Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Tecnologías de la Información
y Gestión de Proyectos
Tecnologías de la Información
y Gestión de Proyectos
Escuela de Ingeniería,
Universidad Latinoamericana de Ciencia y Tecnología,
ULACIT, Urbanización Tournón, 10235-1000
San José, Costa Rica
ynunezs664@ulacit.ed.cr
agonzalez@ulacit.ac.cr∗
http://www.ulacit.ac.cr
1. Introducción
La evolución en los negocios ha propiciado mayor competencia en todos los
ámbitos de los mercados de bienes y servicios, por lo que las organizaciones
buscan utilizar mejor sus recursos económicos y humanos para brindar valor
agregado a sus clientes, a la vez que se concentran en alcanzar los objetivos
2 Núñez y González
estratégicos del negocio. Con ese fin utilizan como alternativa la tercerización1
de servicios, la cual consiste en la contratación de un proveedor para que ejecute
algunas funciones específicas que, por lo general, no son parte de las actividades
centrales de la empresa.
Aunque se considera que los beneficios de la tercerización son numerosos,
se han logrado identificar inconvenientes que se presentan durante su
implementación, debido a una deficiente gestión de las relaciones entre las partes.
De acuerdo con algunos estudios, alrededor de un 30 % de las empresas cancelan
sus contratos de tercerización de forma prematura; entre el 20 y 25 % fracasan
durante los primeros dos años del contrato y el 50 % fracasa en los primeros
cinco años de vigencia (Grossi y Calvo-Manzano, 2012). Cabe resaltar que los
casos de mayor incertidumbre e inconvenientes se presentan en los procesos de
tercerización de software, debido a la complejidad y naturaleza de los tipos de
proyectos.
Los problemas que se asocian con la tercerización del desarrollo de software se
presentan por el desconocimiento de los factores que se deben contemplar durante
la etapa de planificación para adquirir productos de software. Esto tiene como
consecuencia que el producto final no responda a las necesidades o no se ajuste
a los requerimientos definidos por el cliente (Erazo-Paruma, Guerrero-Mera y
Correa-Pino, 2014).
Este tipo de inconvenientes suelen presentarse cuando la empresa contratante
no realiza de forma adecuada las siguientes tareas:
1. Inicio.
2. Planificación.
Metodología para la gestión de terceros en procesos de desarrollo de software 7
Figura 1: Relación entre las fases y procesos para la gestión de terceros durante el
desarrollo de software.
8 Núñez y González
3.1. Inicio
Esta fase verifica la necesidad de desarrollar un sistema por medio de la
tercerización, y si dicha verificación es positiva, justificar su desarrollo, obtener
el apoyo interno, y formalizar el inicio del proceso de contratación con el apoyo
de los ejecutivos y directores. Algunas de las tareas que es necesario contemplar
en esta fase son las siguientes:
3.2. Planificación
Esta fase corresponde a la definición de los aspectos que se deben tomar en
cuenta para controlar la ejecución del proyecto y obtener el producto deseado,
por lo que se debe efectuar la definición adecuada del alcance, los requerimientos,
los elementos de calidad que se deben evaluar, el recurso humano necesario, las
formas de comunicación con el proveedor, la definición de criterios de selección
de proveedor, el tipo de contrato a utilizar y el contenido presupuestario.
Como consecuencia, estas tareas se pueden desarrollar de la siguiente manera:
3.4. Ejecución
La fase de ejecución contempla la etapa de desarrollo del sistema y requiere
la participación activa del cliente y es necesario ejecutar el plan de control de la
calidad. Este plan recibe como entrada los elementos del plan de aseguramiento
de la calidad y se encarga de realizar la evaluación de criterios mediante
revisiones, auditorias e inspecciones (véase la figura 2). Estas evaluaciones se
realizan en todo el ciclo del desarrollo del sistema para asegurar un producto de
calidad (IEEE Computer Society, 2014) y comprenden:
1. Recibir la entrega parcial o final del sistema, realizar las pruebas al sistema,
valorar los resultados y tomar en cuenta los criterios de aceptación para el
cumplimiento satisfactorio del producto.
