ACTIVIDADES APROPIACION DEL CONOCIMIENTO

RESPUESTAS A INTERROGANTES

I. ¿COMO DEBE SER LA SELECCIÓN DE HARDWARE Y SOFTWARE?

Se deben tener determinados criterios al momento de analizar la selección del

Hardware y Software y estos pueden ser de carácter documental y
almacenamiento, ejecutado mediante un proceso formal que regule nuestras
decisiones y permita escoger la mejor alternativa de compra que nuestras
necesidades institucionales.

1. INTRODUCCIÓN
Escoger un software resulta importante cuando pretendemos automatizar
una Unidad de Información clasificada. Debemos enfocarnos en realizar un
proceso formal que nos ayude a regular nuestras decisiones y escoger la
mejor alternativa de compra que cumplir nuestras necesidades
institucionales.
Se recomienda ante todo, definir específicamente nuestras necesidades y
contemplar los recursos disponibles para que a partir de ello, definamos
nuestros objetivos.
Un elemento exterior a nuestra organización y no por eso, no importante lo
constituyen los proveedores que invariablemente pretenderán influir en
nuestra decisión de compra y más aún en esquivar sus obligaciones a la hora
de exigir cumplimientos.

A. De acuerdo a nuestra introducción podemos determinar de las

necesidades de hardware y software en tres puntos a saber:

a. Existencia de equipo en la organización.

b. Proceso de estimación de las cargas de trabajo presentes y futuras.
c. El proceso de involucrar evaluación habilidad del hardware y software de
computadoras para el manejo adecuado de las cargas de trabajo
B. Definiendo necesidades presente y futuras

a. Presentes: persigue mejorar la productividad mediante la ejecución más

rápida y precisa de tareas como el análisis de inversiones, la preparación
de presupuestos y la administración de los archivos.

b. Futuras: la disponibilidad de dinero que se dispone exige seleccionar y

comprar un sistema con la configuración mínima necesaria para
satisfacer las necesidades inmediatas. No obstante, es probable que se
requiera mayor poder de computo en el futuro, si es así, conviene adquirir
un sistema que se pueda ampliar para cubrir requerimientos futuros. Eso
es fácil de lograr en computadoras personales que incluyen cinco o más
ranuras de expansión, aunque no se utilicen se pueden llenar más
adelante con tarjetas inestables que contienen más fastillas de memoria,
circuitos de graficación más poderosos, microprocesadores más rápidos
etc.

C. Pasos para la selección de hardware y software.

a. Inventario de hardware que se encuentra disponible en la organización.

b. El tipo de equipo, modelo, fabricante etc.

c. Edad estimada de equipo.
d. Vida proyectada del equipo.
e. Ubicación del equipo

D. Estimación cargas de trabajo.

a. Tanto actuales como proyectadas por el sistema.

b. Identificar los requerimientos generales del equipo como son las
características que debe tener el equipo para apoyar los paquetes de
aplicación primordiales ya identificados y elegidos (y los programas de
sistema operativo que permiten su uso).
c. Las computadoras personales pueden ejecutar todos los paquetes,
siendo preciso coordinar cuidadosamente los programas elegidos con el
equipo necesario, ejemplo determinando cuanto almacenamiento
primario y secundario en línea se requiere para trabajar con los
programas de aplicación y sistemas elegidos. Tomando en cuanta cual
será la impresora apropiada, que se vaya a utilizar una de margarita o
láser, si será la adecuada para la cantidad de salida que imprime, si hace
ruido el papel que utiliza en fin se deben de tomar en cuenta todas estas
opciones.
d. El analista de sistemas debe establecer una mejor norma comparativa del
sistema de información existente y del nuevo sistema propuesto para que
trabaje con cargas de información que contengan ventajas y desventajas
 de los puntos que se consideren más importantes en la operación de un
sistema, así:

a) Las funciones que realiza el sistema

b) Personas que lo aplican
c) Cuando y como
d) Requerimiento tiempo humano
e) Requerimiento de tiempo de computadora.

e. El sistema particular de computo puede ser apropiado para la carga de

trabajo e inadecuado para otro, siendo frecuente los factores
determinantes y entre estas características relevantes debemos
considerar:

a) El tamaño de memoria.
b) Velocidad de Ciclo del sistema de procesamiento.
c) Numero de entradas y salidas de comunicación.
d) Tipos de unidades de almacenamiento auxiliares se pueden agregar.
e) Apoyo del sistema y software que se encuentran disponibles.

