir.
PUNTO DE VISTA COOPERACIÓN PROCESO DE NEGOCIO
Partes interesadas Proceso y dominio arquitectos, gerentes operacionales
Temas a tratar Estructura de procesos de negocio, consistencia y completitud, responsabilidades
Objetivo Diseñar, decidir
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 15)
TABLA 6 DESCRIPCIÓN DEL PUNTO DE VISTA DE NEGOCIO PROCESO COOPERACIÓN
ILUSTRACIÓN 16 MODELO PUNTO DE VISTA COOPERACIÓN DE PROCESO
DE NEGOCIO
FUENTE. ELABORACIÓN PROPIA
72
2.6 PUNTO DE VISTA DE PRODUCTO
ILUSTRACIÓN 17 METAMODELO PUNTO DE VISTA DE PRODUCTO
FUENTE: (archimate, s.f.)
El punto de vista de producto representa el valor que estos productos ofrecen a los
clientes o terceros externos involucrados y muestra la composición de uno o más
servicios de productos en cuanto a la Constituyente (negocio o aplicación) y s
asociados u otros acuerdos. También puede utilizarse para mostrar las interfaces
(canales) a través de la cual este producto se ofrece y los eventos asociaron con el
producto. Un punto de vista del producto se suele utilizar en desarrollo de productos
para diseño de un producto de composición de los servicios existentes o mediante
la identificación de que nuevos servicios deben crearse para este producto, dado el
valor que un cliente espera de él. Entonces puede servir como entrada para los
73
arquitectos del proceso de negocio y otros que necesitan para diseñar los procesos
y TIC realización de estos productos.
El propósito de este producto es cubrir los valores de integridad, disponibilidad y
confidencialidad, los cuales son principios de seguridad y manejo de la información
la cual se controla y se supervisa por medio de la norma 27001:2013, cuyo propósito
es generar conciencia y habito en el manejo de información.
La cual certifica o da el aval de certificación es el autor que cumpla con el rol de
auditor externo, el cual deberá que supervisar el cumplimiento, la verificación y
evaluación de cada Item que posee la norma o que este implementando la empresa.
PUNTO DE VISTA DE PRODUCTO
Partes interesadas Proceso y dominio arquitectos, gerentes operacionales
Temas a tratar Estructura de procesos de negocio, consistencia y completitud, responsabilidades
Objetivo Diseñar, decidir
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 17)
TABLA 7 DESCRIPCIÓN DEL PUNTO DE VISTA DEL PRODUCTO
ILUSTRACIÓN 18 MODELO PUNTO DE VISTA DE PRODUCTO
FUENTE. ELABORACIÓN PROPIA
74
2.7 PUNTO DE VISTA DE COMPORTAMIENTO DE APLICACIÓN
ILUSTRACIÓN 19 METAMODELO PUNTO DE VISTA COMPORTAMIENTO DE
APLICACIÓN
FUENTE: (archimate, s.f.)
El punto de vista de comportamiento de aplicación describe el comportamiento
interno de una aplicación; por ejemplo, como se da cuenta de uno o más servicios
de aplicación. Este punto de vista es útil en el diseño el comportamiento principal
de aplicaciones, o en la identificación funcional se traslapan entre diferentes
aplicaciones.
Para manejar el producto se subdividen en tres partes, que serían el planear, hacer
y verificar, al módulo de verificar tendrá la participación del rol de auditor interno y
externo que se encargaran de evaluar y certificar que lo asignado en los otros
módulos cumpla con lo que se está necesitando en la empresa.
75
PUNTO DE VISTA DE COMPORTAMIENTO APLICACIÓN
Partes interesadas Arquitectos de la empresa, proceso, aplicación y dominio
Temas a tratar Estructura, relaciones y dependencias entre aplicaciones, consistencia e integridad, reducción de la complejidad
Objetivo Diseñar
Nivel de abstracción Coherencia y detalles
Aspectos Estructura (ver ilustración 19)
TABLA 8 DESCRIPCIÓN DE PUNTO DE VISTA DE COMPORTAMIENTO DE
APLICACIÓN
ILUSTRACIÓN 20 MODELO PUNTO DE VISTA DE COMPORTAMIENTO DE
APLICACIÓN
FUENTE. ELABORACIÓN PROPIA
76
2.8 PUNTO DE VISTA DE COOPERACIÓN DE APLICACIÓN
ILUSTRACIÓN 21 METAMODELO PUNTO DE VISTA DE COOPERACIÓN DE
APLICACIÓN
FUENTE: (archimate, s.f.)
El punto de vista de cooperación aplicación describe las relaciones entre los
componentes de aplicaciones en términos de los flujos de información entre ellos, o
en cuanto a los servicios que ofrecen y utilizan. Este punto de vista se suele utilizar
para crear un resumen del paisaje de la aplicación de una organización. Este punto
de vista también se utiliza para expresar la cooperación (interna) o la orquestación
de servicios de apoyo a la ejecución de un proceso de negocios.
Debido a que tendrá la participación de un auditor externo y la del interno junto un
desarrollador se generan dos formas de interactuar con la aplicación que para el
auditor externo tenemos el front office y para el auditor interno y el desarrollador
está el back office que será donde se generen los módulos de consulta y donde
77
reposaran los documentos que se carguen al aplicativo, o según sea la utilidad que
se le disponga, ya que dependerá de la empresa como manejara el aplicativo.
PUNTO DE VISTA DE COOPERACIÓN APLICACIÓN
Partes interesadas Arquitectos de la empresa, proceso, aplicación y dominio
Temas a tratar Estructura, relaciones y dependencias entre aplicaciones, consistencia e integridad, reducción de la complejidad
Objetivo Diseñar
Nivel de abstracción Coherencia y detalles
Aspectos Estructura (ver ilustración 21)
TABLA 9 APLICACIÓN DESCRIPCIÓN DE PUNTO DE VISTA DE COOPERACIÓN
ILUSTRACIÓN 22 MODELO PUNTO DE VISTA COOPERACIÓN DE
APLICACIÓN
FUENTE: ELABORACIÓN PROPIA
78
2.9 PUNTO DE VISTA DE ESTRUCTURA DE APLICACIÓN
ILUSTRACIÓN 23 METAMODELO PUNTO DE VISTA ESTRUCTURA DE
APLICACIÓN
FUENTE: (archimate, s.f.)
El punto de vista de aplicación estructura muestra la estructura de uno o más
aplicaciones o componentes. Este punto de vista es útil en el diseño y comprensión
de la estructura principal de las aplicaciones o componentes y los datos asociados;
por ejemplo, para romper la estructura del sistema en construcción, o para identificar
los componentes de aplicación obsoleta que son adecuados para la migración e
integración.
Previamente los componentes básicos generables serian el de verificación,
cumplimiento y el de evaluación, en donde reposaran las observaciones y
documentos del caso según como maneje la información o desee aplicar la norma.
79
PUNTO DE VISTA DE APLICACIÓN ESTRUCTURA
Partes interesadas Arquitectos de la empresa, proceso, aplicación y dominio
Temas a tratar Estructura, relaciones y dependencias entre aplicaciones, consistencia e integridad, reducción de la complejidad
Objetivo Diseñar
Nivel de abstracción Detalle
Aspectos Estructura (ver ilustración 23)
TABLA 10 DESCRIPCIÓN DE PUNTO DE VISTA DE ESTRUCTURA DE
APLICACIÓN
ILUSTRACIÓN 24 MODELO PUNTO DE VISTA ESTRUCTURA DE APLICACIÓN
FUENTE: ELABORACIÓN PROPIA
80
2.10 PUNTO DE VISTA DE USO DE APLICACIÓN
ILUSTRACIÓN 25 METAMODELO PUNTO DE VISTA DE USO DE APLICACIÓN
FUENTE: (archimate, s.f.)
El punto de vista de uso de aplicaciones se describe cómo se utilizan las
aplicaciones para soportar uno o más procesos de negocio, y la forma en que son
utilizados por otras aplicaciones. Se puede utilizar en el diseño de una aplicación
mediante la identificación de los servicios requeridos por los procesos de negocio y
otras aplicaciones, o en el diseño de los procesos de negocio mediante la
descripción de los servicios que están disponibles. Por otra parte, ya que identifica
las dependencias de los procesos de negocio en las aplicaciones, puede ser útil
para los gerentes operativos responsables de estos procesos.
El punto central o el punto fuerte de la aplicación es poder certificar la norma en la
empresa o actividad que se genere, el uso de la aplicación se basa en que la
81
evaluación es donde podría ingresar el auditor externo para certificar de que si se
está cumpliendo y que está cumpliendo de lo propuesto.
PUNTO DE VISTA DE USO DE APLICACIÓN
Partes interesadas Arquitectos de la empresa, proceso, aplicación y dominio
Temas a tratar Consistencia y completitud, reducción de la complejidad
Objetivo Diseñar, decidir
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 25)
TABLA 11 DESCRIPCIÓN DE PUNTO DE VISTA DE USO DE APLICACIÓN
ILUSTRACIÓN 26 MODELO PUNTO DE VISTA DE USO DE APLICACIÓN
FUENTE: ELABORACIÓN PROPIA
82
2.11 PUNTO DE VISTA DE INFRAESTRUCTURA
ILUSTRACIÓN 27 METAMODELO PUNTO DE VISTA DE INFRAESTRUCTURA
FUENTE: (archimate, s.f.)
El punto de vista de infraestructura contiene los elementos de infraestructura
hardware y software de apoyo a la capa de aplicación, tales como dispositivos
físicos, redes o software del sistema (por ejemplo, sistemas operativos, bases de
datos y middleware).
Se estipula tener un hosting donde repose el aplicativo web, por el cual será el único
medio de acceso, para realizar interacción con los módulos estipulados a crear, o
existentes.
83
PUNTO DE VISTA DE USO DE APLICACIÓN
Partes interesadas Arquitectos de infraestructura, gerentes operacionales
Temas a tratar Estabilidad, seguridad, las dependencias, los costos de la infraestructura
Objetivo Diseñar
Nivel de abstracción Detalle
Aspectos Estructura (ver ilustración 27)
TABLA 12 DESCRIPCIÓN DEL PUNTO DE VISTA DE INFRAESTRUCTURA
ILUSTRACIÓN 28 MODELO PUNTO DE VISTA DE INFRAESTRUCTURA
FUENTE: ELABORACIÓN PROPIA
84
2.12 PUNTO DE VISTA USO DE INFRAESTRUCTURA
ILUSTRACIÓN 29 METAMODELO PUNTO DE VISTA USO DE INFRAESTRUCTURA
FUENTE: (archimate, s.f.)
El punto de vista de uso de la infraestructura muestra qué aplicaciones son
compatibles con la infraestructura de hardware y software: los servicios de
infraestructura son entregados por los dispositivos; redes y software del sistema se
proporcionan a las aplicaciones. Este punto de vista desempeña un papel
importante en el análisis de rendimiento y escalabilidad, ya que se relaciona la
infraestructura física con el mundo lógico de las aplicaciones. Es muy útil en la
determinación de los requisitos de rendimiento y calidad en la infraestructura basada
en las demandas de las distintas aplicaciones que lo utilizan.
85
Internamente el aplicativo, permitirá interacción al auditor interno para que este
supervise por los módulos existentes y o se vayan a crear por medio del
desarrollador, el auditor externo solo se encargara por medio de la evaluación
indicar que han cumplido y como lo han cumplido.
PUNTO DE VISTA DE USO DE INFRAESTRUCTURA
Partes interesadas Arquitectos de infraestructura, gerentes operacionales
Temas a tratar Dependencias, rendimiento, escalabilidad
Objetivo Diseñar
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 29)
TABLA 13 DESCRIPCIÓN DE PUNTO DE VISTA DE USO DE
INFRAESTRUCTURA
ILUSTRACIÓN 30 MODELO PUNTO DE VISTA USO DE INFRAESTRUCTURA
FUENTE: ELABORACIÓN PROPIA
86
2.13 PUNTO DE VISTA IMPLEMENTACIÓN Y ORGANIZACIÓN
ILUSTRACIÓN 31 METAMODELO PUNTO DE VISTA DE ORGANIZACIÓN E IMPLEMENTACIÓN
FUENTE: (archimate, s.f.)