2. Cuando en el proceso de pruebas se identifiquen no conformidades, realizar
el reporte para proceder con las correcciones necesarias, en caso contrario,
proceder con la aceptación del entregable.
3. Administrar los contratos y facturas canceladas o pendientes de pago para
el proveedor.
4. Confirmar al final del proyecto que todos los entregables sean aceptados.
18 Núñez y González
3.7. Reconsideración
La fase de reconsideración corresponde a una evaluación con base en la
experiencia e información suministrada durante el desarrollo del proyecto, y
considera efectuar las siguientes actividades:
Referencias
CabinetOffice. (2011). ITIL service strategy (segunda ed.).
CENDITEL, Fundación. (2013). Aseguramiento de calidad en el desarrollo de
software libre. Venezuela.
Erazo-Paruma, L. R., Guerrero-Mera, G. L. y Correa-Pino, F. J. (2014). Método
para la adquisición de software en pequeñas organizaciones. Revista UIS
Ingenierías, 13 (1).
Franceschini, F., Galetto, M., Pignatelli, A. y Varetto, M. (2003). Outsourcing:
guidelines for a structured approach. Benchmarking: An International
Journal , 10 (3), 246–260.
Grossi, L., y Calvo-Manzano, J. A. (2012). Mejora de procesos en el Ámbito
de adquisición: Un modelo de decisión para la selección de proveedores de
ti. CISTI (Iberian Conference on Information Systems & Technologies /
Referencias 21
Escuela de Ingeniería,
Universidad Latinoamericana de Ciencia y Tecnología,
ULACIT, Urbanización Tournón, 10235-1000
San José, Costa Rica [fchavess976,dmoras530]@ulacit.ed.cr
agonzalez@ulacit.ac.cr∗
http://www.ulacit.ac.cr
1. Introducción
El creciente y rápido cambio de la tecnología trae diversos y complejos retos
a las empresas para llevar a cabo de manera eficiente y eficaz sus procesos de
negocios, lo cual requiere la constante evolución de los servicios y productos que
ofrecen las compañías. Esto implica que deben contar con personal capacitado
para enfrentarse a esos retos y mantenerse en el mercado. Pero, en ocasiones,
ante la ausencia de ese personal, se enfrentan a problemas presupuestarios al
implementar nuevas tecnologías, por los problemas que se originan en la mala
gestión y deficiencias técnicas. Por esa razón, la tercerización ha sido vista como
una posible solución para mejorar la capacidad de respuesta de los negocios y
su estructura de costos.
En los últimos años la tercerización ha crecido de forma considerable y se ha
expandido de manera rápida para brindar servicios de toda índole, incluyendo
desarrollo de software, soporte técnico, reclutamiento de personal, finanzas y
contabilidad, entre otros.
Gestión de la relación con terceros y metodologías ágiles 23
Scrum
Requisitos de proyecto presentados en
bloques de tiempo cortos.
El avance se muestra al cliente al final de
cada iteración.
4.1. Comunicación
La comunicación es un factor clave entre el cliente y el proveedor (Bersin,
2005). Sin embargo, esta no suele ser gestionada de manera correcta, por lo que
se propone realizar:
Reuniones de diseño
Es importante establecer desde un inicio, de forma clara y eficiente, lo que
se espera del proveedor, por lo que se deben realizar reuniones de diseño, en las
3
Los elementos de configuración son conocidos en inglés como configuration items.
Gestión de la relación con terceros y metodologías ágiles 31
sean realizadas solo por el proveedor, sino que los usuarios expertos del cliente
las realicen.
Algunos de estos usuarios expertos también deben participar en las reuniones
virtuales y presenciales, porque son quienes utilizarán el sistema una vez que esté
finalizado.
Con el fin de que los usuarios expertos formen parte de las sesiones de prueba
de manera efectiva, se recomienda que el proveedor cree y facilite documentos
de control como:
5. Discusión y conclusiones
Los problemas que han sido mencionados en este trabajo de investigación
son conocidos por la mayoría de gerentes y administradores relacionados con
los procesos de contratación del desarrollo de sistemas de software. Sin embargo,
estos problemas no han sido abordados con la amplitud y profundidad requerida.