E. En la adquisición del equipo de cómputo existen tres principales

opciones de adquisición de hardware, siendo estos:

a) Compra
b) arrendamiento financiero
c) renta simple.

A. Evaluación del software.

Es necesario estudiar las siguientes categorías:

a. La efectividad de desempeño y sus caracteristas

a) Flexibilidad
b) Calidad de la documentación y soporte del fabricante.
c) Ejecución de tareas requeridas.
d) Ejecución de tareas futuras.
e) Pantallas bien diseñadas.
f) Capacidad adecuada
 b. La eficiencia y sus características

a) Tiempo de respuesta rápido

b) Entrada eficiente. Entrada eficiente.
c) Salidas eficientes.
d) Almacenamiento de datos eficientes.
e) Respaldo eficiente

c. La facilidad de uso

a) Interfaz de usuario satisfactoria.

b) Se dispone de menús de ayuda.
c) Interface flexible.
d) Retroalimentación adecuada.
e) Excelente recuperación de errores.

d. Flexibilidad.

a) Opciones para la entrada.

b) Opciones para la salida.
c) Usable con otros programas.

e. Calidad de documentación.

a) Buena organización
b) Tutorial adecuado.
c) Responde preguntas en forma adecuada

f. Soporte de fabricante.

a) Línea directa
b) Boletines de noticias.
c) Frecuentes actualizaciones (a menor costo)
 II. ¿ QUE ESTANDARES SE DEBEN TENER ENCUENTA PARA LA
EVALUACION?

Podríamos analizar que los estándares de evaluación es la solución a los problemas

que presenta la seguridad informática a través de un modelo de soluciones que se
va dando dentro los planes trazados.

1. Estándar de Seguridad

Contempla los siguientes aspectos, así:

1) Planes de contingencia
2) Planes control de acceso a los sistemas
3) Mantenimiento y desarrollo de
aplicaciones
4) Seguridad Física
5) Seguridad del personal y la organización
6) Control y clasificación de la información
7) Políticas de seguridad
8) Administración de operaciones
 2. Estándar Clasificación de Activos

Es una colección de información (datos relacionados entre sí) localizada o

almacenada como una unidad en alguna parte de la computadora, la cual
sirve para la entrada y salida de la computadora manejada por un programa.
La forma en que una computadora organiza, da nombre, almacena y
manipula los archivos se denomina sistema de archivos y suele depender del
sistema operativo y del medio de almacenamiento (disco duro, disco óptico,
etc.).

Clasificación

2.1) Archivos permanentes

2.2) Archivos maestros
2.3) Archivos constantes
2.4) Archivos históricos
2.5) Archivos temporales
2.6) Archivos intermedios
2.7) Archivos maniobras
2.8) Archivos resultados

3. Estándar de Personal

Es quien diseña y establece a base de los tiempos que por disciplina y nivel
de especialización o experiencia de cada funcionario se requieren para el
desempeño permanente de los Procesos sistematizados, por consiguiente,
su revisión es necesaria cuando se requiera alguna modificación del Modelo
de Operaciones empresarial.

Diríamos que se presentan en tres grupos, para facilitar

una implementación:

3.1) Plantilla de Personal –Procesos

3.2) Plantilla de Personal –Proyectos
3.3) Plantilla de Personal para la Consolidado
empresarial.
Apoyo Visual
4. Estándares de la Seguridad Física

Puede definirse como una guía en la implementación del sistema de

administración de la seguridad de la información, se orienta a preservar los
siguientes principios de la seguridad informática:

4.1) Confidencialidad
Asegurar que únicamente personal autorizado tenga acceso a
la información.

4.2) Integridad
Garantizar que la información no será alterada, eliminada o
destruida por entidades no autorizadas.

4.3) Disponibilidad
Asegurar que los usuarios autorizados tendrán acceso a la
información cuando la requieran.

Apoyo Visual

5. Estándares de Administración

Maneja y coordina la implementación y prueba de controles de seguridad y

el desarrollo de procedimientos para su operación y mantenimiento,
incluyendo el desarrollo de procedimientos, en conjunción con
Administración de Incidente, para el manejo de incidentes de seguridad y una
vez que los controles se han implementado ISM cubre las actividades
continúas requeridas para mantener la estructura de control de seguridad.
Esto incluye actividades tales como evaluar RFCs por impacto potencial,
coordinar pruebas regulares, promocionar conciencia de seguridad, entrenar
a practicantes, manejar incidentes de seguridad y asegurar la eficiencia y
efectividad del proceso.