La implementación y despliegue de vista muestra cómo una o más aplicaciones se
realizan en la infraestructura. Comprende la asignación de aplicaciones (lógicos) y
componentes en los artefactos (físicos), como Enterprise Java Beans y el mapeo de
la información utilizada por estas aplicaciones y componentes en la infraestructura
de almacenamiento de información subyacente; por ejemplo, tablas de base de
datos u otros archivos. Vistas de implementación juegan un papel importante en el
análisis de rendimiento y escalabilidad, ya que se relacionan con la infraestructura
física el mundo lógico de las aplicaciones. En análisis de riesgos y seguridad, vistas
de despliegue se utilizan para identificar, por ejemplo, los riesgos y dependencias
críticas.
87
Se tiene como herramienta de desarrollo phpruner pero ya será decisión del
desarrollador y de la empresa escoger el método de desarrollo del aplicativo lo que
se desea es que posea los medios necesarios donde se realice la aplicación y
cumpla con cada punto de la norma, o los que haya implementado en la empresa.
PUNTO DE VISTA DE USO DE ORGANIZACIÓN E IMPLEMENTACIÓN
Partes interesadas Infraestructura y aplicaciones arquitectos, gerentes operacionales
Temas a tratar Dependencias, seguridad, riesgos
Objetivo Diseñar
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 31)
TABLA 14 DESCRIPCIÓN PUNTO DE VISTA DE ORGANIZACIÓN E IMPLEMENTACIÓN
ILUSTRACIÓN 32 MODELO PUNTO DE VISTA DE ORGANIZACIÓN E IMPLEMENTACIÓN
FUENTE: ELABORACIÓN PROPIA
88
2.14 PUNTO DE VISTA DE ESTRUCTURA DE INFORMACIÓN
ILUSTRACIÓN 33 METAMODELO PUNTO DE VISTA ESTRUCTURA DE
INFORMACIÓN
FUENTE: (archimate, s.f.)
El punto de vista de la estructura de la información es comparable a los modelos
tradicionales de información creados en el desarrollo de casi cualquier sistema de
información. Muestra la estructura de la información utilizada en la empresa o en un
proceso de negocio específico o una aplicación, en términos de tipos de datos o
estructuras de clase (orientado a objetos).
Además, puede mostrar cómo se representa la información a nivel de negocios a
nivel de aplicación en la forma de las estructuras de datos utilizados allí, y cómo
éstos son asignados a la infraestructura subyacente ; por ejemplo, por medio de un
esquema de base de datos.
89
PUNTO DE VISTA ESTRUCTURA DE INFORMACIÓN
Partes interesadas Arquitectos de la información y de dominio
Temas a tratar Estructura y dependencias de los datos y la información utilizada , consistencia e integridad
Objetivo Diseñar
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 33)
TABLA 15 DESCRIPCIÓN PUNTO DE VISTA ESTRUCTURA DE INFORMACIÓN
ILUSTRACIÓN 34 MODELO PUNTO DE VISTA ESTRUCTURA DE
INFORMACIÓN
FUENTE: ELABORACIÓN PROPIA
90
2.15 PUNTO DE VISTA DE REALIZACIÓN DE SERVICIO
ILUSTRACIÓN 35 METAMODELO PUNTO DE VISTA DE REALIZACIÓN DEL
SERVICIO
FUENTE: (archimate, s.f.)
El punto de vista Realización de servicio se utiliza para mostrar cómo uno o más
servicios de negocios se realizan por los procesos subyacentes (y a veces por
componentes de la aplicación).
De este modo, se forma el puente entre el negocio de punto de vista productos y la
vista de procesos de negocio. La cual proporciona una "visión desde el exterior " en
uno o más procesos de negocio.
91
PUNTO DE VISTA DE REALIZACIÓN DEL SERVICIO
Partes interesadas Proceso y dominio arquitectos, productos y gerentes operativos
Temas a tratar Valor añadido de los procesos de negocio , la coherencia y la integridad, responsabilidades
Objetivo Diseñar, decidir
Nivel de abstracción Coherencia
Aspectos Estructura (ver ilustración 35)
TABLA 16 DESCRIPCIÓN PUNTO DE VISTA DE REALIZACIÓN DEL SERVICIO
ILUSTRACIÓN 36 MODELO PUNTO DE VISTA DE REALIZACIÓN DEL
SERVICIO
FUENTE: ELABORACIÓN PROPIA
92
2.16 PUNTO DE VISTA CAPAS
El punto de vista en capas de imágenes de carias capas y aspectos de una
arquitectura empresarial en un diagrama. Hay dos categorías de capas, es decir
capas dedicadas y capa de servicios. Las capas son el resultado de la utilización de
la relación “agrupación” para una partición natural de todo el conjunto de objetos y
las relaciones que pertenecen a un modelo. La infraestructura, la aplicación, el
proceso y los actores / roles, capas que pertenecen a la primera categoría.
El principio estructural de tras de un punto de vista totalmente en capas es que cada
capa dedicada expone, por medio de la relación “realización”, una capa de servicios,
que son más adelante “usado por” la siguiente capa dedicada. Por lo tanto, podemos
separar fácilmente la estructura interna y la organización de una capa dedicada a
partir de su comportamiento observable externamente expresada como la capa de
servicio que da cuenta de la capa dedicada. El orden, numero, o la naturaleza de
estas capas no son fijos, pero en general una (más o menos) estratificación
completa y natural de un modelo ArchiMate deben contener la sucesión de capas
representadas en el modelo dado a continuación.
PUNTO DE VISTA CAPAS
Partes interesadas Empresas, procesos, aplicaciones, infraestructura y arquitectos de dominio
Temas a tratar Consistencia, reducción de la complejidad, impacto del cambio, flexibilidad
Objetivo Diseñar, decidir, informar
Nivel de abstracción Resumen
Aspectos Estructura (ver ilustración 37)
TABLA 17 DESCRIPCIÓN PUNTO DE VISTA CAPAS
FUENTE: (archimate, s.f.)
93
ILUSTRACIÓN 37 MODELO PUNTO DE VISTA CAPAS
FUENTE: ELABORACIÓN PROPIA
94
2.17 PUNTO DE VISTA IMPLICADOS
ILUSTRACIÓN 38 METAMODELO PUNTO DE VISTA IMPLICADOS
FUENTE: (archimate, s.f.)
El punto de vista de los implicados premite que el analista de modelo de los
actopres, los conductores internos y externos para el cambio y la evolucion
(enterminos de fortalizas, debilidades, oportunidades y amenazas) de estos
controladores. Tambien, se pueden describir los lazos a las metas iniciales (alto
nivel) que abordaran los temas a tratar y la evaluaciones.
Estos objetivos constituyen la base de los requisitos de ingenieria de procesos,
incluyendo la derivacion de los requisitos que dan cuenta los objetivos, analisis de
contirbucion, conflicto y el refinamiento de la meta.
95
PUNTO DE VISTA IMPLICADOS
Partes interesadas Empresas, procesos, aplicaciones, infraestructura y arquitectos de dominio
Temas a tratar Misión de la estrategia y la arquitectura, motivación
Objetivo Diseñar, decidir, informar
Nivel de abstracción Coherencia, detalles
Aspectos Estructura (ver ilustración 38)
TABLA 18 DESCRIPCIÓN PUNTO DE VISTA IMPLICADOS
ILUSTRACIÓN 39 MODELO PUNTO DE VISTA IMPLICADOS
FUENTE: ELABORACIÓN PROPIA
96
2.18 PUNTO DE VISTA REALIZACIÓN OBJETIVOS
ILUSTRACIÓN 40 METAMODELO PUNTO DE VISTA REALIZACIÓN DE
OBJETIVOS
FUENTE: (archimate, s.f.)
El punto de vista de realización de meta permite a un diseñador para el refinamiento
de metas (alto nivel) en objetivos más concretos y el refinamiento de metas más
concretas en cuanto a requisitos o restricciones que describen las propiedades que
se necesitan para alcanzar los objetivos del modelo.
El refinamiento de los objetivos en subobjetivos es modelando la relación de
agregación; el refinamiento de los objetivos en los requisitos es modelado usando
la relación de realización.
97
PUNTO DE VISTA REALIZACIÓN DE OBJETIVOS
Partes interesadas Interesados, gerentes, empresas y arquitectos TIC, analistas de negocios y administrador de requisitos
Temas a tratar Misión de la estrategia y la arquitectura, tácticas de motivación
Objetivo Diseñar, decidir
Nivel de abstracción Coherencia, detalles
Aspectos Estructura (ver ilustración 40)
TABLA 19 DESCRIPCIÓN PUNTO DE VISTA REALIZACIÓN DE OBJETIVOS
ILUSTRACIÓN 41 MODELO PUNTO DE VISTA DE REALIZACIÓN DE
OBJETIVOS
FUENTE: ELABORACIÓN PROPIA
98
2.19 PUNTO DE VISTA CONTRIBUCIÓN
ILUSTRACIÓN 42 METAMODELO PUNTO DE VISTA CONTRIBUCIÓN
FUENTE: (archimate, s.f.)
El punto de vista contribución objetivo permite que un diseñador o analista modelar
las relaciones de influencia entre los objetivos y los requisitos. La vista resultante
puede utilizarse para analizar el impacto que tienen las metas mutuamente o para
detectar conflictos entre los objetivos y las partes interesadas.
Por lo general, este punto de vista puede utilizarse después de los objetivos, en
cierta medida, se han refinado en subobjetivos y, posiblemente, en los requisitos.
Por lo tanto, las relaciones de agregación y realización también pueden ser
mostradas en este punto de vista.
99
PUNTO DE VISTA CONTRIBUCIÓN
Partes interesadas Interesados, gerentes, empresas y arquitectos TIC, analistas de negocios y administrador de requisitos
Temas a tratar Misión de la estrategia y la arquitectura, tácticas de motivación
Objetivo Diseñar, decidir
Nivel de abstracción Coherencia, detalles
Aspectos Estructura (ver ilustración 42)
TABLA 20 DESCRIPCIÓN PUNTO DE VISTA CONTRIBUCIÓN
ILUSTRACIÓN 43 MODELO PUNTO DE VISTA CONTRIBUCIÓN
FUENTE: ELABORACIÓN PROPIA
100
2.20 PUNTO DE VISTA PRINCIPIOS
ILUSTRACIÓN 44 METAMODELO PUNTO DE VISTA DE PRINCIPIOS
FUENTE: (archimate, s.f.)
El punto de vista de principios permite al analista o diseñador modelar los principios
que son relevantes para el problema de diseño, incluyendo los objetivos que
motivan estos principios. Además, se pueden modelar las relaciones entre los
principios y sus objetivos.
101
PUNTO DE VISTA PRINCIPIOS
Partes interesadas Interesados, gerentes, empresas y arquitectos TIC, analistas de negocios y administrador de requisitos
Temas a tratar Misión de la estrategia y la arquitectura, tácticas de motivación
Objetivo Diseñar, decidir, informar
Nivel de abstracción Coherencia, detalles
Aspectos Estructura (ver ilustración 44)
TABLA 21 DESCRIPCIÓN PUNTO DE VISTA DE PRINCIPIOS
ILUSTRACIÓN 45 MODELO PUNTO DE VISTA DE PRINCIPIOS
FUENTE: ELABORACIÓN PROPIA
102
2.21 PUNTO DE VISTA REALIZACIÓN DE REQUERIMIENTOS
ILUSTRACIÓN 46 METAMODELO PUNTO DE VISTA REALIZACIÓN DE
REQUERIMIENTOS
FUENTE: (archimate, s.f.)
El punto de vista de realización de requerimientos permite al diseñador elaborar el
modelo por medio de elementos centrales, tales como agentes de negocios,
servicios de negocios, procesos de negocios, como también el servicio de
aplicaciones, componentes de la aplicación, etc.... Por lo general, los requisitos
resultan desde el punto de vista del refinamiento de la meta.
Además, este punto de vista puede utilizarse para refinar los requisitos en requisitos
más detallados. La relación de agregación se utiliza para este propósito
103
PUNTO DE VISTA DE REALIZACIÓN DE REQUERIMIENTOS
Partes interesadas Arquitectos TIC, gerentes, analistas de negocios y administrador de requisitos
Temas a tratar Misión de la estrategia y la arquitectura, tácticas de motivación
Objetivo Diseñar, decidir, informar
Nivel de abstracción Coherencia, detalles
Aspectos Estructura (ver ilustración 46)
TABLA 22 DESCRIPCIÓN PUNTO DE VISTA DE REALIZACIÓN DE
REQUERIMIENTOS
ILUSTRACIÓN 47 MODELO PUNTO DE VISTA DE REALIZACIÓN DE
REQUERIMIENTOS
FUENTE: ELABORACIÓN PROPIA
104
2.22 PUNTO DE VISTA MOTIVACIÓN
ILUSTRACIÓN 48 METAMODELO PUNTO DE VISTA MOTIVACIÓN
FUENTE: (archimate, s.f.)