Lo anterior se puede deducir del análisis bibliográfico que se llevó a cabo y la
constante preocupación mostrada por los autores de los trabajos estudiados.
El análisis de la bibliografía ayudó a determinar que algunas de las
metodologías ágiles que se utilizan de forma más frecuente, permiten gestionar la
relación con terceros de mejor manera que como se lleva a cabo tradicionalmente.
Sin embargo, es posible mencionar que en diferentes aspectos estas metodologías
no son eficientes. Por lo tanto, la guía propuesta tiene como fin combinar las
principales fortalezas en cuanto a la gestión de la relación con terceros de las
metodologías que fueron analizadas.
La guía tomó en cuenta las características particulares de cada una de las
metodologías, y fue elaborada con base en la evidencia del éxito que han tenido
en la práctica. La estructura de la guía es flexible ante las necesidades que pueda
Referencias 33
Referencias
Beck, K., Beedle, M., van Bennekum, A., Cockburn, A., Cunningham, W.,
Fowler, M., . . . Thomas, D. (2001). Manifiesto por el desarrollo Ágil
de software. Descargado de http://www.agilemanifesto.org/iso/es/
Bersin, J. (2005). Business process outsourcing: Pros and cons. Chief Learning
Officer , 4 (4), 34 - 40. Descargado de http://search.ebscohost.com/
login.aspx?direct=true&db=buh&AN=16479531&lang=es&site=ehost
-live
Dolgui, A., y Proth, J.-M. (2013). Outsourcing: definitions and analysis.
International Journal of Production Research, 51 (23/24), 6769 - 6777.
Girotra, K., y Netessine, S. (2012, oct). Why apple has to manufacture
in china. Descargado de https://hbr.org/2012/10/why-apple-has-to
-manufacture-i
Kakumanu, P., y Portanova, A. (2006). Outsourcing: Its benefits, drawbacks
and other related issues. Journal of American Academy of Business,
Cambridge, 9 (2), 1 - 7.
Sáenz, J., Cámara, M. d. l., Calvo-Manzano, J. A. y Arcilla, M. (2014).
Necesitan los proveedores de outsourcing una metodología para la provisión
de servicios?: Is it needed a methodology for outsourcing service providers?
RISTI-Revista Ibérica de Sistemas e Tecnologias de Informação(SPE1),
61–75.
Smuts, H., van der Merwe, A., Kotzé, P. y Loock, M. (2010). Critical
success factors for information systems outsourcing management: A
software development lifecycle view. En Proceedings of the 2010 annual
research conference of the south african institute of computer scientists
and information technologists (pp. 304–313). New York, NY, USA: ACM.
Descargado de http://doi.acm.org/10.1145/1899503.1899537 doi:
10.1145/1899503.1899537
Definición y modelado del proceso de gestión de
la demanda para tecnología de información
Escuela de Ingeniería,
Universidad Latinoamericana de Ciencia y Tecnología,
ULACIT, Urbanización Tournón, 10235-1000
San José, Costa Rica
[dcamachoq046, rchingf302, jcordobar022]@ulacit.ed.cr
agonzalez@ulacit.ac.cr∗
http://www.ulacit.ac.cr
1. Introducción
Las organizaciones realizan grandes inversiones en aplicaciones,
infraestructura y personal, con el fin de obtener ventajas competitivas en
el mercado, optimizar procesos, obtener mayores utilidades económicas o
disminuir los gastos en el corto o mediano plazo. De forma que para alinear y
disminuir las brechas que existen entre las áreas de negocio y las tecnologías
de la información (TI), las organizaciones necesitan implementar y mejorar los
procesos de gestión. Entre estos procesos se destaca la gestión de la demanda
de servicios de TI.
La gestión de la demanda de servicios de TI comprende desde las peticiones
de soporte que entran en una mesa de asistencia, hasta la solicitud de nuevas
aplicaciones o su modificación. Este proceso es el encargado de administrar y
garantizar la disponibilidad de los recursos o servicios que el área de TI brinda
a la organización, por lo que su implementación inadecuada o ausencia, provoca
que los proyectos de TI se vean impactados de forma negativa. Esto ocurre
Definición y modelado del proceso de gestión de la demanda para TI 35
cuando se carece de los recursos necesarios, debido a que los proyectos sufren
aumentos en los costos y la organización debe incurrir en el uso indiscriminado
de recursos e incrementar el presupuesto de los proyectos para compensar los
retrasos.
