El presente trabajo de investigación
centra su objeto de desarrollo en la
plataforma SMA, una de las más
concurridas y visitadas por el cuerpo
estudiantil del programa de
administración de empresas de la
Universidad. Se presentan datos
basados en la percepción de la
población académica.
CONTROL ESTADÍSTICO DE LA CALIDAD - PLATAFORMA SMA UNIVERSIDAD DE CARTAGENA
1. El presente trabajo de investigación
centra su objeto de desarrollo en la
plataforma SMA, una de las más
concurridas y visitadas por el cuerpo
estudiantil del programa de
administración de empresas de la
Universidad. Se presentan datos
basados en la percepción de la
población académica.
PERECEPCIÓN DE LA
PLATAFORMA SMA
CONTROL ESTADISTICO DE LA CALIDAD
Usuario
2. CONTROL ESTADISTICO DE LA CALIDAD
PERECEPCIÓN DE LA PLATAFORMA SMA
PRESENTADO A:
PROFESOR GERMAN VILLADIEGO
PRESENTADO POR:
JILIAR SILGADO CARDONA
BLEIDIS OSORIO ANGULO
EDWARD PALACIOS DIAZ
VIVIANA VERGARA TAPIA
JHONANTAN CUENTAS CASSIANI
UNIVERSIDAD DE CARTAGENA
FACULTAD DE CIENCIAS ECONOMICAS
PROGRAMA DE ADMINISTRACION D E EMPRESAS NOCTURNA
SEMESTRE VIII
07 de Junio de 2017
3. Contenido
1. INTRODUCCIÓN ............................................................................................. 4
2. OBJETIVOS..................................................................................................... 6
2.1. OBJETIVO GENERAL: .................................................................................... 6
2.2. OBJETIVOS ESPECIFICOS:........................................................................... 6
3. PLANTEAMIENTO DEL PROBLEMA .............................................................. 7
3.1. Descripción del problema........................................................................... 7
3.2. ¿Por qué se produce la insatisfacción?...................................................... 8
3.3. Análisis de cada factor y sus causas........................................................ 11
3.3.1. Despliegue lento ................................................................................... 11
3.3.1.1. Infraestructura tecnológica ............................................................. 12
3.3.1.2. Crecimiento porcentual de la base de datos .................................. 12
3.3.1.3. Configuración de servidores no idónea .......................................... 12
3.3.2. Poca flexibilidad .................................................................................... 12
3.3.2.1. Cantidad de opciones para realización de tareas reducidas .......... 13
3.3.2.2. Modo de realizar los procesos con mucho esfuerzo ...................... 13
3.3.3. Poca estética (Apariencia) .................................................................... 13
3.3.3.1. Deficiencias en la distribución del contenido.................................. 14
3.3.3.2. Saturación de color ........................................................................ 14
3.3.4. Poca o nula información de ayuda al usuario (Soporte de procesos) ... 14
3.3.4.1. Poco soporte documentado del software ....................................... 14
3.3.4.2. Soporte técnico del portal con deficiencias .................................... 15
4. INSTRUMENTO............................................................................................. 15
4.1.1. Diagrama de Ishikawa. (Causa Efecto)................................................. 16
4.1.2. Subcategorías (Causa Efecto).............................................................. 17
4.1.3. Análisis y Conclusiones de relación Causa – Efecto ............................ 20
5. PROCESO DE GESTIÓN DEL RIESGO ....................................................... 21
4. 5.1. Identificación de las partes interesadas (Stakeholders) ........................... 21
5.2. Definición de La Meta............................................................................... 21
5.3. Fuente de Información ............................................................................. 21
5.4. Objetivos .................................................................................................. 21
5.4.1. Objetivo General................................................................................... 21
5.4.2. Objetivos Específicos............................................................................ 21
5.5. Categorización de Activos Informáticos ................................................... 22
5.6. Tabla De Control Y Evaluación de Riesgos Activos De Información........ 23
5.7. Periodicidad de Ejecución de Controles................................................... 25
6. CONCLUSIÓN ............................................................................................... 27
7. FUENTES DE INFORMACIÓN ...................................................................... 29
ANEXOS ............................................................................................................... 30
5. 1. INTRODUCCIÓN
Todas las instituciones de educación superior deben tener óptimos recursos para
desempeñar de manera eficiente la construcción del conocimiento en su alumnado
y así conservar la calidad pedagógica de sus programas y facultades. Se podría
argumentar que los sistemas de información cumplen un papel preponderante para
llevar a cabo las gestiones académicas en las que interfieren los docentes,
estudiantes y administrativos propiamente, cuerpo estructural de este tipo de
organizaciones.
Se considera que la información y la tecnología son importantes en la actualidad
puesto que “son utilizadas para apoyar la adquisición, procesamiento,
almacenamiento, recuperación y difusión de datos en todo tipo de organizaciones,
no haciendo excepción de las educativas de todos los niveles del sistema social,
sean públicas o privadas”1.
El contexto que rodea esta temática relacionada con los sistemas de información en
las Universidades, Instituciones de educación superior, institutos tecnológicos y las
instituciones de capacitación para el trabajo no es nada alentador no solo en
Colombia sino aun en Latino América, puesto que la ineficiencia de los mismos no
contribuyen a cumplir con los objetivos y a realizar una gestión administrativa de
optimo desempeño: “La ineficacia e ineficiencia en los sistemas de información es
uno de los problemas de la administración educativa en América Latina.”
(ARISMENDI POSADA, 1995).
Uno de los retos de la educación superior pública no solo en Cartagena sino en todo
el país, es ofrecer un servicio de calidad a la sociedad sujeta a limitaciones en sus
recursos; producto a la carencia de compromiso de la administración pública de
nuestros gobernantes actuales y a la intempestiva corrupción en la que se ve
envuelto el país, la ciudad y las instituciones.