El punto de vista de la motivación permite que el diseñador o analista modele el
aspecto de motivación, sin concentrarse en ciertos elementos dentro de este
aspecto; presentando una visión completa o parcial de los elementos de todos los
procesos del negocio.
PUNTO DE VISTA MOTIVACIÓN
Partes interesadas Arquitectos TIC, gerentes, analistas de negocios y administrador de requisitos
Temas a tratar Estrategia de arquitectural, tácticas de motivación
Objetivo Diseñar, decidir, informar
Nivel de abstracción Resumen, coherencia, detalles
Aspectos Estructura (ver ilustración 48)
TABLA 23 DESCRIPCIÓN PUNTO DE VISTA MOTIVACIÓN
105
ILUSTRACIÓN 49 MODELO PUNTO DE VISTA MOTIVACIÓN
FUENTE: ELABORACIÓN PROPIA
106
2.23 PUNTO DE VISTA PROYECTO
ILUSTRACIÓN 50 METAMODELO PUNTO DE VISTA DE PROYECTO
FUENTE: (archimate, s.f.)
Un punto de vista del proyecto se utiliza principalmente para la gestión del cambio
de la arquitectura del modelo. La “arquitectura” del proceso de migración de una
situación vieja (actual arquitectura de la empresa del estado) a una nueva situación
deseada (arquitectura objetivo estatal de la empresa) tiene importantes
consecuencias en el medio y a lo largo plazo, la estrategia de crecimiento y la
posterior toma de decisiones. Algunas de las cuestiones que deben tenerse en
cuenta por los modelos diseñados en este punto de vista son:
Desarrollo de arquitectura de la empresa hecha y derecha de toda la
organización es una tarea que puede requerir años.
Todos los sistemas y servicios deben permanecer operativos cueste lo que
cueste, las posibles modificaciones y cambios de la arquitectura de la
empresa durante el cambio.
El proceso de cambio tenga que tratar con los estándares de tecnología
(seguridad, datos, correo, etc…).
107
El cambio tiene serias consecuencias para el usuario, la cultura, la forma de
trabajo y la organización.
Además, hay varios aspectos de gobernabilidad que podrían restringir el proceso
de transmisión, como la cooperación interna y externa, gestión de cartera de
proyectos, gestión de proyectos, aspectos legales, financieros y planificación, etc…
PUNTO DE VISTA PROYECTO
Partes interesadas Empresa, arquitectos TIC y empleados, accionistas
Temas a tratar Visión de la arquitectural, políticas, motivación
Objetivo Diseñar, informar
Nivel de abstracción Resumen
Aspectos Estructura (ver ilustración 50)
TABLA 24 DESCRIPCIÓN PUNTO DE VISTA PROYECTO
ILUSTRACIÓN 51 MODELO PUNTO DE VISTA DE PROYECTO
FUENTE. ELABORACIÓN PROPIA
108
2.24 PUNTO DE VISTA MIGRACIÓN
ILUSTRACIÓN 52 METAMODELO PUNTO DE VISTA MIGRACIÓN
FUENTE: (archimate, s.f.)
El punto de vista de la migración implica modelos y conceptos que pueden utilizarse
para especificar la transición de una arquitectura existente a una arquitectura
deseada. Dado que el concepto de platea y brecha es descrito y colocado por medio
de la tabla a continuación.
PUNTO DE VISTA MIGRACIÓN
Partes interesadas Arquitectos de empresa, de proceso de aplicación, de infraestructura y de dominio, junto con empleados y gerentes
Temas a tratar Historia de modelos
Objetivo Diseñar, decidir, informar
Nivel de abstracción Resumen
Aspectos Estructura (ver ilustración 52)
TABLA 25 DESCRIPCIÓN PUNTO DE VISTA MIGRACIÓN
109
ILUSTRACIÓN 53 MODELO PUNTO DE VISTA MIGRACIÓN
FUENTE. ELABORACIÓN PROPIA
110
2.25 PUNTO DE VISTA IMPLEMENTACIÓN Y MIGRACIÓN
ILUSTRACIÓN 54 METAMODELO PUNTO DE VISTA DE MIGRACIÓN E
IMPLEMENTACIÓN
FUENTE: (archimate, s.f.)
La puesta en práctica del punto de vista de implementación y el punto de vista de
migración son usados para relacionar programas y proyectos a las partes de
arquitectura. Esta vista permite a los programas, proyectos y actividades en
términos de plateas sean realizados por medio de brechas y estos arrojen liberables.
111
PUNTO DE VISTA MIGRACIÓN
Partes interesadas Arquitecto TIC, empleados y gerentes
Temas a tratar Visión de la arquitectural, políticas, motivación
Objetivo Diseñar, informar
Nivel de abstracción Resumen
Aspectos Estructura (ver ilustración 54)
TABLA 26 DESCRIPCIÓN PUNTO DE VISTA DE MIGRACIÓN E IMPLEMENTACIÓN
ILUSTRACIÓN 55 MODELO PUNTO DE VISTA DE MIGRACIÓN E
IMPLEMENTACIÓN
FUENTE: ELABORACIÓN PROPIA
112
CAPÍTULO 3 PATRONES DE DISEÑO
3.1 PATRONES CREACIONALES
SINGLETON
ILUSTRACIÓN 56 METAMODELO PATRÓN SINGLETON
Fuente: (canarias, 2012)
Objetivo
Es asegurarse de que de una clase solo existe una instancia y que esta es accesible,
o mejor dicho, ofrecer un punto de acceso a ella.
Descripción
Se ve la oportunidad e implementar el patrón singleton en la plataforma SGSIAdmin
en módulo de logueo, para que este solo genere una instancia de logueo en la
plataforma y permita el control del uso que le del usuario al aplicativo, al igual que
también es posible registrar desde donde logueo y cuantas veces se logueo.
113
ILUSTRACIÓN 57 MODELO DEL PATRÓN SINGLETON
Fuente: Elaboración propia
FABRICA ABSTRACTA
ILUSTRACIÓN 58 METAMODELO PATRÓN FABRICA ABSTRACTA
Fuente: (canarias, 2012)
114
Objetivo
Proporciona una clase que delega la creación de una o más clases concretas con
el fin de entregar objetos específicos.
Descripción
Se ve la oportunidad de implementar el patrón fábrica abstracta, ya que por medio
de los procesos y la matriz de auditoria, ya que en estas debe reposar el seguimiento
de los factores que impactan cada actividad del negocio de la empresa que lo desee
implementar.
ILUSTRACIÓN 59 MODELO DEL PATRON FABRICA ABSTARCTA
Fuente: Elaboración propia
115
CONSTRUCTOR
ILUSTRACIÓN 60 METAMODELO PATRÓN CONSTRUCTOR
Fuente: (canarias, 2012)
Objetivo
Centraliza el proceso de creación de un objeto en un único punto, de tal forma que
el mismo proceso de construcción pueda crear representaciones diferentes.
Descripción
Se considera realizar este patrón en la revisión de la matriz de auditoria, por lo que
la auditoria o matriz de esta posee objetos de otros constructores, siendo este el
punto único de acceso por el cual se verán los registros que posean cada matriz
que sean creadas por el auditor interno. Y a la cual se le realiza el seguimiento y
trazabilidad de los factores implicados en cada actividad de la empresa que realice
la auditoria interna.
116
ILUSTRACIÓN 61 MODELO DEL PATRÓN CONSTRUCTOR
Fuente: Elaboración propia
MÉTODO FÁBRICA
ILUSTRACIÓN 62 METAMODELO PATRÓN MÉTODO FABRICA
Fuente: (canarias, 2012)
Objetivo
Define una interfaz para crear un objeto, pero deja que sean las subclases quienes
decidan que clases instanciar, permitiendo a estas la delegación de creación de
objetos.
117
Descripción
Se trabaja bajo la herramienta PHPRuner que se encarga de interpretar el manejo
de la base de datos y de ahí genera el sitio web con la funcionalidades necesarias
para el manejo de cada entidad que se encentre existente en la base de datos.
ILUSTRACIÓN 63 MODELO DEL PATRÓN MÉTODO FABRICA
PROTOTIPO
ILUSTRACIÓN 64 METAMODELO PATRÓN PROTOTIPO
Fuente: (canarias, 2012)
118
Objetivo
Crear objetos mediante clonación basados en una plantilla de objetos existentes.
Descripción
Se realiza este patrón en este punto y bajo los parámetros que el indica, según la
aplicación, donde él se ve reflejado es en la creación de matriz de procesos ya que
este por medio de proceso detalle trae todo la información que esta relacionada con
proceso como tal, y que junto a esta se encuentran asociados los riesgo y controles
que se le apliquen a este procesos.
ILUSTRACIÓN 65 MODELO DEL PATRÓN PROTOTIPO
119
3.2 PATRONES ESTRUCTURALES
ADAPTADOR
ILUSTRACIÓN 66 METAMODELO PATRÓN ADAPTADOR POR COMPOSICIÓN
ILUSTRACIÓN 67 METAMODELO PATRÓN ADAPTADOR POR HERENCIA
Fuente: (canarias, 2012)
120
Objeto
Permite trabajar juntas a clases con interfaces diferentes a través de la creación de
un objeto común mediante el que puedan comunicarse e interactuar.
Descripción
Este patrón se implementa de dos maneras en las cuales se ve involucrado el
auditor interno, en la creación y revisión de dos matrices de mucha importancia que
son la auditoria y la de riesgos en donde se establece que factores afectan y como
han afectado al cumplimiento de las actividades de la empresa o por lo menos los
procesos que involucren en la plataforma, a los cuales le hagan seguimiento.
ILUSTRACIÓN 68 MODELO PATRÓN DE ADAPTADOR POR HERENCIA
Fuente: Elaboración propia
121
ILUSTRACIÓN 69 MODELO DEL PATRÓN ADAPTADOR POR COMPOSICIÓN
Fuente: Elaboración propia
PUENTE
ILUSTRACIÓN 70 METAMODELO PATRÓN PUENTE
Fuente: (canarias, 2012)
122
Objetivo
Define una estructura de objeto abstracto con independencia de la implementación
con el fin de limitar el acoplamiento
Descripción
La ejecución de este patrón se ve reflejado en el momento de realizar la auditoria
y consigo la trazabilidad de os controles y procesos que conlleva la empresa,
haciendo de este una manera factible la revisión y evaluación de la auditoria.
ILUSTRACIÓN 71 MODELO DEL PATRÓN PUENTE
Fuente: Elaboración propia
123
COMPONENTE
ILUSTRACIÓN 72 METAMODELO PATRON COMPONENTE
Fuente: (canarias, 2012)
Objetivo
Facilita la creación de jerarquías de objetos donde cada objeto se puede tratar de
forma independiente o como conjunto de objetos anidados a través de la misma
interfaz.
Descripción
El ambiente más adecuado para demostrar la funcionalidad de este patrón es en el
repositorio en el que se encontraran con su debido código de asignación, el cual
facilitara la auditoria al momento de solicitar el reporte de los detalles de los
procesos, controles o impactos que se establezcan en la empresa siempre
siguiendo el lineamento del Core de negocio de la misma.
124
ILUSTRACIÓN 73 MODELO DEL PATRÓN COMPONENTE
DECORADOR
ILUSTRACIÓN 74 METAMODELO PATRÓN DECORADOR
Fuente: (canarias, 2012)
125
Objeto
Añade dinámicamente funcionalidad a un objeto. Permite no tener que crear
subclases incorporando la nueva funcionalidad, si no otras que implementan y se
asocian a la primera.
Descripción
La funcionalidad del decorador se manejó bastante en el uso de los css que son los
que le dan la acción dinámica a la página web y la que permite una vista agradable
al usuario que este logeado en la plataforma.
ILUSTRACIÓN 75 MODELO DEL PATRÓN DECORADOR
Fuente: Elaboración propia
126
FACHADA
ILUSTRACIÓN 76 METAMODELO PATRÓN FACHADA
Fuente: (canarias, 2012)
Objetivo
Proporciona una interfaz única para un conjunto de interfaces de in subsistema.
Define una interfaz de alto nivel que hace que el subsistema sea más fácil de usar.