Para comprender el papel que desempeña la gestión de la demanda en las
organizaciones, este trabajo ofrecerá una guía sobre cómo se puede llevar a cabo
su implementación o mejora mediante la definición de un modelo de gestión de
la demanda. De acuerdo con lo anterior, se realiza una evaluación de los marcos
de referencia COBIT 5 e ITIL v3, con el fin de definir la gestión de la demanda,
identificar los procesos y actividades pertinentes a la gestión de la demanda, y
modelar el proceso mencionado. La tabla 1 muestra los procesos de los marcos
de referencia mencionados, que son tomados en cuenta para el desarrollo de este
trabajo.
2. Marco teórico
2.1. Gestión de la demanda
La gestión de la demanda es un proceso presente en todas las organizaciones,
aunque no se encuentre identificado como tal o esté implementado de forma
errónea. En general, este proceso permite habilitar o poner en ejecución un
requerimiento del negocio, en donde se pueden tener varias fuentes que estén
haciendo la petición de dicho requerimiento, el cual puede ser sencillo o complejo.
Según la frecuencia y el impacto que se tenga sobre el negocio, cada petición
requiere que se le asigne un nivel de prioridad.
En este contexto, las solicitudes de cuentas de correo electrónico para los
usuarios nuevos de la organización son un ejemplo de la demanda de un servicio,
que requiere tener en consideración la capacidad de los servidores y el ancho de
banda de la organización.
La importancia de la gestión de la demanda radica en la consecución de
beneficios para los usuarios y la empresa. Por lo que es necesario que se tengan
en cuenta los pasos del ciclo de vida de la demanda, conforme con el nivel de
madurez de la gestión de la demanda (Alonso, Caro y Verdún, 2008).
De acuerdo con lo anterior, los departamentos de TI que definen y
administran de forma correcta el proceso de gestión de demanda pueden mejorar
36 Camacho et al.
1. Estrategia
2. Diseño
3. Transición
4. Operación
5. Mejora
3. Metodología
El método que se utilizó para desarrollar, definir y modelar la propuesta del
proceso de Gestión de la demanda, se basó en el estudio de cada una de las
actividades que tienen los procesos seleccionados de COBIT 51 e ITIL v32 . De
acuerdo con ese estudio se realizó la correlación de los componentes específicos
y los marcos de referencia, con el fin de identificar similitudes y diferencias para
realizar el modelado.
4. Resultados y aportes
El principal aporte de este trabajo es un proceso híbrido que tiene en cuenta
las actividades de los marcos de referencias de ITIL v3 y COBIT 5 con respecto
a la Gestión de la demanda y está constituido por nueve actividades (véase la
Figura 1).
1
EDM04 Asegurar la optimización de recursos y BAI04 Gestionar la disponibilidad
y capacidad.
2
Gestión de la demanda y Gestión de la capacidad
3
La recopilación de información es propuesta con base en el proceso Gestión de
demanda de ITIL v3.
4
El diseño de esta actividad se basó en ITIL v3, específicamente en el proceso Gestión
de demanda.
5
Patterns of Business Activity, por su acepción en inglés.
6
User Profile, en inglés.
Definición y modelado del proceso de gestión de la demanda para TI 39
Figura 1: Proceso de modelado de la gestión de la demanda.
40 Camacho et al.
5. Conclusiones
Los marcos de referencia ITIL v3 y COBIT 5 se complementan entre sí,
debido a que ambos apoyan el crecimiento de la organización y el mantenimiento
de los servicios. Lo anterior se confirmó con el desarrollo de este trabajo, el cual
llevó a cabo la correlación de información de ambos marcos de referencia y
permitió la definición de un proceso de gestión de la demanda.
Lo anterior permite afirmar que la utilización mixta de los marcos de
referencia en cuestión es factible y facilita el desarrollo de marcos de trabajo
ajustados a cada organización. Por ejemplo, COBIT es un marco de referencia
flexible y adaptable a cualquier organización, lo cual es uno de sus aspectos
esenciales, como quedó expuesto con el planteamiento del modelo con la gestión
de la demanda.