1 Reflexiones Acerca De Los Sistemas De Información Universitarios Ante Los Desafíos Y Cambios Generados
Por Los Procesos De Evaluación Y Acreditación, Autor: Santiago José Barcos, Fecha: 20/801/2008, Pág. 210
6. Actualmente en la Universidad de Cartagena se cuenta con dieciséis recursos
tecnológicos y una página web la cual enlaza a estos recursos también conocidos
como plataformas, cada una de estas cumple con una función específica desde
gestionar recursos bibliográficos de primer nivel hasta realizar procesos de
inscripciones, matriculas, solicitudes, consultar notas, históricos etc.
El presente trabajo de investigación centra su objeto de desarrollo en la plataforma
SMA, una de las más concurridas y visitadas por el cuerpo estudiantil del programa
de administración de empresas de la Universidad. Se presentan un datos basados
en el la percepción de la población académica para fundamentar un análisis de
riesgo y consecuentemente un programa de administración de la misma índole
eficiente para mejorar este recurso tecnológico patrimonio de la institución.
7. 2. OBJETIVOS
2.1. OBJETIVO GENERAL:
• Desarrollar un programa de administración de riesgos a la plataforma
tecnológica SMA, basado en la percepción de los estudiantes de la Facultad
de ciencias Económica de la universidad de Cartagena.
2.2. OBJETIVOS ESPECIFICOS:
• Determinar los factores que determinan el desempeño de la plataforma
tecnológica SMA, según la percepción de los estudiantes del programa de
Administración de empresas de la Universidad de Cartagena.
• Seleccionar el factor de mayor relevancia que influya en el desempeño de la
plataforma tecnológica SMA, según la percepción de los estudiantes del
programa de Administración de empresas de la Universidad de Cartagena.
• Desarrollar una gestión de riesgo sobre el factor de mayor relevancia
en el desempeño de plataforma SMA.
8. 3. PLANTEAMIENTO DEL PROBLEMA
3.1. Descripción del problema
La plataforma SMA es un sistema de información de gestión académica con la cual
la Universidad de Cartagena y su personal docente y estudiantil realiza procesos
de: inscripciones, matriculas, solicitudes, reportes académicos etc. Evidentemente
por los procedimientos y actividades que en ella se realizan se convierte en una de
las principales herramientas para la gestión organizativa de la institución, por ende
debe cumplir con estándares para conservar la calidad de los datos dentro de los
de términos: integridad, confidencialidad y seguridad de los datos, en medio de su
concurrente tratamiento y despliegue. El óptimo funcionamiento de la misma
determina la eficiencia y eficacia en la logística al momento de los periodos de pre
matrículas y matriculas en la Universidad, puesto que hay un volumen elevado de
personas en la población estudiantil.
Este sistema de información tiene un conjunto de carencias o defectos que la hacen
cuestionada por la comunidad académica en general, específicamente se pueden
detectar algunas debilidades, tales como: poca flexibilidad, interfaz poco intuitiva,
hipervínculos sin funcionalidad alguna, incoherencias en reportes de tabla de notas
por periodos, retardos en despliegue de la aplicación producto a concurrencia
limitada, carencia de seguridad del sistema de información, poca información de
ayuda, etc. Los periodos destinados a la generación de matrículas se vuelven los
más caóticos por las largas filas en secretarias y dependencias académicas, donde
el personal administrativo de la institución debe gestionar varios días para la
atención de la comunidad estudiantil.
Este tipo de procesos en muchas otras organizaciones se realiza de forma virtual
donde no se necesita la presencia del estudiante para realizar dichos procesos, por
ende todos los actores de la institución ponen en duda el perfecto rendimiento del
sistema de información con respecto a los procesos que se realizan en la
Universidad, generando insatisfacciones en lo que respecta a la calidad del servicio
y a la agilidad para resolver operaciones académicas.
9. 3.2. ¿Por qué se produce la insatisfacción?
De acuerdo a una encuesta realizada a una muestra de 42 estudiantes del programa
de administración de empresas de la Universidad de Cartagena con edades
comprendidas entre 19 y 21 años, de ambos sexos (masculino y femenino), de
profesión: estudiante, trabajador independiente y empleado se halló que:
En general la perspectiva que se tiene de la plataforma SMA de la Universidad de
Cartagena es regular, puesto que el 61% la ubico en una escala de 1 a 5 donde 1
es muy malo y 5 es muy bueno en 3, es decir, que se considera que el sistema de
información en cuestión necesita y/o requiere mejoras que mejoren su desempeño
funcional.
Por otra parte, el 19,5% considera que la plataforma cumple su funcionalidad y
satisface sus necesidades, sin embargo, la misma proporción considera
completamente lo contrario.
Específicamente se puede afirmar que la principal insatisfacción de acuerdo a la
perspectiva de la comunidad estudiantil se produce por el despliegue lento de la
plataforma, la poca flexibilidad, su poca estética en su diseño y la poca o nula
información de ayuda para el usuario.
La encuesta como estrategia de captación de información fue realizada teniendo en
cuenta algunos criterios de evaluación de sistemas de información aplicados a este
tipo de plataformas virtuales, tales como: flexibilidad, intuitividad, estética, integridad
10. de los datos, seguridad de la información, acceso a ayudas, despliegues y
adaptación al cambio.
Para la determinación de la conclusión de los factores que interfieren en la
percepción negativa de la muestra analizada se tomaron de los 8 criterios evaluados
los 4 con mayor índice porcentual:
N° CRITERIOS EVALUADOS POCENTAJES
1 Despliegue lento 54,8%
2 Poca flexibilidad. 38,1%
3 Poca estética 38,1%
4 Poca o nula información de ayuda al usuario 31%
5 Poco Intuitiva. 28,6%
6 Carencia de Integridad de los datos. 23,8%
7 Adaptación del sistema a posibles cambios. 23,8%
8 Poca seguridad de la información 4,8%
A continuación se evidencia el comportamiento porcentual por medio de una grafica
de todos los criterios analizados:
De acuerdo a lo anterior se establece un análisis de las causas que pueden generar
las falencias que producen la insatisfacción de algunos usuarios de la plataforma.
11. FACTORES CAUSAS
Despliegue lento
En este punto estarían relacionados
aspectos físicos de las maquinas
donde se encuentra alojado la
plataforma SMA, tales como:
- Infraestructura tecnológica.