Descripción
Este patrón está visto en cómo se encuentra organizado el aplicativo, en el cual se
definió un menú de interacción con unos sub ítems de manejo de las propiedades
de la norma, que pueden ser aplicables
ILUSTRACIÓN 77 MODELO DEL PATRÓN FACHADA
Fuente: Elaboración propia
127
PESO LIGERO
ILUSTRACIÓN 78 METAMODELO PATRÓN PESO LIGERO
Fuente: (canarias, 2012)
Objetivo
Facilita la reutilización de muchos objetos de “grano fino”, haciendo más eficiente la
utilización de grandes cantidades de objetos.
Descripción
Se estableció este patrón en el sentido de la manera de manejar el seguimiento de
los controles y el impacto de los riesgos que generen los artefactos que puedan
llegar a existir, como también ver la trazabilidad de que conformidades poseen los
controles a los responsables que deben llevar seguimiento de sus propios procesos.
128
ILUSTRACIÓN 79 MODELO DEL PATRÓN PESO LIGERO
Fuente: Elaboración propia
PROXY
ILUSTRACIÓN 80 METAMODELO PATRÓN PROXY
Fuente: (canarias, 2012)
129
Objeto
Una clase que permite operar con un objeto de otra clase exponiendo una o más de
sus interfaces.
Descripción
Se dispone este patrón en la función que cumple la matriz de auditoria ya que esta
abarca el detalle de cada proceso por medio del código de control y se revisa el
efecto que tienen los riesgos, en la ejecución de las tareas de esta labor
ILUSTRACIÓN 81 MODELO DEL PATRÓN PROXY
Fuente: Elaboración propia
3.3 PATRONES DE COMPORTAMIENTO
CADENA DE RESPONSABILIDADES
Objetivo
Evita acoplar el emisor de una petición a su receptor dando amas de un objeto la
posibilidad de responder a una petición.
130
ILUSTRACIÓN 82 METAMODELO PATRÓN CADENA DE
RESPONSABILIDADES
Fuente: (canarias, 2012)
Descripción
El patrón cadena de responsabilidades en el proyecto se detalla en la asignación de
permisos en el acceso a la plataforma web para la realización de las actividades,
que le sean asignadas por medio de la alta gerencia.
ILUSTRACIÓN 83 MODELO DEL PATRÓN CADENA DE RESPONSABILIDADES
Fuente: Elaboración propia
131
CAPÍTULO 4 DESARROLLO DE LA METODOLOGÍA
4.1 DETERMINACIÓN DE REQUERIMIENTOS
En esta sección se documentarán todos los mecanismos y resultados del proceso
de seguridad para identificar las necesidades que la herramienta debe satisfacer
para cumplir con el objetivo para el que se ha planteado incluyendo las
funcionalidades que se consideren.
Para el desarrollo de la aplicación, en primera instancia, procedió a realizarse una
identificación de requisitos funcionales y técnicos que satisficieran las necesidades
reales de los posibles usuarios de sistemas de gestión de seguridad de la
información, los siguientes requisitos funcionales y técnicos de la aplicación son:
REQUISITOS FUNCIONALES
La aplicación debe tener un sistema de protección o mecanismo de autenticación
que restrinja el acceso a usuarios no autorizados.
La aplicación debe tener manejo de perfiles o roles que ayuden a que algunas de
las funcionalidades solo sean usadas por usuarios autorizados.
La aplicación deberá permitir cargues masivos de información, especialmente en el
inventario de activos, el listado de controles, procesos y procedimientos de la
entidad y listado de riesgos.
La aplicación deberá permitir asignar riesgos y controles al listado de activos.
La aplicación debe contener un repositorio de documentos en él se debe permitir la
subida de documentos escaneados correspondientes a las políticas, procesos y
procedimientos firmadas y aprobadas por la alta dirección y el gobierno de
seguridad.
La aplicación debe permitir exportar datos a Excel para ser analizados más
fácilmente.
132
La aplicación debe permitir cambiar password únicamente para los roles de
administrador.
Debe existir la opción de ingresar como visitante para acceder a la información
pública y de consulta general al sistema.
Desde la aplicación podrán enviarse impresiones.
La aplicación debe tener una política para la gestión de contraseñas.
REQUISITOS TÉCNICOS
La aplicación debe poder acceder vía web.
La aplicación debe poder consultarse desde cualquier dispositivo (Tablet, Celular,
Computador Personal, Computador Portátil).
Debe poder visualizarse desde cualquiera de los navegadores web más comunes
tales como (Firefox, Internet Explorer, Google Chrome).
La aplicación de tener un segmento de ayuda en donde se tenga información del
uso del aplicativo.
La aplicación debe ser multiplataforma, es decir debe poder instalarse tanto en
sistemas Linux como Windows.
La aplicación debe ser compatible con las últimas versiones de PHP, Apache y
MySql.
Las claves de los usuarios de la aplicación deben almacenarse cifrados en la base
de datos.
133
4.2 CASOS DE USO
GESTIÓN DE USUARIOS
ILUSTRACIÓN 84 CASO DE USO GESTIONAR DE USUARIOS
ASIGNACIÓN DE ROL
ILUSTRACIÓN 85 CASO DE USO GESTIONAR ASIGNACIÓN ROL
134
CASO DE USO CREACIÓN DE USUARIOS
Aplicación SGSIADmin
Código 001 Nombre Gestionar usuarios
Versión 1.0
Caso de Uso
Descripción Creación y Modificación de usuarios en el Sistema
Actores Administrador.
Inicio
Precondiciones • Usuario Administrador
Curso Normal de Eventos
#
Actor Aplicación
1 El Administrador visualizara el formulario de Creación de usuarios.
2 El sistema ejecutara la ventana de los nuevos usuarios.
5 El administrador pedirá los datos de la usuario
6 El sistema ingresa los datos digitados por el administrador.
7 El administrador modificara los datos del usuario
8 El sistema permite Actualizar los datos por el administrador
TABLA 27 CASO DE USO GESTIÓN USUARIOS
CASOS DE USO ASIGNACIÓN ROL
Aplicación SGSIADmin
Código 002 Nombre Gestionar rol
Versión 1.0
Caso de Uso
Descripción Creación y Modificación de Rol
Actores Administrador
135
Inicio
Precondiciones • Usuario Administrador Creado
Curso Normal de Eventos
# Actor Aplicación
1 El administrador deberá ingresar al sistema
2 El sistema muestra la pantalla de rol
3 El administrador ingresa la información requerida
4 El sistema guarda la información de los roles
5 El administrador Modifica los nombres del Rol
6 El sistema Actualiza la información de los roles
TABLA 28 CASO DE USO GESTIÓN ROL
CASO DE USO GESTIONAR PERMISOS
Aplicación SGSIADmin
Código 003 Nombre Gestionar permisos
Versión 1.0
Caso de Uso
Descripción Asignación de Roles a los usuarios
Actores Administrador
Inicio
Precondiciones • Debe estar creado la usuario y el rol
Curso Normal de Eventos
# Actor Aplicación
1 El administrador consultara la existencia del rol y de la usuario
2 El sistema comprobara si el usuario y el rol existen.
3 El administrador seleccionara la usuario y el rol que deba asignar
4 El sistema asignara los roles a las usuarios seleccionadas
5 El administrador seleccionara la usuario y el rol que deba Eliminar
136
6 El sistema eliminara los roles a las usuarios seleccionadas
TABLA 29 CASO DE USO GESTIÓN PERMISOS
GESTIONAR CONTROLES
Aplicación SGSIADmin
Código 004 Nombre Gestionar controles
Versión 1.0
Caso de Uso
Descripción Creación de controles
Actores Auditor interno
Inicio
Precondiciones • Usuario Creado con permisos de auditor interno otorgado
Curso Normal de Eventos
# Actor Aplicación
1 El auditor interno deberá ingresar al sistema
2 El sistema muestra la pantalla de nuevos controles
3 El administrador ingresa la información requerida
4 El sistema guarda la información del control
5 El administrador Elimina el control seleccionado
6 El sistema Elimina la información del control
TABLA 30 CASO DE USO GESTIÓN CONTROLES
GESTIONAR RIESGOS
Aplicación SGSIADmin
Código 005 Nombre Gestionar riesgos
Versión 1.0
Caso de Uso
Descripción Creación de riesgos
Actores Auditor interno
137
Inicio
Precondiciones • Usuario Creado con permisos de auditor interno otorgado
Curso Normal de Eventos
# Actor Aplicación
1 El auditor interno deberá ingresar al sistema
2 El sistema muestra la pantalla de nuevos riesgos
3 El administrador ingresa la información requerida
4 El sistema guarda la información del riesgo
5 El administrador Elimina el riesgo seleccionado
6 El sistema Elimina la información del riesgo
TABLA 31 CASO DE USO GESTIÓN RIESGOS
GESTIÓN DE CONTROLES
ILUSTRACIÓN 86 CASO DE USO GESTIONAR CONTROL
138
GESTIÓN DE RIESGOS
ILUSTRACIÓN 87 CASO DE USO GESTIONAR RIESGO
GESTIONAR PROCESOS
Aplicación SGSIADmin
Código 006 Nombre Gestionar procesos
Versión 1.0
Caso de Uso
Descripción Creación de procesos
Actores Auditor interno
Inicio
Precondiciones • Usuario Creado con permisos de auditor interno otorgado
Curso Normal de Eventos
# Actor Aplicación
1 El auditor interno deberá ingresar al sistema
2 El sistema muestra la pantalla de nuevos procesos
3 El administrador ingresa la información requerida
139
4 El sistema guarda la información del proceso
5 El administrador Elimina el proceso seleccionado
6 El sistema Elimina la información del proceso
TABLA 32 CASO DE USO GESTIÓN DE PROCESOS
GESTIONAR NIVEL DE IMPACTO
Aplicación SGSIADmin
Código 007 Nombre Gestionar nivel de impacto
Versión 1.0
Caso de Uso
Descripción Creación nivel de impacto
Actores Auditor interno
Inicio
Precondiciones • Usuario Creado con permisos de auditor interno otorgado
Curso Normal de Eventos
# Actor Aplicación
1 El auditor interno deberá ingresar al sistema
2 El sistema muestra la pantalla de nuevos niveles de impacto
3 El administrador ingresa la información requerida
4 El sistema guarda la información del nivel de impacto
5 El administrador Elimina el control seleccionado
6 El sistema Elimina la información del nivel de impacto
TABLA 33 CASOS DE USO GESTIÓN NIVEL DE IMPACTO
GESTIONAR IMPACTO
Aplicación SGSIADmin
Código 008 Nombre Gestionar impacto
Versión 1.0
140
Caso de Uso
Descripción Creación de impacto
Actores Auditor interno
Inicio
Precondiciones • Usuario Creado con permisos de auditor interno otorgado
Curso Normal de Eventos
# Actor Aplicación
1 El auditor interno deberá ingresar al sistema
2 El sistema muestra la pantalla de nuevos impactos
3 El administrador ingresa la información requerida
4 El sistema guarda la información del impacto
5 El administrador Elimina el impacto seleccionado
6 El sistema Elimina la información del impacto
TABLA 34 CASO DE USO GESTIÓN DE IMPACTO
GESTIONAR NIVEL IMPACTO
ILUSTRACIÓN 88 CASO DE USO GESTIONAR IMPACTO
141
GESTIONAR IMPACTO
ILUSTRACIÓN 89 CASO DE USO GESTIONAR NIVEL IMPACTO
GESTIONAR PROCESOS
ILUSTRACIÓN 90 CASO DE USO GESTIONAR PROCESOS
142
Debido que en la parte de la vista de aplicación se describe algunos procedimientos
con lista base y otras no, esto es procedente a cada empresa que acceda a la
plataforma deba crear sus propios controles y matrices, dejando sin descripción la
parte de la actuación de un auditor externo para la plataforma ya que esta solo está
dispuesta para que él pueda verificar que cada control, proceso, riesgo o impacto
este enmarcado en el Core de negocio y cumpla con la norma Iso 27001 en la cual
indique que controles, estrategias y demás mitigaciones en la aparición del algún
riesgo se están aplicando y como se están evidenciado, los casos de uso que no se
van a explicar son de igual connotación que los anteriores que están explicados en
las tablas (30 a 34), para las cuales solo se dejaran la ilustración del caso de uso.