Cabe señalar que los insumos o documentación del negocio, a partir de la cual
se realiza la identificación de la demanda de los servicios, es de suma importancia,
porque sin estos no es posible conocer los servicios que se requieren, ni las salidas
y demandas esperadas.
En línea con lo anterior, es importante tener en cuenta que la evaluación
continua de los servicios es vital porque los requerimientos del negocio y el
42 Camacho et al.
Referencias
Alonso, I. A., Caro, E. T. y Verdún, J. C. (2008, dic). The importance of it
strategic demand management in achieving the objectives of the strategic
business planning. En International Conference on Computer Science and
Software Engineering, 2008 (Vol. 2, p. 235-238).
ISACA. (2012). COBIT 5: Procesos Catalizadores. Autor. Descargado de
www.isaca.org
ITIL vs COBIT. (s.f.). Descargado de http://www.cntec.mx/noticias/41/
122-itilvscobit.html
Ministerio de Tecnologías de la Información y las Comunicaciones. (s.f.). Marco
de referencia: arquitectura TI de Colombia.
Muñoz-Serna, R., y Martínez-Arias, M. A. (2012). Caracterización de procesos
de gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL,
CMMI DEV, PMBOK, para la implementación en la industria editorial
colombiana, apoyando el proceso de transformación digital.
OSIATIS. (2015, dic). ITIL Foundation. Descargado de http://itilv3
.osiatis.es/
Quevedo, A. M. (2009, set). Implementación de una metodología de procesos para
la mejora de TI en una empresa. Universitat Politècnica de Catalunya.
Descargado de http://upcommons.upc.edu/handle/2099.1/7599
Recomendaciones para la gestión de incidencias
de tecnologías de la información
Escuela de Ingeniería,
Universidad Latinoamericana de Ciencia y Tecnología,
ULACIT, Urbanización Tournón, 10235-1000
San José, Costa Rica
[vmor80@hotmail.com,pviales@gmail.com,jcordobar022]@ulacit.ed.cr
agonzalez@ulacit.ac.cr∗
http://www.ulacit.ac.cr
1. Introducción
En el contexto actual, las tecnologías de la información (TI) son un factor
crítico para el desempeño de las organizaciones, por lo que requieren el correcto
funcionamiento de los sistemas de hardware y software que utilizan. Esto
conlleva a que las incidencias1 que se presenten deban ser resueltas de forma
oportuna, tanto a usuarios internos como externos, por lo que es necesario que
las incidencias se gestionen de forma adecuada, para evitar que se transformen
en riesgos para la continuidad de la organización
En este punto resulta indispensable tener en cuenta que los servicios de TI
deben ofrecer servicios de calidad con alta disponibilidad; utilizar los recursos
de forma más eficiente; ayudar a incrementar la productividad de los usuarios;
reducir costos, tiempos de ejecución de procesos y riesgos; y alinearse a los
procesos del negocio. Sin embargo, los altos niveles de calidad de los servicios no
1
Se denomina como incidencia a un problema que sobreviene en la prestación de un
servicio que es soportado por hardware o software.
44 Mora et al.
2. Marco teórico
Una incidencia es un evento que implica la interrupción no planificada o la
reducción de la calidad de un servicio de TI, el cual es soportado por elementos
de hardware o software (ITIL Foundation, 2011). Las incidencias pueden ser
detectadas por el personal técnico, reportadas por herramientas de seguimiento
de eventos, comunicadas por los usuarios de forma telefónica o mediante un
sistema de incidencias o informadas por terceros (e.g., proveedores y socios de
negocio2 ). En tanto, la gestión de las incidencias es el proceso responsable de
administrar el ciclo de vida de cada incidencia (Persse, 2013).
La gestión de incidencias requiere brindar respuesta oportuna y efectiva a las
peticiones de los usuarios relacionadas con la resolución de problemas asociados
a los servicios de TI, con el fin de no afectar los procesos de la organización
y cumplir con los compromisos con terceros (Forrester, Buteau y Shrum,
2011). En términos generales, este proceso contempla registrar las peticiones de
servicio, diagnosticar el problema de forma precisa (i.e., identificar y describir
2
Conocidos como partners, por su acepción en inglés.