Apoyo Visual
6. Estándares Control de Acceso

Conjunto de mecanismos y protocolos de comunicaciones a través de los

cuales varios "interlocutores" (dispositivos en una red,
como computadoras, teléfonos móviles, etc) se ponen de acuerdo para
compartir un medio de transmisión común (por lo general, un cable
eléctrico o fibra óptica, o en comunicaciones inalámbricas el rango de
frecuencias asignado a su sistema).

Es un concepto distinto que la multiplexación, aunque esta última es una

técnica que pueden utilizar los mecanismos de MAC.

Apoyo Visual

7. Estándar desarrollo y mantenimiento

Significa construir mediante su descripción, una muy buena razón para

considerar la actividad de desarrollo de software como una ingeniería; en un
nivel más general, la relación existente entre un software y su entorno es
clara ya que el software es introducido en el mundo en modo de provocar
ciertos efectos, criterios y análisis computacionales.

7.1) Análisis de requisitos

Extraer requisitos de un producto de software es la primera etapa para

crearlo. Mientras que los clientes piensan que ellos saben lo que el
software tiene que hacer, se requiere de habilidad y experiencia en la
ingeniería de software para reconocer requisitos incompletos,
ambiguos o contradictorios.

7.2) Análisis desarrollo de software

a. Diseño y arquitectura

Se refiere a determinar cómo funcionará de forma general sin

entrar en detalles. Consiste en incorporar consideraciones de la
implementación tecnológica, como el hardware, la red, etc. Se
definen los casos de uso para cubrir las funciones que realizará el
 sistema, y se transforman las entidades definidas en el análisis de
requisitos en clases de diseño, obteniendo un modelo cercano a la
programación orientada a objetos.

b. Programación

Reducir un diseño a código puede ser la parte más obvia del

trabajo de ingeniería de software, pero no es necesariamente la
porción más larga. La complejidad y la duración de esta etapa está
íntimamente ligada al o a los lenguajes de programación utilizados.

Apoyo Visual

8. Estándar de contingencia

Plan Orientado a establecer, junto con otros trabajos de seguridad un

adecuado sistema de seguridad física y lógica en previsión de desastres.

Se define la Seguridad de Datos como un conjunto de medidas destinadas a

salvaguardar la información contra los daños producidos por hechos
naturales o por el hombre. Se ha considerado que para la compañía, la
seguridad es un elemento básico para garantizar su supervivencia y entregar
el mejor Servicio a sus Clientes, y por lo tanto, considera a la Información
como uno de los activos más importantes de la Organización, lo cual hace
que la protección de esta sea el fundamento más importante de este Plan de
Contingencia.

En este documento se resalta la necesidad de contar con estrategias que

permitan realizar una serie de actividades asociadas al respaldo y
recuperación para enfrentar algún tipo desastre. Por lo cual, se debe tomar
como podemos tomar como guía para la definición de los procedimientos de
seguridad de la Información en cada departamento, los siguientes:
a. Actividades Asociadas

Las actividades consideradas en este documento son:

a) Análisis de Riesgos
b) Medidas Preventivas
c) Susceptibilidades
d) Previsión de Desastres Naturales
e) Plan de Respaldo
f) Plan de Recuperación

a) Análisis de Riesgos

Para realizar un análisis de los riegos, se procede a identificar los

objetos que deben ser protegidos, los daños que pueden sufrir, sus
posibles fuentes de daño y oportunidad, su impacto en la compañía, y
su importancia dentro del mecanismo de funcionamiento.

Posteriormente se procede a realizar los pasos necesarios para

minimizar o anular la ocurrencia de eventos que posibiliten los daños,
y en último término, en caso de ocurrencia de estos, se procede a fijar
un plan de emergencia para su recomposición o minimización de las
pérdidas y/o los tiempos de reemplazo o mejoría.

Susceptibles

Posibles bienes afectos a riesgos:

 Personal
 Hardware
 Software y utilitarios
 Datos e información e) Documentación
 Suministro de energía eléctrica
 Suministro de telecomunicaciones

Posibles daños a referirse:

 De acceso a los recursos debido a problemas físicos en las

instalaciones donde se encuentran los bienes, sea por causas
naturales o humanas.

