Componentes de seguridad en los SI
Activos: recursos del SI, físicos o lógicos.
Amenazas: eventos que pueden desencadenar un incidente (accidentes, errores, mal intenciones).
Vulnerabilidades: debilidades de los activos.
Impacto: medida del daño.
Riesgo: probabilidad de que se produzca un impacto.
Salvaguarda: dispositivo, físico o lógico, capaz de reducir o mitigar el riesgo de que se produzca un incidente. Hay dos tipos:
- a) Preventivas: para evitar los riesgos
- b) Protectoras: las que, una vez producido el riesgo, intentan mitigarlo.
Sistema interorganizativo (SIE): sistema de información que va más allá de los límites de una organización, incluyendo a diversas empresas. Es un sistema de información que permite conectar los sistemas de un sistema interempresarial. La empresa que crea el sistema SIE se llama facilitadora y las que se unen al sistema se llaman participantes. Un ejemplo de facilitadora es ADQUIRA, la plataforma de compras de Repsol, Telefónica, Iberia y BBVA, que son las participantes.
Metodología en 4 fases
1) Inicialización: defino la problemática y el cambio. El input es la necesidad del cambio y el output son las fases del plan de cambio a ejecutar, la base del plan.
2) Definición del modelo de negocio: cojo el output anterior y estudio la cultura para ver cómo pinto el nuevo proceso. El input es la base del cambio que he planificado y se tiene que analizar a nivel de cultura, de comportamiento (aptitudes y actitudes), cómo afecta el cambio.
3) Absorción del impacto: cojo el nuevo modelo diseñado y lo pongo en marcha, absorbiendo el impacto negativo y fomentando el impacto positivo. Como output tengo el proceso implantado.
4) Difusión: el input es el modelo implantado y el output es la evaluación y monitorización del sistema y que sea conocido y aceptado por toda la organización.
Adecuada gestión del conocimiento
El conocimiento es el factor clave para la obtención de ventajas competitivas. Hay que sacarle partido porque, de lo contrario, no sirve para nada. Para gestionar el conocimiento, lo que hay que hacer es:
- Captarlo (cultura)
- Organizarlo (personas)
- Difundirlo (procesos). Es el más importante.
- Compartirlo (tecnología). Así cierra el círculo.
Por tanto, nos vamos a apoyar en la tecnología, en los procesos y en las personas para buscar una correcta gestión del conocimiento y crear cultura. Una vez creada una cultura, se puede gestionar mucho mejor el conocimiento ya que existirán unas bases sólidas que toda la empresa conocerá.
Los dos grandes tipos de subcontratación
Subcontratación de activos: consiste en la subcontratación del conjunto de recursos informáticos que son propiedad de la organización contratante. Dentro de la subcontratación de activos se pueden subcontratar diferentes elementos:
- A) Subcontratación de procesamiento de datos: la empresa subcontratada procesa los datos en nombre de la propietaria de éstos. Se debe acordar la forma de procesar los datos y el propósito.
- B) Subcontratación de redes y comunicaciones: la empresa subcontratada cede sus redes para que sea la empresa contratante quien haga uso de ellas.
- C) Subcontratación de CPD y HW: externalización de desarrollos software que no pueden ser desarrollados por su propio personal. También se puede subcontratar el alojamiento de los CPD para reducir costes al no requerir de instalaciones y evitar el mantenimiento.
Subcontratación de servicios: los principales servicios que se pueden subcontratar relacionados con las TIC son los siguientes:
- A) Implantación de sistemas: se contrata a consultoras especializadas en la implantación de sistemas.
- B) Seguridad y auditoría informática: se contrata a empresas especializadas que lleven a cabo un análisis y mantenimiento de la seguridad informática de las empresas. También se realizan auditorías para que la empresa certifique que no se están cometiendo irregularidades dentro de los sistemas.
Tipos de niveles de cambio
Mejora: consiste en realizar mejoras en aspectos que sean relevantes. A este nivel, la magnitud del cambio se centra en mejorar la eficiencia y en reducir los costes. También existe el concepto de la mejora continua, que se refiere a la obligatoriedad de ir revisando todo lo que se hace en la empresa para ir mejorando los procesos de ésta, en otras palabras, el concepto de mejora continua (dentro de los procesos) consiste en estar siempre vigilante y midiendo que las cosas se hacen correctamente, mejorar el rendimiento y la eficiencia operativa en todos los procesos. La mejora continua es complementaria a la reingeniería, pero la mejora continua se inicia en el momento que decida la empresa, es constante, requiere un largo tiempo y no puede provocar cambios estructurales dentro de la empresa. Es “bottom up”, es decir, se lleva a cabo desde la parte baja de la escala jerárquica hacia la parte superior. La mejora continua es, además, más barata que la reingeniería y, por tanto, implica menos riesgo.
Reingeniería: gracias a la tecnología se pueden sustituir los procesos anteriores por otros actuales, siguiendo condicionantes de creación de valor empresarial. En este caso, la magnitud del cambio se centra en la mejora de la calidad y su ámbito del cambio es intermedio. El concepto de reingeniería implica un cambio abrupto e implica comenzar desde cero, por lo que es puntual y requiere menos tiempo que la mejora continua. Tiene un mayor coste y, por tanto, presenta más riesgo. Mediante la reingeniería sí es posible realizar cambios estructurales dentro de la organización.
Transformación: va ligada a la estrategia, especialmente cuando existe una modificación de ésta, por lo que la magnitud del cambio es mucho mayor que en la reingeniería o que en la mejora.