- Crecimiento porcentual de la base
de datos.
- Configuración de servidores no
idónea
Poca flexibilidad
La poca flexibilidad relaciona el modo
de realizar las tareas por parte del
usuario. La expectativa es que los
mismos tenga una experiencia idónea
y que se cumpla lo que se desea
realizar. Se pueden encontrar varios
causales para que sistema de
información sea poco flexible:
- Cantidad de opciones para
realización de tareas reducidas.
- Modo de realizar los procesos con
mucho esfuerzo.
- El sistema es difícil de aprender
Poca estética
La estética es un factor que está
plenamente relacionado con el diseño
gráfico y la distribución de contenidos
en el sistema de información. Entre os
principales causales en la obtención
de poca estética en los sistemas de
información se puede encontrar:
12. - Deficiencias en la distribución del
contenido.
- Saturación de color.
Poca o nula información de ayuda
al usuario
Todos los sistemas de información
deben tener documentados sus
procesos y esta debe ser mostrado a
los usuarios que interactúan con el
software como medio que facilite la
obtención de contenido y desarrollo de
tareas, este se considera un factor
preponderante en la obtención de una
idónea experiencia de usuarios.
- Poco soporte documentado del
software.
- Soporte técnico del portal con
deficiencias.
3.3. Análisis de cada factor y sus causas
A continuación, se realiza un análisis en el cual se relaciona cada factor con sus
causales, para establecer el vínculo directo que existe entre los mismos, y además
identificar los criterios a utilizar para el desarrollo de un plan de administración de
riesgos efectivo que establezca aspectos que mejoren la funcionalidad de la
plataforma SMA en la Universidad de Cartagena.
3.3.1. Despliegue lento
Este término plenamente relacionado con la efectividad del sistema de información
para cargar sus funciones, el tiempo que dicho sistema demora para realizarlo
puede ofrecer altos o bajos niveles de satisfacción para los usuarios.
13. 3.3.1.1. Infraestructura tecnológica
Termino relacionado con los servidores (generadores de servicios de
navegación, resolución de nombres etc), conexiones (Internet y red local) que se
utilizan para que la plataforma tecnológica pueda operar óptimamente, esta
operación depende en gran medida del tipo de recursos empleados en la
infraestructura tecnológica.
3.3.1.2. Crecimiento porcentual de la base de datos
Esto significa que todos los sistemas de información al pasar del tiempo van
creciendo en registros lo que satura en cierta medida las consultas en las bases
de datos, disminuyendo el rendimiento funcional de las plataformas
tecnológicas. Por ello los sistemas de información como la plataforma SMA debe
tener un soporte técnico activo que garantice la calidad del servicio.
3.3.1.3. Configuración de servidores no idónea
Los servidores hacen parte de la infraestructura tecnológica, pero son ellos
propiamente quienes prestan sus recursos para que la funcionalidad de una
plataforma opere sin ningún contratiempo, por ello estos deben poseer una
configuración ideal que garantice sesiones activas, un número de usuarios
conectados concurrentes al sistema y disponibilidad para que los mismos usen
sus servicios.
3.3.2. Poca flexibilidad
La flexibilidad está completamente enfocada a la experiencia de los diversos
usuarios del sistema, este término describe la cantidad de maneras, modos,
14. caminos o rutas que el software dispone para que el usuario final tiene para realizar
sus operaciones de manera efectiva.
3.3.2.1. Cantidad de opciones para realización de tareas reducidas
La cantidad de opciones para realizar gestiones como registrar, consultar,
eliminar, listar datos facilitan en gran medida la experiencia del usuario y
desarrollo de sus actividades, por ende, cada plataforma tecnológica debe
proveer la facilidad de que los usuarios puedan realizar acciones de diferentes
maneras.
Las opciones hacen parte de los contenidos de las plataformas tecnológicas y
muchas de ellas se encuentran en los Menús de operación de dichos sistemas
de información, por ello estos no deben estar saturados de opciones, que en vez
de mostrar la pluralidad de funciones del sistema lo que causan es confusión en
los usuarios finales.
3.3.2.2. Modo de realizar los procesos con mucho esfuerzo
La simplicidad para realizar tareas también son otro tópico a tener en cuenta
para que los usuarios tengan una buena experiencia cuando se trabaja con una
plataforma tecnológica. Por ende, estos sistemas deben ser sencillos en su
modo de operación.
3.3.3. Poca estética (Apariencia)
Este término hace referencia a la apariencia física o diseño gráfico de la plataforma
tecnológica, cada sistema de información tiene propósitos distintos sustentado en
sus funcionalidades y tipo de usuarios, por ende, su diseño gráfico debe ser
fundamentado en lo anterior.
15. 3.3.3.1. Deficiencias en la distribución del contenido
El contenido debe estar distribuido de tal modo que el usuario pueda ver lo
realmente importante a simple vista y de manera detallada, y lo que no es de
mayor importancia de manera simplificada. Las saturaciones de textos cargan
los ojos de los usuarios o por el contrario cuando no hay contenidos se dificulta
la búsqueda de las opciones o tareas que el usuario quiere realizar.
3.3.3.2. Saturación de color
Los colores tienen propiedades inherentes que los hacen diferentes de otros, y
estas propiedades deben saberse emplear para alcanzar visibilidades
agradables, los conceptos para los tipos de plataformas como la SMA deben ser
minimalistas pues son ambientes por lo general. Donde se muestra información
de lectura y gráficos de comportamiento de datos.
3.3.4. Poca o nula información de ayuda al usuario (Soporte de procesos)
Los módulos de ayuda de los sistemas de información son importantes porque
ilustran a los usuarios en que decisión tomar dentro del ambiente virtual, este tipo
de recursos son requeridos por las normativas ilustradas en el campo de la
ingeniería de software.
3.3.4.1. Poco soporte documentado del software
La documentación de los procesos y funcionalidades de la plataforma SMA son
necesarias y requeridas en el desarrollo del sistema de información, estas son
basadas en los casos y esquemas realizados en la etapa de diseño del sistema.