 Imposibilidad de acceso a los recursos informáticos por

razones lógicas en los sistemas en utilización, sean estos por
cambios involuntarios o intencionales, llámese por ejemplo,
cambios de claves de acceso, datos maestros claves,
 eliminación o borrado físico/lógico de información
clave, proceso de información no deseado.

 Divulgación de información a instancias fuera de la Compañía

y que afecte su patrimonio estratégico

 Comercial y/o Institucional, sea mediante Robo o Infidencia.

Fuentes de daño

Las posibles fuentes de daño que pueden causar la no operación

normal de la compañía asociadas al Centro de Operaciones
Computacionales de son:

o Acceso no autorizado

 Por vulneración de los sistemas de seguridad en

operación (Ingreso no autorizado a las
instalaciones).

 Ruptura de las claves de acceso al sistema

computacional

 Instalación de software
de comportamiento errático y/o dañino para la
operación de los sistemas computacionales en
uso (Virus, sabotaje).

 Intromisión no calificada a procesos y/o datos de

los sistemas, ya sea por curiosidad o malas
intenciones.

o Prioridades

 La estimación de los daños en los bienes y su

impacto, fija una prioridad en relación a la cantidad
del tiempo y los recursos necesarios para la
reposición de los Servicios que se pierden en el
acontecimiento.

 Por lo tanto, los bienes de más alta prioridad serán

los primeros a considerarse en el procedimiento de
recuperación ante un evento de desastre.
c) Previsión de desastres Naturales

La previsión de desastres naturales sólo se puede hacer bajo el punto

de vista de minimizar los riesgos innecesarios en la sala
de Computación Central, en la medida de no dejar objetos en posición
tal que ante un movimiento telúrico pueda generar mediante su caída
y/o destrucción, la interrupción del proceso de operación normal.
Además, bajo el punto de vista de respaldo, el tener en claro los
lugares de resguardo, vías de escape y de la ubicación de
los archivos, diskettes, discos con información vital de respaldo de
aquellos que se encuentren aun en las instalaciones de la compañía.

 Movimientos telúricos que afecten directa o

indirectamente a las instalaciones físicas de soporte
(edificios) y/o de operación (equipos computacionales).

 Inundaciones causados por falla en los suministros

de agua

o Fallas que puede presentar los equipos de soporte:

 causadas por la agresividad del ambiente

 Red de energía eléctrica pública por diferentes razones

ajenas al manejo por parte de la Compañía.

 Equipos de acondicionamiento atmosféricos necesarios

para una adecuada operación de los equipos
computacionales más sensibles.

 Comunicación

 Tendido físico de la red local.

 Central Telefónica.

 Por fallas de líneas de fax.

 o Fallas de Personal Clave

Se considera personal clave aquel que cumple una función vital

en el flujo de procesamiento de datos u operación de los
Sistemas de Información:

 Personal de Informática.
 Gerencia
 Supervisores de Red.
 Administración de Ventas.
 Personal de Administración de Bodegas-Despachos.

o Fallas por inconvenientes:

 Enfermedad.
 Accidentes.
 Renuncias.
 Abandono de sus puestos de trabajo.
 Otros imponderables.
 Fallas de Hardware
 Falla en el Servidor de Aplicaciones y Datos, tanto en
su(s) disco(s) duro(s) como en el procesador central.

o Falla en el hardware de Red:

 Falla en los Switches.

 Falla en el cableado de la Red.
 Falla en el Router.
 Falla en el Firewall.
 Incendios

Nota expectativa Anual de Daños

A lo anterior y pensando en las pérdidas de información, equipo,

seguridad se deben tomar las medidas necesarias para que el tiempo
de recuperación y puesta en marcha sea menor o igual al necesario
para la reposición de las perdidas en todos sus aspectos; y podemos
enumerar algunas de carácter importante: así:
 Medidas Preventivas

o Control de Accesos

Se debe definir medidas efectivas para controlar los

diferentes accesos a los activos computacionales:

 Acceso físico de personas no autorizadas

 Acceso a la Red de PC's y Servidor.
 Acceso restringido a las librerías, programas, y datos.

o Adecuado Soporte de Utilitarios

Las fallas de los equipos de procesamiento de información

pueden minimizarse mediante el uso de otros equipos, a los
cuales también se les debe controlar periódicamente su
buen funcionamiento, nos referimos a:

 UPS de respaldo de actual servidor de Red o de

estaciones críticas
 UPS de respaldo switches y/o HUB's

o Seguridad Física del Personal

Se deberá tomar las medidas para recomendar, incentivar y

lograr que el personal comparta sus conocimientos con sus
colegas dentro de cada área, en lo referente a la utilización
de los softwares y elementos de soporte relevantes.
Estas acciones permitirán mejorar los niveles de seguridad,
permitiendo los reemplazos en caso de desastres,
emergencias o períodos de ausencia ya sea por vacaciones
o enfermedades.

o Seguridad de la Información

La información y programas de los Sistemas de Información

que se encuentran en el Servidor, o de otras estaciones de
trabajo críticas deben protegerse mediante claves de
acceso y a través de un plan de respaldo adecuado.
e) Plan de Respaldo

El Plan de Respaldo trata de cómo se llevan a cabo las acciones

críticas entre la pérdida de un servicio o recurso, y su recuperación o
restablecimiento. Todos los nuevos diseños de Sistemas, Proyectos o
ambientes, tendrán sus propios Planes de Respaldo.

 Datos Vitales

Identificar las áreas para realizar respaldos:

 Sistemas en Red.
 Sistemas no conectados a Red.
 Sitio WEB.

f) Plan de Recuperación

Los objetivos de un plan de recuperación pueden ser:

 Determinación de las políticas y procedimientos para las

aplicaciones y datos.

 Planificar la reactivación dentro de las 12 horas de producido un

desastre, todo el sistema de procesamiento y
sus funciones asociadas.

 Permanente mantenimiento y supervisión de los sistemas y

aplicaciones.

 Establecimiento de una disciplina de acciones a realizar para

garantizar una rápida y oportuna respuesta frente a un desastre.

Alcances de un plan de Recuperación

 El objetivo es restablecer en el menor tiempo posible el nivel

de operación normal del centro de procesamiento de la
información, basándose en los planes de emergencia y de
respaldo a los niveles del Centro de Cómputos y de los
demás niveles.

 La responsabilidad sobre el Plan de Recuperación es de la

Administración, la cual debe considerar la combinación de
 todo su personal, equipos, datos,
sistemas, comunicaciones y suministros.

Activación del Plan (de Nivel)

Toma de la decisión en el momento adecuado

 Queda a juicio del Gerente de Administración y Finanzas

determinar la activación del Plan de Desastres, y además
indicar el lugar alternativo de ejecución del Respaldo y/o
operación de emergencia, basándose en las
recomendaciones indicadas por éste.

Duración estimada

 Los supervisores de cada área determinarán la duración

estimada de la interrupción del servicio, siendo un factor
clave que podrá sugerir continuar el procesamiento en el
lugar afectado o proceder al traslado del procesamiento a
un lugar alternativo.

Responsabilidades

 Orden de Ejecución del Plan:

Gerencia de Admin. & Finanzas.

 Supervisión General de Plan:

Empresa en convenio para Recuperación.

 Supervisión del Plan de Rec:

Supervisor(es) de Área(s).

 Abastecimiento (HW, SW):

Asistente de Administración.

 Tareas de Recuperación:
Personal de tareas afines.
Aplicación del Plan

Se aplicará el plan siempre que se prevea una pérdida de servicio

por un período mayor de 48 horas, en los casos que no sea un fin
de mes, y un período mayor a 24 horas durante los fines de mes
(durante los cierres contables).

 Consideraciones Adicionales

Plan debe ser probado una vez al año

o Frente a la contingencia, se notifica al Gte. de

Administración y Finanzas, quien evalúa en terreno el
desastre, y estima tiempo de paro de operaciones
mientras se reestablecen las operaciones; si el tiempo
estimado es mayor a 48 horas de interrupción de
operaciones en cualquier día salvo el fin de mes, en cuyo
caso el tiempo estimado es mayor a 24 horas, entonces
convoca al comité de Recuperación, compuesto por:

 Supervisor de Plataforma
Empresa en convenio para Recuperación.

 Supervisión del Plan de Rec

Supervisor(es) de Área(s).

 Abastecimiento (HW, SW)

Asistente de Administración.