GESTIONAR CARGOS
ILUSTRACIÓN 91 CASO DE USO GESTIONAR CARGO
143
GESTIONAR DEPENDENCIAS
ILUSTRACIÓN 92 CASO DE USO GESTIONAR DEPENDENCIA
GESTIONAR PROCESOS APLICACIONES
ILUSTRACIÓN 93 CASO DE USO GESTIONAR PROCESOS APLICACIONES
144
GESTIONAR PROCESOS DETALLE
ILUSTRACIÓN 94 CASO DE USO GESTIONAR PROCESOS DETALLE
GESTIONAR PROCESOS CONTINUIDAD
ILUSTRACIÓN 95 CASO DE USO GESTIONAR PROCESOS CONTINUIDAD
145
GESTIONAR PROCESOS ENTREGABLES
ILUSTRACIÓN 96 CASO DE USO GESTIONAR PROCESOS ENTREGABLES
GESTIONAR PROCESOS HARDWARE
ILUSTRACIÓN 97 CASO DE USO GESTIONAR PROCESOS HARDWARE
146
GESTIONAR PROCESOS IMPACTO
ILUSTRACIÓN 98 CASO DE USO GESTIONAR PROCESOS IMPACTO
GESTIONAR PROCESOS NEGOCIOS
ILUSTRACIÓN 99 CASO DE USO GESTIONAR PROCESOS NEGOCIO
147
GESTIONAR PROCESOS PROVEEDORES
ILUSTRACIÓN 100 CASO DE USO GESTIONAR PROCESOS PROVEEDORES
GESTIONAR PROCESOS REGISTROS VITALES
ILUSTRACIÓN 101 CASO DE USO GESTIONAR PROCESOS REGISTROS
VITALES
148
GESTIONAR PROCESOS RECURSOS
ILUSTRACIÓN 102 CASO DE USO GESTIONAR PROCESOS RECURSOS
GESTIONAR MATRIZ AMENAZAS
ILUSTRACIÓN 103 CASO DE USO GESTIONAR MATRIZ AMENAZAS
149
GESTIONAR MATRIZ AUDITORIA
ILUSTRACIÓN 104 CASO DE USO GESTIONAR MATRIZ AUDITORIA
GESTIONAR MATRIZ CAPACITACIÓN
ILUSTRACIÓN 105 CASO DE USO GESTIONAR MATRIZ DE CAPACITACIÓN
150
GESTIONAR MATRIZ CONTROLES
ILUSTRACIÓN 106 CASO DE USO GESTIONAR MATRIZ CONTROLES
GESTIONAR MATRIZ DECLARACIÓN DE APLICABILIDAD
ILUSTRACIÓN 107 CASO DE USO GESTIONAR MATRIZ DECLARACIÓN DE
APLICABILIDAD
151
GESTIONAR MATRIZ INCIDENTES
ILUSTRACIÓN 108 CASO DE USO GESTIONAR MATRIZ DE INCIDENTES
GESTIONAR MATRIZ RIESGOS
ILUSTRACIÓN 109 CASO DE USO GESTIONAR MATRIZ DE RIESGOS
152
GESTIONAR PROCESOS IMPACTADOS
ILUSTRACIÓN 110 CASO DE USO GESTIONAR PROCESOS IMPACTADOS
GESTIONAR APLICACIONES
ILUSTRACIÓN 111 CASO DE USO GESTIONAR APLICACIONES
153
GESTIONAR ASISTENTES
ILUSTRACIÓN 112 CASO DE USO CREACIÓN ASISTENTES
GESTIONAR BASE DE DATOS
ILUSTRACIÓN 113 CASO DE USO GESTIONAR BASE DATOS
154
GESTIONAR DOCUMENTACION
ILUSTRACIÓN 114 CASO DE USO GESTIONAR DOCUMENTACION
GESTIONAR EMPRESAS
ILUSTRACIÓN 115 CASO DE USO GESTIONAR EMPRESAS
155
GESTIONAR EQUIPOS
ILUSTRACIÓN 116 CASO DE USO GESTIONAR EQUIPOS
GESTIONAR ESTADO
ILUSTRACIÓN 117 CASO DE USO GESTIONAR ESTADO
156
GESTIONAR FUNCIONARIOS
ILUSTRACIÓN 118 CASO DE USO GESTIONAR FUNCIONARIOS
GESTIONAR LICENCIAS
ILUSTRACIÓN 119 CASO DE USO GESTIONAR LICENCIAS
157
GESTIONAR REUNIONES
ILUSTRACIÓN 120 CASO DE USO GESTIONAR REUNIONES
GESTIONAR SERVIDORES
ILUSTRACIÓN 121 CASO DE USO GESTIONAR SERVIDORES
158
GESTIONAR TEMAS
ILUSTRACIÓN 122 CASO DE USO GESTIONAR TEMAS
159
4.3 DISEÑO DE LA BASE DE DATOS
Diagrama entidad relación (ER) aplicación SgsiAdmin para el modelamiento de
datos que representa las interrelaciones y propiedades.
ILUSTRACIÓN 123 MODELO ER I SGSIADMIN
FUENTE: ELABORACIÓN PROPIA
160
ILUSTRACIÓN 124 MODELO ER II SGSIADMIN
FUENTE: ELABORACIÓN PROPIA
161
ILUSTRACIÓN 125 MODELO ER III SGSIADMIN
FUENTE. ELABORACIÓN PROPIA
162
4.4 VISTAS DE LA APLICACIÓN
VENTANA DE ACCESO
ILUSTRACIÓN 126 LOGIN PARA SGSIADMIN
Tanto para el administrador y los usuarios vinculados al aplicativo web esta será la
visualización de acceso para poder administrar la norma iso 27001, se da
cumplimiento al requerimiento de acceso a invitados para que puedan observar que
información reposa en la página.
Como también la posibilidad de registrarse para ser vinculados como usuarios que
desean administrar la norma iso 27001 en la entidad que ellos se encuentren.
En la cual deberán ingresar o digitar los registros necesarios que describe la
ilustración 60 para que el administrador del sitio le conceda los permisos suficientes
parta el manejo de la plataforma.
163
VENTANA DE REGISTRO
ILUSTRACIÓN 127 REGISTRO ANTE LA PLATAFORMA
Los espacios que poseen en frente un punto de color rojo son de carácter
obligatorio, debido que sin esta información no se enviara la notificación al
administrador.
Una vez registrado el administrador lo asignara a un grupo que le permitirá el control
de la plataforma asignándole los permisos pertinentes para que pueda usar la norma
y pueda aplicar la en la empresa procedente. Ver ilustración 61.
A continuación se mostraran las páginas que posee la plataforma y los menús
existentes, se aconseja que esta plataforma se a manejada por un auditor interno
certificado en la norma iso 27001, porque en la plataforma se encuentran vinculadas
las normas para que sirvan de guía en la aplicación de los controles y demás ítems.
164
VENTANA DE OTORGACIÓN DE PERMISOS
ILUSTRACIÓN 128 ÁREA DE ADMINISTRACIÓN Y OTORGACION DE
PERMISOS
VENTANA DE ASIGNACIÓN DE GRUPOS
ILUSTRACIÓN 129 ÁREA DE ASIGNACIÓN DE GRUPOS
165
Adicionalmente la plataforma incluye todos los servicios de gestión de usuarios,
posterior a la creación, estos pueden editarse, eliminarse y desvincular. Ver
ilustración 63.
VENTANA DE CREACIÓN Y EDICIÓN DE USUARIOS
ILUSTRACIÓN 130 GESTIÓN DE USUARIOS
MENÚS DE LA PLATAFORMA
ILUSTRACIÓN 131 MENÚS DE LA PLATAFORMA
166
En cada menú se encuentran las páginas que darán vida la administración de la
norma iso 27001, ya que como cada empresa posee un negocio independiente este
deberá acomodar acorde a este el control de la información o de los ítems, que vean
más indicados para su empresa.
VENTANAS NORMAS
ILUSTRACIÓN 132 NORMA ISO 27001:2005
Se encuentra en su totalidad descrita la norma con sus ítems, que servirá de guía
para hacer, planear y verificar los controles, procesos, riesgos e impactos de cada
actividad que realice la empresa que la desee aplicar en su Core de negocios, como
también en la siguiente ilustración 66 se verán los módulos no existentes en la iso
27001: 2005.
167
ILUSTRACIÓN 133 NORMA ISO 27001:2013
Listado de controles ver ilustración 67 estos serán manejados por los auditores
internos o responsables que ellos asignen a esta tarea, estos controles son
modificables debido que estos son solo un bosquejo de los controles que pueden
ser aplicados, de estos controles podemos acceder a su vez a las matrices que los
contengan, y demuestren la forma de aplicación del control, cómo el manejando las
contingencias y de más sugerencias que se realice en su momento el auditor
externo.
168
LISTADO DE CONTROLES BASE
ILUSTRACIÓN 134 LISTADO DE CONTROLES EXISTENTES
FORMULARIO DE NUEVOS CONTROLES
ILUSTRACIÓN 135 FORMULARIO NUEVOS CONTROLES
169
FORMULARIO EDICIÓN DE CONTROLES EXISTENTES
ILUSTRACIÓN 136 FORMULARIO EDICIÓN DE CONTROLES
LISTADO BASE DE IMPACTO
ILUSTRACIÓN 137 LISTADO DE IMPACTO
Como lo muestra la ilustración 70, estos impactos deben ser determinados por las
partes interesadas que identifiquen de que forma un incidente puede impactar en la
planeación de un proyecto y en la realización de una actividad, esto siempre
enfocado en el negocio de la empresa, de acuerdo con esto se clasificara que tipo
170
de impacto se aceptaran y mostraran en la plataforma, los cuales estarán reflejados
en la matriz de riesgos.
FORMULARIO DE NUEVOS IMPACTOS
ILUSTRACIÓN 138 REGISTRO NUEVOS IMPACTOS
171
FORMULARIO DE EDICIÓN DE IMPACTOS
ILUSTRACIÓN 139 EDICIÓN DE IMPACTOS
172
LISTADO DE RIESGOS
ILUSTRACIÓN 140 LISTADO DE RIESGOS
Los códigos de cada riesgo, proceso, impacto y de más ítems que se deseen
implementar de la norma, teniendo como base el lineamiento del Core de negocio
serán pactados por la empresa, dado que cada empresa posee su propia
codificación de consecutivos, buscando estandarizar el seguimiento de la
trazabilidad que realice cada riesgo, control e impacto, haciendo de esta una
manera más fácil al momento de una auditoria.
173
FORMULARIO DE NUEVO RIESGO
ILUSTRACIÓN 141 NUEVO RIESGO
FORMULARIO EDICIÓN DE RIESGO
ILUSTRACIÓN 142 EDICIÓN DE RIESGO
174
LISTADO DE PROCESOS
ILUSTRACIÓN 143 LISTADO DE PROCESOS
FORMULARIO NUEVOS PROCESOS
ILUSTRACIÓN 144 NUEVO PROCESO
175
FORMULARIO EDICIÓN DE PROCESOS
ILUSTRACIÓN 145 EDICIÓN DE PROCESOS
Los anteriores formularios están dados en el procedimiento de planear, en este
punto se han de establecer cuáles son los posibles factores que afectan el Core de
negocio, que niveles de impactos, procesos, riesgos y que controles se consideran
para el manejo de esos factores; en el siguiente procedimiento que es el hacer, se
establecerán los cargos, dependencias y de más procedimientos que contengan en
la empresa para así fijar como se deben parametrizar, siendo así de estos no se
tendrán registros existentes de base, por lo cual solo se mostraran los formularios
de creación.