Cuando los procedimientos no se encuentran documentados los sistemas de
información carecen de un módulo de ayuda para que facilite la experiencia de
los usuarios y ello tiende a bajar la calidad del producto final.
16. 3.3.4.2. Soporte técnico del portal con deficiencias
Las plataformas informáticas deben gozar de soporte técnico que solvente las
problemáticas de los usuarios de dicho sistema y que desarrolle componentes
que provea de funcionalidades y mejoras al producto.
Lo anterior garantiza la mejora continua y la escalabilidad de los sistemas de
información, es decir, sin ello los sistemas de información llegan a su proceso
de declive o muerte rápidamente.
4. INSTRUMENTO
En el marco de desarrollo de esta labor se ha aplicado el diagrama de Ishikawa
(Ishikawa, 1991) teniendo en cuenta la información recolectada. Este diagrama
es una representación gráfica que muestra las relaciones entre una variable y
los posibles factores desencadenantes o causales.
17. 4.1.1. Diagrama de Ishikawa. (Causa Efecto)
Percepción negativa
de la Plataforma SMA
Flexibilidad Despliegue
AparienciaSoporte de procesos
Infraestructura
tecnológica.
Crecimiento porcentual
de la base de datos
Configuración de
servidores no idónea
Cantidad de opciones
para realización de
tareas reducidas
Modo de realizar los
procesos con mucho
esfuerzo
Saturación de color
Deficiencias en la
distribución del contenido
Poco soporte
documentado del
software
Soporte técnico del
portal con deficiencias
18. 4.1.2. Subcategorías (Causa Efecto).
Para la elaboración de las subcategorías pertenecientes a cada causal descrito en el diagrama de Ishikawa, se colocó en
práctica el método de lluvia de idas o Brainstorming.
CAUSAL CATEGORIA N° SUBCAUSAL (BRAINSTORMING)
Cantidad de opciones para realización de
tareas reducidas.
Flexibilidad
1 Levantamiento de requerimientos no
apropiado en etapa de desarrollo del
sistema.
2 Diseñador gráfico con poca experiencia.
3 No realización de benchmarking para
conocer funcionalidades de otras
plataformas
Modo de realizar los procesos con mucho
esfuerzo.
Flexibilidad
4 Contenido relevante no visible a simple
vista.
5 Interfaz de usuario poco intuitiva.
6 Proceso de desarrollo de interfaz visual de
la plataforma con desconocimiento del tipo
de usuario.
Crecimiento porcentual de la base de datos Despliegue
7 Bases de datos no normalizadas
8 Bases de datos con información redundante.
19. 9 Ineficiente depuración de los datos de la
base de datos.
Infraestructura tecnológica. Despliegue
10 Servidores con pocos recursos de hardware.
11 Servidores obsoletos.
12 No existe aumento de recursos del servidor
a medida que incrementa información
almacenada en la plataforma.
Configuración de servidores no idónea Despliegue
13 Nivel de concurrencia de usuarios no
indicado para la cantidad de usuarios
probables a conectarse
14 Sesiones de usuarios sin temporización
para desconexión o con temporización de
mucho tiempo.
15 Versiones de las aplicaciones para
despliegue de plataforma obsoletas.
Poco soporte documentado del software Soporte de procesos
16 Carencia de una metodología de desarrollo
estándar en proceso de desarrollo de la
plataforma.
17 No documentación de los procedimientos y
funcionalidades del software.
20. 18 No uso de control de versiones de las
plataformas.
Soporte técnico del portal con deficiencias Soporte de procesos
19 Presupuesto insuficiente para la
contratación de especialistas en sistemas.
20 Mano de obra no calificada para
desempeñar labores.
21 Poca auditoria de sistemas en la
dependencia encargada.
Deficiencias en la distribución del contenido Apariencia
22 Presupuesto insuficiente para contratación
de webmaster especializado.
23 No implementación de benchmarking para
gestionar contenidos de la plataforma con
relación a otras consolidadas en el mercado
24 Desconocimiento del usuario final de la
plataforma en el momento de desarrollar e
implementar el sistema.
Saturación de color Apariencia
25 Presupuesto insuficiente para la
contratación de diseñador gráfico
especializado.
26 Obsolescencia de la plataforma de gestión.
21. 4.1.3. Análisis y Conclusiones de relación Causa – Efecto
Al analizar el diagrama de causa efecto y los supuestos extraídos de la metodología
brainstorming empleada se puede concluir que la problemática vivenciada en torno
a la plataforma SMA radica en:
• Mano de obra poco calificada para ejecutar los procesos de desarrollo, diseño y
mantenimiento del sistema de información.
• La infraestructura tecnológica y recursos tecnológicos en el cual se ve soportada
la aplicación carece de recursos técnicos para su optimo desempeño.
El sistema de información de la institución debe cumplir con estándares enmarcados
dentro del campo de la calidad de software para garantizar la óptima operatividad y
experiencia de los usuarios, y esto solo se consigue teniendo una dependencia de
sistemas que audite los procesos, realice ingeniera de requerimientos eficaz que
subsane las necesidades de los usuarios, documente procesos de la plataforma de
gestión, invierta tiempo en el diseño gráfico de las interfaces de usuario y que
mejore cada aspecto funcional de la aplicación.
Otra parte que es de vital importancia para el desempeño o performance de
cualquier sistema de información son los servidores, conexiones, ancho de banda
del internet suministrado, configuraciones etc. Términos que generalmente son
llamados infraestructura tecnológica. Las aplicaciones tienden a crecer en el tiempo
considerablemente dependiendo su uso, y por ello los recursos de estas deben estar
aumentándose y aplicándose procesos de depuración de información para
garantizar un óptimo despliegue.
De acuerdo a lo anterior, se puede afirmar que si se poseen buenos recursos que
soporten la aplicación y mano de obra calificada para desenvolver procesos de
reingeniería y rediseño se pueden obtener cambios sustanciales y en consecuencia
un cambio considerable en la percepción que tienen los usuarios al entrar a realizar
sus tareas dentro de la plataforma SMA. De este modo se tendrá un sistema
completamente escalable y adaptable a las situaciones que se presenten en el
contexto.