 Tareas de Recuperación
Personal de tareas afines.

o El comité determinará el lugar donde se instalará el

sistema alternativo (red y servidor alquilado), pudiendo
ser en las mismas premisas de E_X si las condiciones lo
permiten, o en las premisas de la empresa con convenio
recíproco de "Plan de Contingencia", si se contara con
ella.

 Cada supervisor de área, tomará nota de las

condiciones de la nueva plataforma operativa (sus
capacidades y limitaciones, tanto en funcionalidad
como en velocidad), e informará a su personal para
operar de acuerdo a estas restricciones, durante el
 tiempo que se vuelve a reestablecer el nivel
de operaciones normales, tal como se
experimenta durante el simulacro anual.

 El Gte. de Administración y Finanzas

activará el contrato de Recuperación con la
empresa respectiva, y dará instrucción a la
Asistente de Administración para que emita
una OC abierta para cubrir el arriendo o
compra de HW o SW requerido para la
instalación temporal de Servidor/red, así
como para el Servidor/Red en proceso de
restauración.

 Cada Gerente o Jefe con personal a cargo que esté

involucrado en las tareas normales de la operación y
designará según lo instruya el Gerente de
Administración y Finanzas al personal necesario, a
tareas afines.

Iniciación del Plan

 Gerencia de Administración y Finanzas debería ser

notificada

 Gerencia de Administración y Finazas contactará los

equipos de recuperación

 Cuartel General de Recuperación in-site a definir

 Cuartel General de Recuperación Off-site a definir

9 Estándar de cumplimiento

Lo novedoso del estándar es que busca integrar, mejorar e incluso

ampliar los distintos sistemas de administración que se pueden aplicar
a las normatividades o lineamientos que la entidad está obligada a
cumplir. A nivel internacional existen regulaciones como la ley Dodd–
Frank, Fcpa, UK Bribery Act, BSA, entre otras, las cuales pueden ser
implementadas a través de los lineamientos dispuestos en la ISO
19600.

En el caso colombiano y dependiendo de la normatividad LA/FT que

le es aplicable a cada entidad, la ISO 19600 estipula
responsabilidades específicas a las gerencias y a los empleados de la
entidad con respecto al cumplimiento, lo cual es relativamente
novedoso frente a tradicionales funciones asignadas a la junta
directiva, representante legal y oficial de cumplimiento en la
normatividad LA/FT.

Adicionalmente, el estándar suministra a las entidades un soporte

para mejorar el sistema de administración de cumplimento, pues trae
inmerso el ciclo de planear, hacer, verificar y actuar.

Apoyo Visual
3 ¿Cuáles SON LOS ITEMS MAS IMPORTANTES QUE SE REALIZAN PARA
CONTRATACION DEL PERSONAL DE SISTEMAS?

Es inevitable que en las organizaciones donde se tiene un área de seguridad

informática se deba ejecutar un proceso de selección de personal para
ocupar alguna vacante. Cada vez que una persona se retira del área, o bien
existe una nueva que hay que ocupar, nos enfrentamos a tener que buscar
candidatos para ocuparla.

En general, hay dos maneras para que un empleador empiece a buscar

candidatos:

 Una es dejarle el trabajo al área de recursos humanos (RRHH) y solo

revisar perfiles previamente "digeridos".

 Directamente el área de seguridad se encargue de buscar candidatos

y seleccionarlos desde el punto de vista técnico, para luego enviarlos
a RRHH y que ahí continúen haciéndole las evaluaciones necesarias.

En este artículo abordaré la segunda opción. Claro, esto aplica siempre y

cuando el empleador sepa lo que quiere; podría haber casos donde ni
siquiera supiera mucho de seguridad informática o no se dedicara realmente
a eso, en cuyo caso sería difícil que sepa reconocer un buen perfil de
seguridad informática o al menos el potencial en un candidato.

Inmediatamente viene el primer problema. ¿Queremos gente con experiencia

o sin experiencia? Pensemos que la experiencia viene acompañada de un
sueldo bastante mayor que alguien que apenas va iniciando su carrera, así
que no hay una sola respuesta. Si los deseamos con experiencia, podemos
echar mano de las redes sociales y solicitar gente interesada (obviamente
incluyendo LinkedIn), de colegas del medio que sepan de posibles
candidatos o de la propia bolsa de trabajo de la empresa, si es que la tiene.
Si no es necesaria la experiencia laboral en seguridad, pero sí al menos tener
la noción de la materia, una opción interesante es acercarse a las
universidades que tienen maestrías o diplomados en seguridad de la
información o informática, y pedir perfiles de posibles candidatos. Otra opción
son las universidades que tienen carreras donde los alumnos cursan algunas
materias de seguridad.