176
FORMULARIO NUEVOS CARGOS
ILUSTRACIÓN 146 NUEVOS CARGOS
FORMULARIO NUEVAS DEPENDENCIAS
ILUSTRACIÓN 147 NUEVAS DEPENDENCIAS
177
FORMULARIO NUEVOS PROCESOS DE APLICACIONES
ILUSTRACIÓN 148 NUEVOS PROCESOS DE APLICACIONES
178
FORMULARIO NUEVOS PROCESOS CONTINUIDAD
ILUSTRACIÓN 149 NUEVO PROCESOS DE CONTINUIDAD
179
FORMULARIO NUEVOS PROCESOS DETALLE
ILUSTRACIÓN 150 NUEVOS PROCESOS DETALLE
FORMULARIO NUEVOS PROCESOS ENTREGABLES
ILUSTRACIÓN 151 NUEVOS PROCESOS DE ENTREGABLES
180
FORMULARIO NUEVOS PROCESOS HARDWARE
ILUSTRACIÓN 152 NUEVOS PROCESOS DE HARDWARE
FORMULARIO NUEVOS PROCESOS IMPACTO
ILUSTRACIÓN 153 NUEVOS PROCESOS DE IMPACTO I
181
ILUSTRACIÓN 154 NUEVOS PROCESOS DE IMPACTO II
ILUSTRACIÓN 155 NUEVOS PROCESOS DE IMPACTO III
182
FORMULARIO NUEVOS PROCESOS NEGOCIOS
ILUSTRACIÓN 156 NUEVOS PROCESOS DE NEGOCIOS
FORMULARIO NUEVOS PROCESOS PROVEEDORES
ILUSTRACIÓN 157 NUEVOS PROCESOS DE PROVEEDORES
183
FORMULARIO NUEVO PROCESOS RECURSOS
ILUSTRACIÓN 158 NUEVOS PROCESOS DE RECURSOS
184
FORMULARIO NUEVOS REGISTROS VITALES
ILUSTRACIÓN 159 NUEVOS REGISTROS
Continuando con la descripción de la página, se tiene el procedimiento verificar en
el cual se encuentran las matrices donde se evalúa como se ha impactado y en qué
nivel se encuentra cada proceso, como también que controles han sido efectivos al
momento de la mitigación de los posibles riesgos existentes según el Core de
negocio de la empresa, en este procedimiento existirán algunos lineamientos base,
de otros solo se mostrara el formulario de creación.
185
LISTADO BASE MATRIZ DE AMENAZAS
ILUSTRACIÓN 160 LISTADO MATRIZ DE AMENAZAS
FORMULARIO NUEVA MATRIZ DE AMENAZAS
ILUSTRACIÓN 161 FORMULARIO NUEVA MATRIZ AMENAZAS
186
FORMULARIO EDITAR MATRIZ DE AMENAZAS
ILUSTRACIÓN 162 FORMULARIO EDICIÓN MATRIZ AMENAZAS
LISTADO BASE MATRIZ DE VULNERABILIDADES
ILUSTRACIÓN 163 LISTADO MATRIZ DE VULNERABILIDADES
187
FORMULARIO DE NUEVA MATRIZ VULNERABILIDADES
ILUSTRACIÓN 164 FORMULARIO NUEVA MATRIZ VULNERABILIDADES
FORMULARIO EDITAR MATRIZ DE VULNERABILIDADES
ILUSTRACIÓN 165 FORMULARIO EDICIÓN MATRIZ DE VULNERABILIDADES
A partir de este punto lo ideal y más ha aconsejable que así mismo como se le
denomino al control, o al código de proceso, se le asigne en las matrices ya que
estas darán seguimiento, a los factores de impacto y el nivel de impacto en el Core
de negocio, haciendo más efectiva la búsqueda y la trazabilidad de en qué punto se
encuentra el cumplimiento de las métricas o en su defecto el objetivo empresarial
que este estipulado.
Es recomendable tener un estándar en la numeración y consecutivo que se sugiera
en la empresa y así mismo coordinar como realizar el seguimiento de control que
sea estipulado bien sea por un comité auditor junto con el consentimiento del área
gerencial de la empresa como por el jefe de área que desee tener control de sus
procesos y o controles.
188
FORMULARIO DE NUEVA MATRIZ DE AUDITORIA
ILUSTRACIÓN 166 FORMULARIO NUEVA MATRIZ DE AUDITORIA
189
FORMULARIO DE NUEVA MATRIZ DE CAPACITACIÓN
ILUSTRACIÓN 167 FORMULARIO NUEVA MATRIZ DE CAPACITACIÓN
190
FORMULARIO DE NUEVA MATRIZ DE CONTROLES
ILUSTRACIÓN 168 FORMULARIO NUEVA MATRIZ DE CONTROLES
Formulario nuevos procesos impactados
ILUSTRACIÓN 169 FORMULARIO NUEVOS PROCESOS IMPACTADOS
191
FORMULARIO DE NUEVA MATRIZ DECLARACIONES DE APLICABILIDAD
ILUSTRACIÓN 170 FORMULARIO NUEVA MATRIZ DECLARACIÓN DE
APLICABILIDAD
192
FORMULARIO DE NUEVO MATRIZ DE INCIDENTES
ILUSTRACIÓN 171 FORMULARIO NUEVA MATRIZ DE INCIDENTES
FORMULARIO DE NUEVA MATRIZ DE RIESGOS
ILUSTRACIÓN 172 FORMULARIO NUEVA MATRIZ DE RIESGOS
193
Como último Item de la página se encuentra el procedimiento de recursos los
elementos, usuarios y diferentes artefactos involucrados en cada proceso, a los
cuales se desea imponer un control para la gestión del manejo de la información,
debido a que en cada empresa, posee información, usuariol y dispositivos diferentes
con especificaciones que solo corresponden a la empresa involucrada, solo se
mostrara el formulario de nuevos registros.
FORMULARIO NUEVAS APLICACIONES
ILUSTRACIÓN 173 FORMULARIO NUEVAS APLICACIONES
194
FORMULARIO NUEVOS ASISTENTES
ILUSTRACIÓN 174 FORMULARIO NUEVOS ASISTENTES
FORMULARIO NUEVAS BASE DE DATOS
ILUSTRACIÓN 175 FORMULARIO NUEVAS BASE DE DATOS
195
LISTADO BASE DE DOCUMENTACION
ILUSTRACIÓN 176 LISTADO BASE DOCUMENTACION
196
FORMULARIO NUEVA DOCUMENTACION
ILUSTRACIÓN 177 FORMULARIO NUEVA DOCUMENTACION
FORMULARIO EDICIÓN DOCUMENTACION
ILUSTRACIÓN 178 FORMULARIO EDICIÓN DOCUMENTACION
197
FORMULARIO NUEVAS EMPRESAS
ILUSTRACIÓN 179 FORMULARIO NUEVAS EMPRESAS
FORMULARIO NUEVOS EQUIPOS
ILUSTRACIÓN 180 FORMULARIO NUEVOS EQUIPOS
Se ha de tener en cuenta que en estos formularios, lo más preciso es ingresar las
características más importantes que posean los elementos, personal, y empresas
involucradas en la auditoria o en los controles establecidos.
198
FORMULARIO NUEVOS ESTADOS
ILUSTRACIÓN 181 FORMULARIO NUEVOS ESTADOS
FORMULARIO NUEVOS FUNCIONARIOS
ILUSTRACIÓN 182 FORMULARIO NUEVOS FUNCIONARIOS
Para el personaje que se encargue de ejecutar funciones de auditor interno, debe
estar incluido en un comité integrado por directivos que puedan tomar decisiones, y
que puedan transmitir a la alta gerencia, en la que puedan definir los parámetros y
de más características que deseen incluir en la herramienta.
199
FORMULARIO NUEVAS LICENCIAS
ILUSTRACIÓN 183 FORMULARIO NUEVAS LICENCIAS
FORMULARIO NUEVAS REUNIONES
ILUSTRACIÓN 184 FORMULARIO NUEVAS REUNIONES
200
FORMULARIO NUEVOS SERVIDORES
ILUSTRACIÓN 185 FORMULARIO NUEVOS SERVIDORES
FORMULARIO NUEVOS TEMAS
ILUSTRACIÓN 186 FORMULARIO NUEVOS TEMAS
201
PARTE III CIERRE DE LA INVESTIGACIÓN
CAPITULO 5 RESULTADOS Y DISCUSIÓN
Lo principal de este aplicativo web es generar el manejo y seguimiento en los
procesos, controles, impactos y riesgos, como también sus debidas matrices, las
cuales le darán la capacidad de proponer nuevas estrategias para mitigar los
posibles riesgos que se presenten en la empresa, al momento de ingresar al
aplicativo se presenta de tres maneras los usuarios que se registren directamente,
el debido acceso que permita el administrador, y el ingreso de invitados a la
herramienta.
Como roles predeterminados existentes en el aplicativo se encuentran
(administrador, auditor interno, auditor externo e invitado) cada uno tendrá definido
un menú especifico en el que podrá interactuar.
Pasando directamente a las funcionalidades como se puede observar en la vista
aplicación existirá para el administrador las funciones de otorgar permisos, crear
roles, como también asignarlos a dichos roles creados, y también la creación de
usuarios a los cuales les asignara el rol que le pertenezca, en las funcionalidades
del auditor interno se le genera la posibilidad de crear, modificar, buscar y eliminar
controles, impactos , niveles de impacto y de más ítems existentes en los menús
permitidos para este rol, aunque esta creación debe ir de mano de un comité
evaluador de los parámetros, métricas de que proponer a la evaluación y control de
los procesos que maneje la empresa.
El desarrollo de esta página se hizo para que pueda ser utilizada sin necesidad de
ningún tipo de licencia, una vez adquirido el acceso a la plataforma debe
establecerse un usuario administrador, como también un auditor interno, con el
propósito de manejar la información confidencial solo estos usuarios y los que se
202
creen por parte del administrador vean cada proceso y de más ítems de la
plataforma según el Core de negocio a la que pertenezcan.
La ser un desarrollo web permite que cada usuario con sus diferentes permisos de
acceso creados por el administrador se pueda informar en tiempo real de que
elementos existentes se encuentran en la plataforma, como de también que
estrategias se han propuesto al momento de manejar los riesgos, su estabilidad de
conexión es de un 80% dependiendo del proveedor que posea el cliente que acceda
a la plataforma, el 20% faltante para cumplir con un 100% están destinados en el
consumo de recursos los cuales serían el hosting, la capacidad de archivos que se
generen en la plataforma.
CAPITULO 6 CONCLUSIONES
6.1 VERIFICACIÓN, CONTRASTE Y EVALUACIÓN DE LOS OBJETIVOS
Se logró parametrizar por medio de la base de datos el contenido de cada
formulario, permitiendo así la visibilidad de las normas existentes, como también los
formularios que se detallan en la vista de aplicación.
Se escogió el tema de la norma iso 27001 debido a que en la actualidad lo que se
está manejando es información, siendo este un activo muy importante, y al cual
varias empresas solo han desarrollado partes de esta norma, con este aplicativo
web se busca abarcar todo el compendio del contenido de la norma iso 27001.
Se realizó el desarrollo por medio de la herramienta phpruner, la cual nos permitió
gestionar el sitio con todas las características necesarias para la implementación
web, y como herramienta permitió que esta se generara libre de licencias la cual
está disponible para la empresa que desee este aplicativo web, se le otorgara el
acceso o simplemente se le proveerá el sitio web para que ellos mismo lo
203
implementen en sus servidores, ya si desean hacerlo de forma local y privada para
su empresa.
CAPITULO 7 PROSPECTIVA DEL TRABAJO DE GRADO
7.1 LÍNEAS DE INVESTIGACIÓN FUTURAS
SGSIADMIN ha propuesto una solución para la administración y verificación de los
aspectos claves para la obtención de la certificación sobre la norma ISO 27001 de
un sistema de gestión de seguridad de la información, sin embargo durante el
desarrollo del mismo se logró evidenciar que en la actualidad el campo de la
seguridad informática ha obtenido una gran difusión a raíz de los diferentes
incidentes que cada día son más comunes y han afectado a cientos de empresas y
muchos de estos también incentivados por el aumento de la digitalización de la
información. A pesar de que en el mercado existen muchas herramientas enfocada
en el marco de la seguridad pudo identificarse que la gran mayoría de estas se
enfocan en la seguridad informática, es decir en la prevención y defensa, sin
embargo existen muy pocas de estas que se enfoquen en la seguridad de la
información es por esto que actualmente existe una amplia necesidad por parte de
las empresas de obtener herramientas que les permitan gestionar la seguridad y el
negocio que ayuden el proceso estratégico y misional de la entidad de una forma
más directa y que permitan identificar a nivel gerencial el provecho de implementar
proyectos enfocados en el campo de la seguridad. Es por este tipo de situaciones
que se plantea como líneas de investigación el desarrollo de herramientas que se
conviertan en herramientas de gestión enmarcadas dentro de la seguridad de la
información y no la seguridad informática que es lo que actualmente suele obtener
la mayor relevancia.