Recomendaciones para la gestión de incidencias de TI 45
los síntomas de las incidencias, así como asignar los recursos necesarios para
su resolución), determinar la prioridad de la incidencia, resolver las incidencias
(i.e., determinar las posibles causas, efectuar escalaciones y recuperar el servicio,
en caso necesario), documentar y registrar de forma exhaustiva la resolución de
la incidencia, cerrar las incidencias y mantener un registro histórico (véase los
procesos DSS02 y DSS03 de COBIT 5) (ISACA, 2012; O’Toole, 2015).
El registro de las peticiones de servicio requiere verificar que estas cumplan
con los criterios mínimos establecidos y que los usuarios que las realizan estén
debidamente autorizados. Cada incidencia debe contar con un número único de
referencia, hora y fecha de registro, identificación de la persona que realizó el
registro de la incidencia, método de notificaciones del estado de la incidencia y
descripción de los síntomas.
En cuanto al diagnóstico, es necesario contar con toda la información
disponible para efectuar una mejor evaluación del problema para efectuar su
categorización, determinar el impacto en el negocio (i.e., nivel de pérdida
financiera, el posible efecto en la reputación del negocio y las regulaciones
del país) y la urgencia de su resolución, efectuar una correcta asignación de
la prioridad, obtener la aprobación financiera y si se requiere, el cambio de
procedimientos o estándares.
Como parte de este proceso, se requiere utilizar la base de datos de
conocimiento, si existe, para determinar si el problema está asociado a un error
conocido, o si este ha sido resuelto anteriormente. Este paso se debe efectuar
antes de asignar a un especialista para realizar un análisis de mayor profundidad
o que se lleven a cabo acciones para restaurar los servicios afectados, con ayuda
de otros especialistas.
En los casos en los que la incidencia es reportada por teléfono, se recomienda
efectuar un diagnóstico inicial e intentar ofrecer una solución de forma inmediata,
trabajando junto con el usuario, si es factible. Si no es posible ofrecer una solución
inmediata, entonces se debe informar al interesado sobre el procedimiento que
se seguirá, y darle un número de incidencia para que le pueda dar seguimiento.
En lo que respecta a la resolución de incidencias, conviene tener en cuenta la
posibilidad de seguir el procedimiento para efectuar el escalado de la incidencia.
Este tipo de procedimiento usualmente contempla el escalado funcional (se
solicita el apoyo de un especialista de más alto nivel para resolver el problema) o
jerárquico (se acude a un responsable de mayor autoridad para tomar decisiones
por encima del nivel del personal técnico involucrado, como la asignación de
recursos adicionales para la resolución de la incidencia).
En todo caso, es recomendable resolver cada incidencia en el menor tiempo
posible, para restaurar o normalizar el servicio y salvaguardar los intereses de
la organización. Además, es necesario que en el transcurso de la resolución se
le brinde seguimiento al estado de las incidencias hasta que se realice el cierre
de esta. El proceso de seguimiento involucra documentar y revisar las acciones
realizadas, escalar las incidencias según se requiera y comunicar el estado de la
incidencia a las partes interesadas.
46 Mora et al.
1. Registro de incidencias.
2. Resolución de incidencias.
3. Cierre de incidencias.
4. Seguimiento y análisis de incidencias.
ITIL (ITIL Foundation, 2011) y CMMI (Forrester et al., 2011), para proponer
el proceso que se muestra en la figura 1. Las tareas ordinarias de dicho proceso
son representadas por cajas rectangulares y las decisiones por rombos, en tanto
que las líneas de color rojo indican el flujo ordinario de las tareas y las líneas
punteadas de color negro muestran la secuencia alternativa, en donde el flujo
puede seguir uno u otro camino con base en las decisiones que se han tomado.