22. 5. PROCESO DE GESTIÓN DEL RIESGO
La Universidad de Cartagena en el marco de las gestiones desarrolladas por su
comunidad académica se le gestiona el siguiente plan de riesgos para efectos de
soportar y ejecutar acciones correctivas netamente relacionadas con su plataforma
de gestión académica SMA, basado en el sistema de normas ISO 27001, puesto
que es el estándar que asocia el tipo de recurso en cuestión: “Sistemas de
información” para el desarrollo de planes de riesgos.
5.1. Identificación de las partes interesadas (Stakeholders)
1. Estudiantes Universidad de Cartagena.
2. Administrativos de la Universidad de Cartagena.
3. Docentes de la Universidad de Cartagena.
5.2. Definición de La Meta
• Garantizar una óptima experiencia virtual a los usuarios que interactúan en
la plataforma SMA de la Universidad de Cartagena.
5.3. Fuente de Información
Diagrama de Causa-Efecto (Ishikawa).
5.4. Objetivos
5.4.1. Objetivo General
• Diseñar un plan de riesgos efectivo que brinde un soporte de acciones
correctivas y preventivas a la funcionalidad de la plataforma SMA de la
Universidad de Cartagena.
5.4.2. Objetivos Específicos
• Analizar los tópicos de la norma ISO 27001 relacionados con la seguridad de
la información en las organizaciones.
• Realizar un detalle de inventario e de los diferentes activos informativos que
existe en la organización.
23. • Identificar los riesgos inherentes a los sistemas de información e
infraestructura tecnológica de la organización.
• Proveer un listado de acciones correctivas a los riesgos encontrados.
5.5. Categorización de Activos Informáticos
La norma ISO 27001 Solicita la categorización de los activos informáticos inmersos
en los procesos a los cuales se les determinara gestión de riesgos.
Los activos de información se valoran teniendo en cuenta los siguientes criterios:
DISPONIBILIDAD
Impacto si el activo no se encuentra
disponible
(D)
INTEGRIDAD
Impacto si el activo es alterado sin
autorización y/o control.
(I)
CONFIDENCIALIDAD
Impacto si se accede al activo de forma no
autorizada
(C)
A continuación, se categorizan los activos relacionados y/o inmersos en la gestión
de infraestructura y mano de obra y soporte a la plataforma SMA de la Universidad
de Cartagena.
N° ACTIVO
CLASIFICACI
ÓN
SUB
CLASIFICACIÓN
INV.
RELACIONADO
VALORACI
ÓN
1 MS OFFICE
ACTIVO
PURO
SOFTWARE DE
APLICACION
INV.
SOFTWARES
(D)
2 SISTEMAS OPERATIVOS
ACTIVO
PURO
SISTEMAS
OPERATIVOS
INV.
SOFTWARES
(D)
3 SERVIDORES
ACTIVO
FÍSICO
INFRAESTRUCT
URA
INV.
SERVIDORES
(D)
4
SISTEMA DE GESTIÓN
DE BASES DE DATOS
ACTIVO
PURO
DATOS
DIGITALES
INV.
SERVIDORES
(I)
5 LINEAS TELEFONICAS
ACTIVO
PURO
ACTIVO
TANGIBLES
INV.LINEAS
TELEFONICAS
(D)
6 EQUIPOS DE COMPUTO
ACTIVO
FISICO
INFRAESTRUCT
URA
INV.DE
EQUIPOS
COMPUTACION
ALES
(C)
7
SOFTWARE DE
MENSAJERIA
INSTANTANEA
ACTIVO
PURO
DATOS
DIGITALES
INV.
SOFTWARES
(D)
8
CORREOS
ELECTRONICOS
ACTIVO
PURO
DATOS
DIGITALES
INV. CORREOS
ELECTRONICOS
(C)
9
SOFTWARE PROXY
PARA SEGURIDAD DE
SERVIDORES
ACTIVO
PURO
SOFTWARE DE
APLICACION
INV.
SOFTWARES
(D)
10 EMPLEADOS EMPLEADOS
ACTIVOS
HUMANOS
EMPLEADOS (D)
24. 5.6. Tabla De Control Y Evaluación de Riesgos Activos De Información
INFORMACIÓN GENERAL DEL ACTIVO
INFORMACIÓN EVALUACIÓN Y CONTROL DE RIESGOS
F = FRECUENCIA
V= VALOR
ESTIMACIÓN DE
IMPACTO
D = DEGRADACIÓN
V = VALOR
EVALUACIÓN DEL CONTROL DE RIESGO
C = CUALIFICACIÓN
E = EFICIENCIA
M = MARGINALIDAD
N° ACTIVO DESCRIPCIÓN CLASE SUB CLASE
INV.
RELACIONADO
TIPO DE
RIESGOS
DESC. RIESGO F V D V ACCIÓN DE CONTROL C E M
1 MS OFFICE
SUITE DE EDICIÓN
DE DOCUMENTOS,
HOJA DE
CALCULO,
PRESENTACIONES
ETC
ACTIVO
PURO
SOFTWARE
DE
APLICACION
INV.
SOFTWARES
OPERATIVO
Vencimiento de
licenciamiento.
NORMAL 0.6 INSIGNIFICANTE 0.2
Realizar pago oportuno
de licencia de software
periodo determinado
menos de un mes del
cumplimiento de la
misma.
ADECUADO 70% 0.3
2
SISTEMAS
OPERATIVOS
USUARIOS
SOFTWARE DE
INTERACCIÓN
USUARIO
MAQUINA: MS
WINDOWS 7
PROFESSIONAL
ACTIVO
PURO
SISTEMAS
OPERATIVOS
INV.
SOFTWARES
OPERATIVO
Vencimiento de
licenciamiento.
NORMAL 0.6 INSIGNIFICANTE 0.2
Realizar pago oportuno
de licencia de software
periodo determinado
menos de un mes del
cumplimiento de la
misma.