Dentro del proceso de implementación de un SGSI las empresas suelen pasar por
un proceso de recolección de información que puede aprovecharse en muchas otras
204
iniciativas por ejemplo el proceso de la arquitectura empresarial hoy por hoy
obligatoria para las entidades públicas colombianas que incluyen la seguridad de la
información pero que se componen de otros módulos, campos o aspectos
adicionales, por esto se plantea la investigación o desarrollo de herramientas que
se integren con SASGSI y que ofrezcan la posibilidad de administrar dichos módulos
adicionales requeridos en un proceso de implementación de la arquitectura
empresarial en particular de los exigidos por el marco de referencia de TOGAF que
es uno de los más comunes y por tanto de mayor difusión en el campo empresarial.
Por ultimo una línea de investigación que se detectó en este proceso es el de la
ciberseguridad a nivel de país, Colombia actualmente está en el proceso de
creación e implementación de una estrategia de ciberdefensa como país para la
defensa de las infraestructuras críticas en caso de un guerra mediante el quinto
dominio también denominado como el ciberespacio, durante este proceso se ha
recibido acompañamiento de diferentes países pioneros en estos temas, aun así
existe un amplio espectro de posibilidades referentes a esta temática especialmente
porque cada estrategia difiera dado que debe acomodarse a la idiosincrasia y
cultura de cada país.
7.2 TRABAJOS DE INVESTIGACIÓN FUTURAS
Dado que este proyecto está enfocado en el desarrollo de una aplicación que
permita la administración de los diferentes documentos requeridos en un proceso
de certificación sobre la norma ISO 27001:2013, y que permita de esta manera
identificar fácilmente el cumplimiento de la misma en cada uno de los numerales,
objetivos de control y controles. Teniendo en cuenta esto, una de las líneas de
investigación futura que podría aportar al fortalecimiento de la herramienta, sería la
implementación de funcionalidades que apoyen los procesos de recolección de
información y la gestión de riesgos que componen un SGSI, de esta forma no solo
harían de esta una herramienta más robusta si no que la convertiría en un sistema
205
de información con la capacidad de centralizar diferentes aspectos claves en lo que
refiere a la seguridad de la información, por ejemplo: se podría implementar el
repositorio de documentos no obligatorios que componen la estrategia de seguridad
de la entidad, por otro lado podría agregarse la funcionalidad de que en el inventario
de activos de información puedan asignarse riesgos directamente, los cuales a su
vez podrían contener un plan de tratamiento. Es decir implementar un módulo
completo de riesgos que permitirá no solo el ahorro de recursos económicos al evitar
un proceso manual o la adquisición de otra herramienta sino que también
automatizara el proceso.
Un módulo adicional que aportaría valor a la herramienta seria el Disaster Recovery,
con esto se hace referencia a integrar un compendio de funcionalidades que
administren y monitoreen el proceso de recuperación ante desastres, algunas de
estas funcionalidades podrían ser por ejemplo: el seguimiento a los planes de
verificación o pruebas del DRP estas incluyen tareas de agendamiento, alertas,
seguimiento a los planes de mejora, etc. Por otro lado podría implementarse un
entorno grafico que permita seguir visualmente cada una de las actividades del
proceso de recuperación, al igual que una vista de control de actividades y
responsabilidades, con base en lo anterior podemos decir que la inclusión de este
módulo además de necesaria resultaría en un proyecto estratégico, ya que tener un
DRP es en muchas empresas un proceso obligatorio, de acuerdo a la legislación o
normatividad que las rigen, especialmente en las que manejan información sensible
o que proveen servicios críticos, por ejemplo Bancos, Empresas de
Telecomunicaciones, Empresas de servicios públicos, la Bolsa de Valores, así pues
podría decirse que este le abriría campo al uso de la herramienta en empresas más
robustas.
Finalmente y quizás siendo un proyecto más ambicioso se consideraría interesante
integrar la herramienta con una aplicación que incluya módulos o funcionalidades
relacionadas con el proceso de arquitectura empresarial, en la actualidad las
206
grandes empresas a centrado sus esfuerzos en la gestión optima de los recursos y
el asegurar la mayor retribución de las inversiones y las tecnologías de la
información no podían ser ajenas a estos cambios, es por ello que el concepto de
arquitectura empresarial toma relevancia en la actualidad, enfocándose en las
posibles mejoras que podrían agregar valor a la estrategia de la empresa y apoyar
a la misma en el cumplimiento de los objetivos misionales apoyándose en las TIC,
y i estas actividades de gestión pueden desde un inicio ligarse a las exigencias de
seguridad de la información podrá entonces garantizarse no solo un mejor
aprovechamiento de los recursos sino tener productos estandarizados y seguros.
207
REFERENCIAS
27000. (s.f.). www.custodia-documental.com. Obtenido de www.custodia-
documental.com: http://www.custodia-documental.com/familia-iso-27000-
seguridad-de-la-informacion/
archimate. (s.f.). www.opengroup.org. Obtenido de www.opengroup.org:
https://www.opengroup.org/archimate/2.1/ArchiMate2_intro.pdf
canarias, i. (22 de 10 de 2012). es.slidershare.net. Obtenido de es.slidershare.net:
http://es.slideshare.net/ikercanarias/patrones-de-diseo-de-software-
14836338
Ceria, S. (2001). www-2.dc.uba.ar. Obtenido de www-2.dc.uba.ar: http:/www-
2.dc.uba.ar/materias/isoft1/2001_2/apuntes/CasosDeUso.dpf
gesconsultor. (s.f.). www.gesconsultor.com. Obtenido de www.gesconsultor.com:
http://www.gesconsultor.com/
globalsgsi. (s.f.). www.globalsgsi.com. Obtenido de www.globalsgsi.com:
http://www.globalsgsi.com/es/
hadware. (s.f.). tupcmaestra.galeon.com,www.alegsa.com.ar,definicion.de.
Obtenido de tupcmaestra.galeon.com,www.alegsa.com.ar,definicion.de:
http://tupcmaestra.galeon.com/, http://definicion.de/hardware/,
http://www.alegsa.com.ar/Dic/hardware.php
HAX, A. y. (1997). Estrategias para el Liderazgo Competitivo. De la visión a los
resultados. En A. y. HAX, Estrategias para el Liderazgo Competitivo. De la
visión a los resultados (pág. 51). Dolmen.
iec. (s.f.). www.iec.ch. Obtenido de www.iec.ch: http://www.iec.ch/
informacion. (s.f.). www.definicionabc.com,definicion.de. Obtenido de
www.definicionabc.com,definicion.de: http://definicion.de/informacion/,
http://www.definicionabc.com/tecnologia/informatica.php
informacion, a. d. (s.f.). camiloangel.wordpress.com. Obtenido de
camiloangel.wordpress.com:
208
https://camiloangel.wordpress.com/2010/09/03/%C2%BFque-es-un-activo-
de-informacion/
iso. (s.f.). www.iso.org. Obtenido de www.iso.org: http://www.iso.org/iso/home.html
licencia, D. d. (s.f.). www.informatica-hoy.com.ar. Obtenido de www.informatica-
hoy.com.ar: http://www.informatica-hoy.com.ar/software-libre-gnu/Tipos-de-
licencia-de-Software.php
manageengine. (s.f.). www.manageengine.com. Obtenido de
www.manageengine.com:
https://www.manageengine.com/products/eventlog/iso-27001-compliance-
audit.html
operativo, s. (s.f.). definicion.de, concepto.de. Obtenido de definicion.de,
concepto.de: http://concepto.de/sistema-
operativo/,http://definicion.de/sistema-operativo/
org, i. (2009). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27004:ed-1:v1:en
org, i. (2010). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27003:ed-1:v1:en
org, i. (2011). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-2:v1:en
org, i. (2011). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27006:ed-2:v1:en
org, i. (2011). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27007:ed-1:v1:en
org, i. (2013). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en
org, i. (2013). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-2:v1:en
org, i. (2014). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:en
209
org, i. (2015). www.iso.org. Obtenido de www.iso.org:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27006:ed-3:v1:en
riskmanagementstudio. (s.f.). www.riskmanagementstudio.com. Obtenido de
www.riskmanagementstudio.com:
http://www.riskmanagementstudio.com/features
Sánchez, J. (2004). www.maestrosdelweb.com. Obtenido de
www.maestrosdelweb.com: http://www.maestrosdelweb.com/que-son-las-
bases-de-datos.pdf
SCRUM, M. (s.f.).
desarrollodefw.blogspot.com,ingenieriadesoftware.mex.tl,procesosdesoftwa
re.wikispaces.com. Obtenido de
desarrollodefw.blogspot.com,ingenieriadesoftware.mex.tl,procesosdesoftwa
re.wikispaces.com:
http://desarrollodefw.blogspot.com/2012/10/caracteristicas-
scrum.html,https://procesosdesoftware.wikispaces.com/METODOLOGIA+S
CRUM,http://ingenieriadesoftware.mex.tl/52812_Scrum.html
softexpert. (s.f.). www.softexpert.es. Obtenido de www.softexpert.es:
http://www.softexpert.es/norma-isoiec-27001.php
software. (s.f.). tupcmaestra.galeon.com. Obtenido de tupcmaestra.galeon.com:
http://tupcmaestra.galeon.com/
Valdés, D. P. (26 de octubre de 2007). www.maestrosdelweb.com. Obtenido de
www.maestrosdelweb.com: http://www.maestrosdelweb.com/que-son-las-
bases-de-datos/
Vergara, G. (31 de marzo de 2009). mejoratugestion.com. Obtenido de
mejoratugestion.com: http://mejoratugestion.com/mejora-tu-gestion/que-es-
un-sistema-de-gestion/
XP, M. (s.f.). procesosdesoftware.wikispaces.com,ingenieriadesoftware.mex.tl.