El proceso propuesto comienza con la identificación de las incidencias por
parte de los usuarios de la organización o los miembros del departamento de
TI (i.e., por observación en el campo o por medio del uso de sistemas para
ese propósito). Una vez que la incidencia ha sido identificada, se procede a
registrarla, para luego efectuar el diagnóstico (i.e., de forma opcional se puede
usar la base de conocimientos), categorización y asignación de prioridad. Con
base en el diagnóstico, se determina si la resolución de la incidencia requiere
recursos extraordinarios, y en caso necesario se solicita la aprobación de esos
recursos al comité ejecutivo. A partir de ese punto, se inicia la recuperación de
servicios (cuando se requiera) y la resolución de la incidencia.
Cuando la incidencia ha sido resuelta, de acuerdo con el personal técnico,
se realizan las pruebas técnicas necesarias para validar la resolución. En caso
de que la incidencia se haya resuelto de forma efectiva, se hace la verificación
y aceptación de la solución con el usuario. Sin embargo, cuando la incidencia
no ha sido resuelta, se verifica si el personal técnico a cargo puede terminar de
solucionarla o si es necesario solicitar el escalado de la incidencia. En caso de que
sea necesario escalar la incidencia, se determina si el escalado que se requiere es
funcional o jerárquico. Cuando el proceso de escalado ha terminado, se verifica
si la incidencia ha sido resuelta, y si es así, se procede a realizar la verificación y
aceptación con el usuario. En caso de que la incidencia no haya sido resuelta tras
el proceso de escalado, se determina si el equipo de la mesa de servicio puede
terminar de resolverla o si es necesario volver a seguir el proceso de escalado.
Una vez que la resolución de la incidencia ha sido resuelta de forma definitiva,
tras efectuar la verificación y aceptación con el usuario, se procede a cerrarla y
documentarla.
La descripción de cada una de las tareas que conforman el proceso propuesto
se detalla a continuación.
49
50 Mora et al.
4. Conclusiones
Las organizaciones se enfrentan a retos diversos que requieren el uso de
las mejores prácticas existentes, sobre todo cuando se trata de la gestión de
Referencias 53
incidencias de TI, por la alta dependencia que tienen sus actividades de los
sistemas de hardware y software. Por eso, la definición de un proceso de gestión
de incidencias con base en los marcos de referencia COBIT, ITIL y CCMI es
de gran importancia. Sin embargo, es importante considerar que la definición
de un proceso de esa naturaleza debe tomar en cuenta las particularidades de
cada organización con respecto a metas, objetivos y recursos. Conforme con lo
anterior, el fin de este trabajo ha sido orientar a los administradores de TI en
la definición del proceso de gestión de incidencias, mediante la propuesta de un
proceso basado en las mejores prácticas de los marcos de referencia mencionados.
La definición de un proceso de gestión de incidencias requiere estudiar en
detalle cada organización y analizar los servicios de TI con los cuales cuenta.
En general, para implementar de forma exitosa y eficiente un proceso de esta
naturaleza, es necesario comprender los procesos de negocio y la forma en que
son soportados por los servicios de TI, para definir de forma adecuada las tareas
y actividades que se requieren. En todo caso, cuando el número de servicios es
reducido, o cuando estos no son complejos, no es necesario definir un proceso
complejo o costoso.
El uso de bibliografía complementaria para definir y justificar la definición
e implantación de un proceso de gestión de incidencias, adaptado a las
necesidades de la organización, puede ser de gran ayuda. En la literatura
se encuentra documentado que el uso de buenas prácticas ayuda a eliminar
el trabajo redundante; mejora los tiempos de respuesta (i.e., indicadores de
soporte al negocio); y contribuye con la definición de departamentos de TI
mejor estructurados, más eficientes y enfocados en los objetivos de la empresa
(Herold, 2007). No obstante, las justificaciones basadas en la literatura (e.g.,
modelos de referencia, y casos de estudio) suelen ser insuficientes, porque es
necesario justificar con evidencia sustancial la razón costo/beneficio, ante la
administración. Además, se debe tener en cuenta que la divulgación, aceptación y
reconocimiento del proceso por parte de la organización toma tiempo y recursos
(Quesnel, 2012). Por esa razón, podría ser necesario implementar un plan piloto
que permita demostrar el impacto del proceso cuando se presentan incidencias
que implican la interrupción de servicios en departamentos estratégicos.