Tampoco hay que descartar los empleados que han cursado sus servicios
sociales en la propia empresa: de primera mano podemos averiguar cómo se
desempeñaron durante su servicio, o si tienen potencial.
Una vez revisados los perfiles y hecha una selección de aquellos que puedan
parecer idóneos en papel (CV), se puede pasar a una entrevista de trabajo y
a una evaluación técnica.
Para la entrevista se puede tomar en cuenta, por ejemplo, los siguientes
factores (tomen en cuenta que varias cuestiones son subjetivas y es más un
tema de "feeling"):

 Actitud
¿Durante la entrevista muestra buena actitud en general?

 Puntualidad
¿Llegó temprano a la cita?

 Interés por la seguridad informática

¿Hay un interés especial o le da igual desarrollar o administrar
servidores?
¿Tiene un blog de seguridad?
¿Tuitea sobre seguridad?
Concepto: hay formas como las que se mencionan para demostrar
interés, y no solo decir que "es lo que me apasiona". Si hace lo que le
gusta, será de conveniencia para él y la empresa.

 Conocimientos básicos de seguridad

¿Si se le hace una pregunta relacionada con seguridad, la contesta?
¿Sabe al menos lo que es el CISSP, CISA o CISM?

 Planes a futuro
¿Qué planes tiene para el futuro a corto y mediano plazo en su vida
laboral?
¿Tiene la intención de quedarse o es de los que en dos meses estará
cambiando de trabajo?

 Capacidad autodidacta
En seguridad, es especialmente importante que sea autodidacta, pues
en la empresa no hay profesores que se pongan al frente a enseñarle.
¿El candidato puede describir alguna situación en la que haya echado
mano de su capacidad de autodidacta?

 Honestidad
Asumimos que el candidato es honesto en sus respuestas; si lo
pescamos en alguna mentira, se le debe descartar.

 Servicio social
¿Dónde hizo su servicio?
¿Fue retador? ¿Podemos llamar a quien estuvo a su cargo durante su
servicio y conocer de primera mano su actitud, desempeño, etc.?
 Inglés
En seguridad informática, por lo menos hay que saber leer
documentos técnicos de la materia en este idioma; y en segundo lugar
está el escribirlo y hablarlo con razonable fluidez.

 Conocimiento de la empresa
¿El candidato tuvo el detalle de entrar al sitio web del corporativo y
averiguar, por ejemplo, a qué se dedica, su misión/visión, la ubicación
del área de seguridad dentro del organigrama, etc.?

 Aportación a la empresa y trabajo bajo presión

Debe evitarse hacerles caso a estos clichés. Todos dicen trabajar bajo
presión y que van a aportar todos sus conocimientos para el bien de
la empresa se debe ignorar este tipo de información en las HV.

 Después de la entrevista, sugiero hacer una evaluación técnica

Aquí las posibilidades son infinitas y depende de qué desee saber del
candidato.

 ¿Se quiere evaluar su conocimiento en sistemas?

 ¿En seguridad? ¿En razonamiento y lógica?
 ¿En problemas matemáticos?
 ¿En todo lo anterior?

Aquí no hay una sola respuesta, y será labor del empleador decidir
qué tipo de examen técnico aplicará y la definición de la calificación
aprobatoria.

Una vez que se hayan llevado a cabo las entrevistas y se tengan los
resultados de las evaluaciones, ya es posible ubicar a los candidatos
idóneos, o de plano iniciar de nuevo el proceso para encontrar a
alguien que sí nos pueda satisfacer.
4 ¿PORQUE ES IMPORTANTE REALIZAR CAPACITACION AL PERSONAL DE
ESTA AREA?

Se puede definir que de acuerdo a la vida actual del mundo empresarial el

termino capacitación y sistemas de información están cambiando la forma
de trabajo de las empresas, los sistemas de información ayudan a
acelerar procesos por lo tanto; las organizaciones que los implantan logran ventajas
competitivas al adoptarlos en sus funciones.