ADECUADO 70% 0.3
TECNOLOGÍA
SISTEMAS
OPERATIVOS
SERVIDORES
SOFTWARE DE
INTERACCIÓN
USUARIO MQUINA:
GNU LINUX
CENTOS
ACTIVO
PURO
SISTEMAS
OPERATIVOS
INV.
SOFTWARES
OPERATIVO
No actualización de
sistemas operativos GNU
Linux, podría ocasionar
desactualización de
paquetes y por ende no
buen funcionamiento
operativo de servicios
instalados.
NADA
FRECUENTE
0.2 INSIGNIFICANTE 0.2
Realizar seguimiento en
comunidades de software
libre o en página web de
la distribución de software
de las versiones estables
de actualización
DEBÍL 30% 0.7
TECNOLOGÍA
Generar actualizaciones
programadas para no
afectar actividades
operativas cotidianas.
ADECUADO 70% 0.3
3 SERVIDORES
MAQUINAS DE
GESTIÓN DE
SERVICIOS
ACTIVO
FÍSICO
INFRAESTRU
CTURA
INV.
SERVIDORES
OPERATIVO
Daños o fallos de
dispositivos de hardware
(Discos Duros, Memorias,
Boards, CPU)
FRECUENTE 0.8 MODERADO 0.6
Mantenimientos
Preventivos programadas
ADECUADO 70% 0.3
Mantenimientos
Correctivos programadas
ADECUADO 70% 0.3
Generación de Copias de
seguridad programadas
MUY
ADECUADO
90% 0.1
Gestión de monitoreo ADECUADO 70% 0.3
4
SISTEMA DE
GESTIÓN DE
BASE DE DATOS
SOFTWARE DE
GESTIÓN DE BASE
DE DATOS
ACTIVO
PURO
DATOS
DIGITALES
INV.
SERVIDORES
OPERATIVO
Perdida de Datos por fallos
eléctricos
POCO
FRECUENTE
0.4 MAYOR 0.8
Conectar Servidor de
Base de datos a UPS y
estabilizador de Voltaje
MUY
ADECUADO
90% 0.1
Generar copias de
seguridad diarias de
bases de datos
MUY
ADECUADO
90% 0.1
FINANCIERO
Modificación a datos por
usuarios operativos o de
desarrolladores SQL.
NADA
FRECUENTE
0.2 MAYOR 0.8
Generar gestión de
control de acceso de
usuarios a base de datos,
con privilegios
determinados.
ADECUADO 70% 0.3
Tener dos entornos de
bases de datos: uno de
ADECUADO 70% 0.3
25. prueba y otro de
producción.
TECNOLOGÍA
Obsolescencia de base de
datos por no actualización
de SGBD
NADA
FRECUENTE
0.2 MENOR 0.4
Generar actualizaciones
programadas para no
afectar actividades
operativas cotidianas.
DEBÍL 30% 0.7
NEGOCIOS
Retardos de tiempo en
consultas de bases de
datos
FRECUENTE 0.8 INSIGNIFICANTE 0.2
Realización de
mantenimiento preventivo
programado a servidor de
base de datos.
ADECUADO 70% 0.3
Ampliar canal de datos en
caso de conexiones
externas.
ADECUADO 70% 0.3
5
LINEAS
TELEFONICAS
SISTEMA DE
COMUNICACIÓN
PARA LLAMADAS
POR VOZ
ACTIVO
PURO
ACTIVO
TANGIBLES
INV.LINEAS
TELEFONICAS
Y FAX
OPERATIVO
Daños o fallos de
dispositivos de hardware
(Troncales, Teléfonos,
Faxes)
FRECUENTE 0.8 MODERADO 0.6
Mantenimientos
Preventivos programadas
ADECUADO 70% 0.3
Mantenimientos
Correctivos programadas
ADECUADO 70% 0.3
Generación de Copias de
seguridad programadas
MUY
ADECUADO
90% 0.1
Gestión de monitoreo ADECUADO 70% 0.3
6
EQUIPOS DE
COMPUTO
MAQUINAS DE
PROCESAMIENTO
Y
ALMACENAMIENT
O DE
INFORMACIÓN DE
USUARIOS.
ACTIVO
FISICO
INFRAESTRU
CTURA
INV.DE
EQUIPOS
COMPUTACION
ALES
OPERATIVO
Daños o fallos de
dispositivos de hardware
(Discos Duros, Memorias,
Boards, CPU)
FRECUENTE 0.8 MODERADO 0.6
Mantenimientos
Preventivos programadas
ADECUADO 70% 0.3
Mantenimientos
Correctivos programadas
ADECUADO 70% 0.3
Generación de Copias de
seguridad programadas
MUY
ADECUADO
90% 0.1
Gestión de monitoreo ADECUADO 70% 0.3
7
SOFTWARE DE
MENSAJERIA
SOFTWARE DE
MENSAJERIA
INSTANTANEA
ACTIVO
PURO
DATOS
DIGITALES
INV. DE
USUARIOS DE
MENSAJERIA
INSTANTANEA
JABBER
OPERATIVO
Eliminación de base de
datos de usuarios.
NADA
FRECUENTE
0.2 MENOR 0.4
Generación de Copias de
seguridad programadas
MUY
ADECUADO
90% 0.1
8
SOFTWARE DE
CORREOS
ELECTRONICOS
SOFTWARE
CORREOS
ELECTRONICOS
ACTIVO
PURO
SOFTWARE
DE
APLICACION
INV.
SOFTWARES
OPERATIVO
Eliminación de base de
datos de usuarios.
NADA
FRECUENTE
0.2 MENOR 0.4
Generación de Copias de
seguridad programadas
MUY
ADECUADO
90% 0.1
9
SOFTWARE
PROXY PARA
SEGURIDAD DE
SERVIDORES
SOFTWARE DE
GESTIÓN DE
CONTROL DE
ACCESO
ACTIVO
PURO
SOFTWARE
DE
APLICACION
INV.