Obtenido de
procesosdesoftware.wikispaces.com,ingenieriadesoftware.mex.tl:
210
https://procesosdesoftware.wikispaces.com/METODOLOGIA+XP,
http://ingenieriadesoftware.mex.tl/52753_XP---Extreme-Programing.html
211
ANEXOS
A.1 DICCIONARIO DE DATOS
Aplicaciones
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_aplicaciones int(11) No
aplicaciones_codigo int(11) No
aplicaciones_nombre varchar(100) No
aplicaciones_version varchar(15) No
aplicaciones_empresa int(11) No
aplicaciones_contrato_soporte int(11) No
aplicaciones_propietario int(11) No
aplicaciones_area_uso int(11) No
aplicaciones_custodio int(11) No
aplicaciones_tamano_aplicacion decimal(15,2) No
aplicaciones_sistema_operativo int(11) No
Asistentes
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_asistentes int(11) No
asistentes_reunion varchar(20) No
asistentes_nombre int(11) No
212
Base_datos
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_base_datos int(11) No
base_datos_nombre varchar(100) No
base_datos_marca int(11) No
base_datos_version varchar(15) No
base_datos_contrato_soporte int(11) No
base_datos_propietario int(11) No
base_datos_area_uso int(11) No
base_datos_custodio int(11) No
base_datos_tamano_aplicacion decimal(15,2) No
base_datos_sistema_operativo int(11) No
Cargos
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_cargo int(11) No
cargo_codigo char(6) No
cargo_nombre char(60) Sí
Controles
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_controles int(11) No
controles_nombre varchar(600) No
213
Dependencias
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_dependencia int(11) No
dependencia_codigo int(11) No
dependencia_nombre char(60) Sí
Documentacion
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_documentacion int(11) No
documentacion_codigo int(11) No
documentacion_nombre varchar(200) No
documentacion_documento tinytext No
Empresas
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_empresas int(11) No
empresas_codigo int(11) No
empresas_nombre varchar(200) No
Equipos
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_equipos int(11) No
214
equipos_marca int(11) No
equipos_modelo varchar(200) No
equipos_serial varchar(100) No
equipos_tipo int(11) No
equipos_sistema_operativo int(11) No
Estado
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_estado int(11) No
estado_codigo int(11) No
estado_nombre varchar(100) No
Funcionarios
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_funcionarios int(4) No
funcionarios_cedula varchar(15) No
funcionarios_nombre varchar(100) No
funcionarios_dependencia int(11) No
funcionarios_cargo int(11) No
funcionarios_email varchar(50) No
Impacto
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
215
ide_impacto int(11) No
impacto_codigo int(5) No
impacto_nombre varchar(30) No
impacto_descripcion varchar(300) No
impacto_clase varchar(5) No
impacto_clase_nombre varchar(20) No
impacto_clase_descripcion varchar(40) No
impacto_dependencia varchar(20) No
impacto_dependencia_descripcion varchar(300) No
impacto_sumatoria_descripcion varchar(600) No
impacto_sumatoria_rto varchar(100) No
impacto_sumatoria_severidad varchar(100) No
impacto_sumatoria_rpo varchar(100) No
iso_2005
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_iso5 int(11) No
iso5_dominio_codigo int(11) No
iso5_dominio varchar(100) No
iso5_objetivo_codigo int(11) No
iso5_objetivo varchar(200) No
iso5_control_codigo int(11) No
iso5_control varchar(300) No
iso_2013
216
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_iso13 int(11) No
iso13_dominio_codigo int(11) No
iso13_dominio varchar(100) No
iso13_objetivo_codigo int(11) No
iso13_objetivo varchar(200) No
iso13_control_codigo int(11) No
iso13_control varchar(400) No
Licencias
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_licencias int(11) No
licencias_fabricante int(11) No
licencias_producto varchar(200) No
licencias_version varchar(20) No
licencias_cantidad int(11) No
licencias_cd varchar(10) No
licencias_open_license varchar(200) No
licencias_contrato varchar(30) No
licencias_contratista int(11) No
licencias_observaciones varchar(400) No
matriz_amenazas
Comentarios de la tabla: InnoDB free: 5120 kB
217
Campo Tipo Nulo
ide_matriz_amenazas int(11) No
matriz_amenazas_nombre varchar(200) No
matriz_auditoria
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_matriz_auditoria int(11) No
matriz_auditoria_procesos_codigo varchar(20) No
matriz_auditoria_detalle_codigo varchar(20) No
matriz_auditoria_fecha date No
matriz_auditoria_no_conformidad int(11) No
matriz_auditoria_descripcion_conformidad varchar(600) No
matriz_auditoria_accion_correctiva int(11) No
matriz_auditoria_descripcion_correctiva varchar(600) No
matriz_auditoria_preventiva int(11) No
matriz_auditoria_descripcion_preventiva varchar(600) No
matriz_auditoria_estado int(11) No
matriz_auditoria_funcionario varchar(15) No
matriz_auditoria_tratamiento varchar(600) No
matriz_auditoria_cumplimiento decimal(15,2) No
matriz_auditoria_anual int(11) No
matriz_capacitacion
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
218
ide_capacitacion int(11) No
capacitacion_procesos_codigo varchar(20) No
capacitacion_detalle_codigo varchar(20) No
capacitacion_tipo int(11) No
capacitacion_fecha date No
capacitacion_meta_mes int(11) No
capacitacion_ejecutadas_mes int(11) No
capacitacion_cumplimiento decimal(10,2) No
capacitacion_documento tinytext No
capacitacion_contenido tinytext No
matriz_controles
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_matriz_controles int(11) No
controles_procesos_codigo varchar(20) No
controles_detalle_codigo varchar(20) No
controles_tipo int(11) No
controles_clase int(11) No
controles_codigo_dominio int(11) No
controles_dominio varchar(100) No
controles_codigo_objetivo int(11) No
controles_objetivo varchar(200) No
controles_codigo_control int(11) No
controles_control varchar(400) No
219
controles_dependencia int(11) No
controles_funcionario varchar(15) No
matriz_dda
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_matriz_dda int(11) No
matriz_dda_procesos_codigo varchar(20) No
matriz_dda_detalle_codigo varchar(20) No
matriz_dda_fecha date No
matriz_dda_control_codigo int(11) No
matriz_dda_control varchar(400) No
matriz_dda_aplicable int(11) No
matriz_dda_motivo varchar(500) No
matriz_dda_objetivo int(11) No
matriz_dda_estado int(11) No
matriz_dda_fisico int(11) No
matriz_dda_fisico_detalle int(11) No
matriz_dda_aplicacion int(11) No
matriz_dda_aplicacion_detalle int(11) No
matriz_dda_servicio int(11) No
matriz_dda_servicio_detalle int(11) No
matriz_dda_usuario varchar(15) No
matriz_dda_usuario_detalle varchar(15) No
matriz_dda_informacion int(11) No
220
matriz_dda_informacion_detalle int(11) No
matriz_incidentes
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_matriz_incidentes int(11) No
matriz_incidentes_proceso_codigo varchar(20) No
matriz_incidentes_detalle_codigo varchar(20) No
matriz_incidentes_fecha date No
matriz_incidentes_tipo int(11) No
matriz_incidentes_clase int(11) No
matriz_incidentes_prioridad int(11) No
matriz_incidentes_entregable int(11) No
matriz_incidentes_incidente varchar(600) No
matriz_incidentes_accion int(11) No
matriz_incidentes_resultado varchar(600) No
matriz_incidentes_observaciones varchar(600) No
matriz_riesgos
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_matriz_riesgos int(11) No
matriz_riesgos_procesos_codigo varchar(20) No
matriz_riesgos_detalle_codigo varchar(20) No
matriz_riesgos_tipo int(11) No
matriz_riesgos_nombre varchar(200) No
221
matriz_riesgos_criticidad int(5) No
matriz_riesgos_amenaza int(11) No
matriz_riesgos_vulnerabilidad int(11) No
matriz_riesgos_impacto int(5) No
matriz_riesgos_ocurrencia int(5) No
matriz_riesgos_valor int(5) No
matriz_riesgos_tratamiento int(11) No
matriz_riesgos_residual int(5) No
matriz_riesgos_total_residual int(5) No
matriz_vulnerabilidades
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_matriz_vulnerabilidades int(11) No
matriz_vulnerabilidades_nombre varchar(200) No
nivel_impacto
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_nivel_impacto int(11) No
nivel_impacto_descripcion varchar(600) No
Procesos
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_procesos int(11) No
222
procesos_codigo varchar(20) No
procesos_nombre varchar(100) No
procesos_tipo int(11) No
procesos_descripcion varchar(700) No
procesos_aplicaciones
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_procesos_aplicaciones int(11) No
procesos_aplicacioens_procesos_codigo varchar(20) No
procesos_aplicaciones_detalle_codigo varchar(20) No
procesos_aplicaciones_codigo int(11) No
procesos_aplicaciones_version varchar(15) No
procesos_aplicaciones_empresa int(11) No
procesos_aplicaciones_contrato_soporte int(11) No
procesos_aplicaciones_propietario int(11) No
procesos_aplicaciones_area_uso int(11) No
procesos_aplicaciones_custodio int(11) No
procesos_aplicaciones_tamano_aplicacion decimal(15,2) No
procesos_aplicaciones_sistema_operativo int(11) No
procesos_continuidad
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_proceso_continuidad int(11) No
continuidad_procesos_codigo varchar(20) No
223
continuidad_detalle_codigo varchar(20) No
continuidad_rto_procedimiento int(5) No
continuidad_recuperacion_procedimiento varchar(100) No
continuidad_rto_aplicacion int(5) No
continuidad_recuperacion_aplicacion varchar(100) No
continuidad_rto_total int(11) No
continuidad_rpo_aplicacion int(5) No
continuidad_prioridad_recuperacion varchar(100) No
continuidad_estrategia_recuperacion varchar(600) No
continuidad_estrategia_procedimiento varchar(600) No
continuidad_rto_prioridad varchar(30) No
procesos_detalle
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_procesos_detalle int(11) No
procesos_detalle_procesos_codigo varchar(20) No
procesos_detalle_codigo varchar(20) No
procesos_detalle_tipo int(11) No
procesos_detalle_nombre varchar(700) No
procesos_entregables
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_procesos_entregables int(11) No
procesos_entregables_procesos_codigo varchar(20) No
224
procesos_entregables_detalle_codigo varchar(20) No
procesos_entregables_clase int(11) No
procesos_entregables_documento tinytext No
procesos_hardware
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_hardware int(11) No
hardware_procesos_codigo varchar(20) No
hardware_detalle_codigo varchar(20) No
hardware_nombre int(11) No
hardware_sistema_operativo int(11) No
hardware_clase int(11) No
hardware_observaciones varchar(300) No
procesos_impactados
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_procesos_impactados int(11) No
procesos_impactados_procesos_codigo varchar(20) No
procesos_impactados_detalle_codigo varchar(20) No
procesos_impactados_proceso varchar(20) No
procesos_impactados_nombre varchar(700) No
procesos_impactados_escala int(5) No
procesos_impactdos_escala_descripcion varchar(600) No
225
procesos_impacto
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_proceso_impacto int(11) No
impacto_procesos_codigo varchar(20) No
impacto_detalle_codigo varchar(20) No
impacto_semana int(5) No
impacto_mes int(5) No
impacto_dia date No
impacto_interrupcion__financiero int(11) No
impacto_interrupcion_comercial int(11) No
impacto_interrupcion_operativo int(11) No
impacto_interrupcion_imagen int(11) No
impacto_interrupcion_legal int(11) No
impacto_interrupcion_proveedor int(11) No
impacto_negocio_operacional int(5) No
impacto_negocio_economico int(5) No
impacto_negocio_interno_ponderado decimal(15,2) No
impacto_negocio_interno varchar(30) No
impacto_negocio_clientes int(5) No
impacto_negocio_imagen int(5) No
impacto_negocio_incumplimiento int(5) No
impacto_negocio_entes int(5) No
impacto_negocio_externo_ponderado decimal(15,2) No
impacto_negocio_nivel_externo varchar(30) No
226
impacto_negocio_ponderado decimal(15,2) No
impacto_nivel int(5) No
impacto_nivel_prioridad int(5) No
impacto_nivel_eventos int(5) No
impacto_nivel_eventos_descripcion varchar(600) No
impacto_nivel_negocios int(5) No
impacto_nivel_negocios_descripcion varchar(600) No
impacto_nivel_observaciones varchar(300) No
procesos_negocios
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_proceso_negocios int(11) No
procesos_negocios_procesos_codigo varchar(20) No
procesos_negocios_detalle_codigo varchar(20) No
proceso_negocios_procedimiento int(11) No
proceso_negocios_funcion_critica int(11) No
proceso_negocios_impacto int(11) No
proceso_negocios_impacto_escala varchar(5) No
proceso_negocios_escenario varchar(300) No
procesos_proveedores
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_procesos_proveedores int(11) No
procesos_proveedores_procesos_codigo varchar(20) No
227
procesos_proveedores_detalle_codigo varchar(20) No
procesos_proveedores_empresa int(11) No
procesos_recursos
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_recursos int(11) No
recursos_procesos_codigo varchar(20) No
recursos_detalle_codigo varchar(20) No
recursos_dependencia int(5) No
recursos_dependencia_medida varchar(5) No
recursos_dependencia_descripcion varchar(300) No
recursos_nombre_funcionario int(11) No
recursos_cargo_funcionario int(11) No
recursos_funcionario_permisos int(11) No
recursos_funcionario_tipo int(11) No
recursos_nombre_suplente int(11) No
recursos_cargo_suplente int(11) No
recursos_suplente_permisos int(11) No
recursos_suplente_tipo int(11) No
recursos_aprobado_direccion int(11) No
recursos_fecha_aprobacion date No
recursos_tipo_evaluacion int(11) No
recursos_verificacion_evaluacion int(11) No
recursos_fecha_evaluacion date No
228
procesos_registros_vitales
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_registros_vitales int(11) No
registros_vitales_proceso_codigo varchar(20) No
registros_vitales_detalle_codigo varchar(20) No
registros_vitales_base_datos int(11) No
procesos_registros_vitales_nombre_base_datos int(11) No
procesos_registros_vitales_nombre_tabla varchar(600) No
procesos_registros_vitales_ruta_registros varchar(400) No
Reuniones
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_reuniones int(11) No
reuniones_numero varchar(20) No
reuniones_hora_inicia time No
reuniones_hora_termina time No
reuniones_fecha date No
reuniones_documentos varchar(500) No
Riesgos
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_riesgos int(11) No
riesgos_codigo varchar(6) No
229
riesgos_nombre varchar(30) No
riesgos_descripcion varchar(300) No
Servidores
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide-servidores int(11) No
servidores_nombre varchar(150) No
servidores_sistema_operativo int(11) No
servidores_ip_publica varchar(30) No
servidores_ip_interna varchar(30) No
servidores_clase int(11) No
servidores_observaciones varchar(500) No
Temas
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
ide_temas int(11) No
temas_reunion varchar(20) No
temas_nombre varchar(200) No
Usuarios
Comentarios de la tabla: InnoDB free: 5120 kB
Campo Tipo Nulo
id_usuario int(4) No
nombre_usuario varchar(50) Sí
230
usuario_clave varchar(50) Sí
usuario_mail varchar(50) Sí
usuario_nombre varchar(50) Sí
usuario_apellido varchar(50) Sí
usuario_codigo int(20) No