La capacitación se refiere a los métodos que se usan para proporcionar a las

personas dentro de la empresa las habilidades que necesitan para realizar su
trabajo, esta abarca desde pequeños cursos sobre terminología hasta cursos que
le permitan al usuario entender el funcionamiento del sistema nuevo, ya sea teórico,
practicas o la combinación de ambos.

Este es un proceso que lleva a la mejora continua y con esto a implantar nuevas
formas de trabajo, como en este caso un sistema que será automatizado viene a
agilizar los procesos y llevar a la empresa que lo adopte a generar
un valor agregado y contribuir a la mejora continua por medio de la implantación de
sistemas y capacitación a los usuarios.

Para el caso de la capacitación será necesario establecer los estándares

de análisis en este sentido se dividirán en Recursos Materiales, actividades, Índices
de eficiencia, requerimientos, ambiente de trabajo físico, y medidas de seguridad.
Explicare brevemente cada uno de estos:

 Recursos materiales:
Son los útiles que el trabajador necesita para realizar su trabajo.

 Actividades:
Son los quehaceres que se llevan a cabo para lograr un trabajo
productivo, creativo y útil.

 Índices de eficiencia:
Algunos quehaceres que se pueden contar sobre todo
en personal operativo.

 Requerimientos:
son los requisitos tales como nivel de escolaridad, experiencia,
edad, sexo, etc. que solicitan para que desempeñes un puesto.

 Ambiente de trabajo físico:

Es todo aquello que involucra al trabajador y a su puesto de trabajo
por ejemplo : Luz, color, ambiente de trabajo ruido.
  Medidas de seguridad:
Son aquellos factores que hay que cuidar para que no se
provoquen accidentes de trabajo.

Aquí cabe resaltar la importancia de señalar que no todas las necesidades que se
detecten serán resueltas a través de la capacitación.

Richard Nolan un autor y profesor de la escuela de negocios de Harvard desarrollo

una teoría que impacto en el proceso de planeación de los recursos y las
actividades de la informática .esta teoría se llama ETAPAS DE NOLAN y está
compuesta por 6 etapas que son:

 Etapa de inicio
 Contagio
 control
 integración
 administración de datos
 madurez.

 CONCLUSIONES

o Cada día se utiliza en mayor proporción la tecnología de información,

para apoyar y automatizar las actividades de una empresa partiendo
de que cada día se utiliza más la tecnología de información, puedo
afirmar que la importancia del proceso de capacitación al momento de
implantar sistemas de información se centra en que la capacitación es
un medio fundamental de educación que contribuye para que las
personas profesionalicen su trabajo para que se adapten a la era de
cambios que vivimos y desarrollen confianza en sí mismos para
enfrentar estos cambios con éxito.

o Los sistemas son una herramienta muy poderosa ya que estos son
requeridos en todos los niveles de una organización para que esta
funcione y a su vez se puedan adoptar nuevas formas de hacer las
cosas mediante la implantación de sistemas y la capacitación.

o Al implantar sistemas, la capacitación se hace de manera específica

impartiendo cursos sobre terminología o cursos que le permitan al
usuario entender el funcionamiento del sistema nuevo ya sea teórico
o a base de practica o mejor aún combinando los dos y esto es muy
importante debido a que así se familiarizan con el sistema y se esfuma
un poco la resistencia al cambio y algunos factores que puedan
presentarse.
BIBLIOGRAFIA

1. Monografías.com (Introducción)
2. Aula Virtual (Hardware – Software)
3. Portal del Merci (Definición personal)
4. Pablo Tumero (Estándares)
5. Historial de versiones 03/02/2013 1.0 Draft Creación de la primera
versión del documento, siendo draft, ya que no está revisada por
Directores y Jefes de Departamento 08/10/20130
6. Draft Correcciones con base en revisión del Área de Calidad.
08/10/2013 1.0 Versión 1.0 para la DGSEI
7. Benjamín Cagua (Definición estándar desarrollo)
8. Samuel Mariano (Aporte Estándar de Contingencia)
9. Anticorrupción, Fraude y LA/FT
10. Fausto Cepeda Gonzales (Ítems Contratación de Personal)

NOTA DEL AUTOR

Ante el anterior tema, me atrevo a resaltar la necesidad de agrupar toda la

información de los autores originales; llevando a varios contextos y emitiendo
con ello un análisis para las respuestas de cada interrogante, no sin ello;
agradecer a otras personas que con cordialidad me dieron ideas y expusieron
excelentes argumentos para dar objetivo al trabajo realizado.