SOFTWARES
OPERATIVO Eliminación de usuarios
NADA
FRECUENTE
0.2 MENOR 0.4
Generación de Copias de
seguridad programadas
MUY
ADECUADO
90% 0.1
N° FRECUENCIA VALORACIÓN N° ACCIÓN DE CONTROL VALORACIÓN MARGINALIDAD
1 NADA FRECUENTE 0,2 1 MUY DEBIL 0,1 0,9
2 POCO FRECUENTE 0,4 2 DEBIL 0,3 0,7
3 NORMAL 0,6 3 NORMAL 0,5 0,5
4 FRECUENTE 0,8 4 ADECUADO 0,7 0,3
5 MUY FRECUENTE 1 5 MUY ADECUADO 0,9 0,1
CRITERIOS DE EVALUACIÓN DE RIESGOS CRITERIOS DE EVALUACIÓN DE RIESGOS
26. 5.7. Periodicidad de Ejecución de Controles
ACTIVO ACCIÓN DE CONTROL MODO EJECUCIÓN RESPONSABLE
MS OFFICE
Realizar pago
oportuno de licencia
de software periodo
determinado menos de
un mes del
cumplimiento de la
misma.
CADA 12 MESES TESORERIA
SISTEMAS
OPERATIVOS
USUARIOS
Realizar seguimiento
en comunidades de
software libre o en
página web de la
distribución de
software de las
versiones estables de
actualización
SEGÚN LO
REQUIERA SISTEMA
OPERATIVO
SISTEMAS
SISTEMAS
OPERATIVOS
SERVIDORES
Generar
actualizaciones
programadas para no
afectar actividades
operativas cotidianas.
CADA 1 MES SISTEMAS
SISTEMAS
OPERATIVOS
SERVIDORES
Mantenimientos
Preventivos
programadas
CADA 3 MESES SISTEMAS
Mantenimientos
Correctivos
programadas
CADA 3 MESES SISTEMAS
SERVIDORES
SISTEMA DE
GESTIÓN DE BASE
DE DATOS
Generación de Copias
de seguridad
programadas
CADA 1 DIA SISTEMAS
Gestión de monitoreo CADA 1 MES SISTEMAS
Conectar Servidores
de Base de datos a
UPS y estabilizador de
Voltaje
CADA VEZ QUE SE
INSTALE
SISTEMAS
Generar copias de
seguridad diarias de
bases de datos
CADA 1 DIA SISTEMAS
SOFTWARE DE
SISTEMA DE
GESTIÓN DE BASE
DE DATOS
Generar gestión de
control de acceso de
usuarios a base de
datos, con privilegios
determinados.
CADA VEZ QUE SE
SOLICITE POR UN
CORDINADOR
SISTEMAS
Tener dos entornos de
bases de datos: uno
de prueba y otro de
producción.
CADA VEZ QUE SE
INSTALE UNO
SISTEMAS
Generar
actualizaciones
programadas para no
afectar actividades
operativas cotidianas.
CADA 3 MESES SISTEMAS
27. Realización de
mantenimiento
preventivo
programado a servidor
de base de datos.
CADA 3 MESES SISTEMAS
Ampliar canal de datos
en caso de conexiones
externas.
CADA VEZ QUE SE
REQUIERA
SISTEMAS
LINEAS
TELEFONICAS
Mantenimientos
Preventivos
programadas
CADA 3 MESES SISTEMAS
Mantenimientos
Correctivos
programadas
CADA 3 MESES SISTEMAS
EQUIPOS DE
COMPUTO
Generación de Copias
de seguridad
programadas
CADA 3 MESES SISTEMAS
Gestión de monitoreo CADA 3 MESES SISTEMAS
Mantenimientos
Preventivos
programadas
CADA 3 MESES SISTEMAS
Mantenimientos
Correctivos
programadas
CADA 3 MESES SISTEMAS
EQUIPOS DE
COMPUTO
SOFTWARE DE
MENSAJERIA
INSTANTANEA
Generación de Copias
de seguridad
programadas
CADA 1 SEMANA SISTEMAS
Gestión de monitoreo CADA 1 MES SISTEMAS
Generación de Copias
de seguridad
programadas
CADA 1 SEMANA SISTEMAS
Generación de Copias
de seguridad
programadas
CADA 1 SEMANA SISTEMAS
CORREOS
ELECTRONICOS
Generación de Copias
de seguridad
programadas
CADA 1 DIA SISTEMAS
SOFTWARE PROXY
PARA SEGURIDAD
DE SERVIDORES
Generación de Copias
de seguridad
programadas
CADA 1 MES SISTEMAS
28. 6. CONCLUSIÓN
La buena percepción que tengan los usuarios de la plataforma SMA depende única
y exclusivamente de su correcto desempeño, por ende el plan de riesgos está
sustentado en cada uno de los activos que fundamentan la funcionalidad del sistema
de información como lo nombra la norma ISO 27001.
De acuerdo a lo anterior se recomienda la Universidad de Cartagena acerca de la
plataforma SMA, que se deben tener en cuenta una serie de estrategias para la
organización, que deben priorizar en generar contratos con pólizas de
cumplimientos a la empresa tercera que se ocupa de los sistemas de información
de la empresa o en su defecto vincular mano de obra calificada para que soporte la
plataforma a nivel de infraestructura y de procedimientos relacionados con la lógica
del negocio, y en caso tal se violen estas reglas y/o políticas la organización debe
ser multadas según lo estipulado en la parte contractual de la labor realizada, de
este modo se blindaría la información técnicamente y también legislativamente.
En resumen, se debe tener en cuenta los siguientes puntos para poder manejar los
riesgos adecuadamente en el espacio de trabajo:
1. Se recomienda el desarrollo de auditoria a los sistemas de información de la
compañía teniendo en cuenta:
• Localización de equipos y datacenter.
• Armarios y racks donde se ubican los servidores, routers y switches.
• Presupuestar equipos para gestionar servicios de seguridad, bases de
datos, aplicaciones, según sea la necesidad operativa
• Cableado estructurado UTP
• Puntos de red y de voz con los dispositivos del datacenter.
• Acceso de internet de la plataforma SMA
• Instalación y configuración de equipos de cómputos.
2. Programar servicios de soporte técnico de equipos con regularidad.
• Mantenimientos preventivos.
• Mantenimientos correctivos.
29. El programa de riesgos contempla a los empleados como activos humanos,
recursos de suma importancia para la óptima operación de la plataforma SMA como
de los demás sistemas de información, pero a estos se le debe generar un plan de
riesgo contemplando la norma ISO 45001 (Seguridad y Salud en el trabajo), ya que
el presente documento ilustra solo los riesgos relacionados con la operatividad de
la plataforma tecnológica SMA.
30. 7. FUENTES DE INFORMACIÓN
• ALBERTO G. ALEXANDER. (2007). Diseño de un sistema de gestión de
seguridad de información (1era Edición). Bogotá Colombia: Editorial Alfa y
Omega.
• Pressman, Roger S. (2002). Ingeniería de Software: un enfoque práctico.
Editorial Mc Graw Hill, Capitulo 6: “Análisis y gestión del riesgo”.
• Somerville, Ian. (2005). Ingenieria de Software. Editorial Pearson, Sección
5.4 “Gestión de riesgos”.
• INTECO – CERT (s.f) Centro de respuesta a incidentes de seguridad TIC.
Recuperado el 22 de Junio de 2012, de Conceptos básicos de SGSI.
• Diseñar los mecanismos de Seguridad y Control, Autores: Magda Milena
García Gamboa, Rafael Neftalí Lizcano Reyes, Claudia Milena Hernandez.
SENA Creative Commons.
40. 201766 PLATAFORMA VIRTUAL SMA. Formularios de Google
https://docs.google.com/forms/d/1hUBDLxhEZpOMZCa5sEoWrwZBGoI4oS9YqEuCCQJ0Qg/edit#responses 2/6
Nivel de escolaridad
42 respuestas
¿Con que frecuencia ingresa usted en la plataforma SMA?
42 respuestas
Seleccione del 1 – 5 donde 1 es muy malo y 5 es muy bueno, el grado de satisfacción
que tiene en cuanto al desempeño de la plataforma de gestión académica SMA es:
42 respuestas
Empleado
Trabajador Independiente
Estudiante
64,3%
28,6%
Bachillerato
Tecnico
Tecnologo
Profesional
Postgrados
14,3%
57,1%
26,2%
Más de una vez por semana
Una vez por semana
Ocasionalmente
Quincenalmente
Mensualmente
21,4%
9,5%
54,8%
11,9%
41. 201766 PLATAFORMA VIRTUAL SMA. Formularios de Google
https://docs.google.com/forms/d/1hUBDLxhEZpOMZCa5sEoWrwZBGoI4oS9YqEuCCQJ0Qg/edit#responses 3/6
Seleccione los factores que considera usted inퟢ�uyen en la percepción negativa que tiene
de la plataforma SMA. (Puede escoger varios)
42 respuestas
De las siguientes a韛�rmaciones exprese seleccionando, su grado de acuerdo o desacuerdo
El sistema produce resultados exactos
42 respuestas
El sistema produce resultados coherentes
42 respuestas
20
26 (61,9 %)
0 2 4 6 8 10 12 14 16 18 20 22 24
Poca flexibilidad.
Poco Intuitiva.
Poco estética
Información no i…
Poca seguridad…
Poca o nula info…
Despliegue lento
Adaptación del…
16 (38,1 %)16 (38,1 %)16 (38,1 %)
12 (28,6 %)12 (28,6 %)12 (28,6 %)
16 (38,1 %)16 (38,1 %)16 (38,1 %)
10 (23,8 %)10 (23,8 %)10 (23,8 %)
2 (4,8 %)2 (4,8 %)2 (4,8 %)
13 (31 %)13 (31 %)13 (31 %)
23 (54,8 %)23 (54,8 %)23 (54,8 %)
10 (23,8 %)10 (23,8 %)10 (23,8 %)
Total Desacuerdo
Mediano Desacuerdo
Indiferente
Mediano acuerdo
Total acuerdo
14,3%
26,2%
31%
23,8%
42. 201766 PLATAFORMA VIRTUAL SMA. Formularios de Google
https://docs.google.com/forms/d/1hUBDLxhEZpOMZCa5sEoWrwZBGoI4oS9YqEuCCQJ0Qg/edit#responses 4/6
El sistema es fácil de aprender
42 respuestas
El sistema es fácil de usar
42 respuestas
El sistema es ퟢ�exible ante situaciones nuevas
42 respuestas
El sistema no muestra datos redundantes
42 respuestas
Total Desacuerdo
Mediano Desacuerdo
Indiferente
38,1%
Total Desacuerdo
Mediano Desacuerdo
Indiferente
Mediano acuerdo
Total acuerdo
11,9%
9,5%
59,5%
11,9%
Total Desacuerdo
Mediano Desacuerdo
Indiferente
Mediano acuerdo
Total acuerdo
19%
23,8%
45,2%
Total Desacuerdo
Mediano Desacuerdo
Indiferente
Mediano acuerdo
Total acuerdo
21,4%
16,7%40,5%
19%
43. 201766 PLATAFORMA VIRTUAL SMA. Formularios de Google
https://docs.google.com/forms/d/1hUBDLxhEZpOMZCa5sEoWrwZBGoI4oS9YqEuCCQJ0Qg/edit#responses 5/6
El esfuerzo requerido por las tareas del sistema son poco excesivos
42 respuestas
El sistema muestra información de ayuda en sus opciones y tareas.
42 respuestas
El despliegue del sistema es ágil.
42 respuestas
Total Desacuerdo
Mediano Desacuerdo
Indiferente
Mediano acuerdo
Total acuerdo
11,9%
11,9%
26,2%
45,2%
Total Desacuerdo
Mediano Desacuerdo
Indiferente
Mediano acuerdo
Total acuerdo
23,8%
42,9%
23,8%
Total Desacuerdo
Mediano Desacuerdo
Indiferente
Mediano acuerdo
Total acuerdo
23,8%31%
19%
26,2%