Finalmente, cabe mencionar que los marcos de referencia, aunque tienen
objetivos similares, sugieren estrategias diferentes para alcanzarlos. Por ejemplo,
las organizaciones con un nivel de madurez bajo, pueden utilizar ITIL como
referencia, debido al grado de detalle que ofrece y el enfoque orientado a tomar
en cuenta los factores internos de cada entidad. Por su parte, CMMI puede ser
usado por empresas con un nivel de madurez más alto, con mayor experiencia en
la gestión de incidencias y el uso de buenas prácticas. Lo anterior, debido a que
ofrece recomendaciones (e.g., implementar sistemas de software para la gestión
de incidencias) que no se adaptan a organizaciones con niveles de madurez bajo.
Referencias
Bauset-Carbonell, M. C., y Rodenes-Adam, M. (2013, jan). Gestión de los
54 Mora et al.
Escuela de Ingeniería,
Universidad Latinoamericana de Ciencia y Tecnología,
ULACIT, Urbanización Tournón, 10235-1000
San José, Costa Rica
[mcordobap487,ftrejosm824,fchinchillaj980]@ulacit.ed.cr
agonzalez@ulacit.ac.cr∗
http://www.ulacit.ac.cr
1. Introducción
En años recientes ha surgido un gran número de dispositivos que se
caracterizan por sus excelentes capacidades de comunicación, bajo costo y
consumo energético, y sus capacidades reducidas tanto de procesamiento como
de almacenamiento. Estos dispositivos han sido agrupados bajo el concepto
de internet de las cosas1 y se usan en áreas tan diversas como el transporte,
1
El término internet de las Cosas se deriva de Internet of Things en inglés y se asocia
con las siglas IoT.
56 Córdoba et al.
2. Antecedentes
La arquitectura de alto nivel de un sistema de IoT es similar a la arquitectura
genérica de cualquier otro sistema; se compone de elementos de entrada,
procesamiento y salida. La diferencia básica es que la entrada de datos se puede
realizar por medio de sensores y la salida se puede efectuar con actuadores.
Así, los datos que se adquieren del entorno por medio de sensores se transmiten
a los dispositivos de control (procesamiento) usando tecnologías y protocolos
de comunicación, y una vez que son procesados, el resultado es enviado a los
actuadores para modificar, si es el caso, las condiciones del entorno.
El procesamiento de datos en un sistema IoT requiere protocolos de
comunicación para el intercambio de datos y de algoritmos para su tratamiento
y análisis. Los algoritmos se encargan de procesar los datos e integrarlos, de
conformidad con las relaciones de comunicación que se pueden formar entre los
dispositivos y la arquitectura del sistema.
Los sistemas de esta naturaleza también pueden recibir entradas de los
usuarios, por lo general en forma de parámetros de configuración o de actuación
con base en los resultados. De forma similar, estos sistemas también pueden
producir salidas tradicionales a un monitor o impresora. De forma que la interfaz
del usuario suele estar vinculada al dispositivo controlador, y es utilizada para
configurar y gestionar el sistema (véase la figura 1).
Una arquitectura más compleja es la propuesta por Intel (Intel, 2015), la cual
contempla el uso de un gran número de protocolos de comunicación, conexión a
sistemas de almacenamiento y análisis, y servidores locales y en la nube.
3. Propuesta de diseño
Las arquitecturas comerciales de IoT pueden resultar costosas, lo cual pone
en evidencia la necesidad de contar con un diseño cuya implementación sea
sencilla y económica. Con base en esto, este trabajo propone el diseño de una
arquitectura basada en una puerta de enlace que se compone de un dispositivo
de control, módulos de comunicación y bibliotecas para el intercambio de
información entre el dispositivo de control y los módulos (véase la figura 2).
Diseño de una arquitectura para la comunicación entre protocolos 61
lo realiza solo una persona autorizada por razones de seguridad, pero presenta
los siguientes inconvenientes:
La apertura de puertas y encendido de luces toma 10 minutos en la mañana
y 10 minutos por la tarde.
El personal que trabaja en las instalaciones no puede ingresar antes de su
hora de entrada oficial, ni puede quedarse trabajando después de la hora de
salida oficial. Esto afecta el desarrollo de algunos proyectos de alta prioridad
debido al proceso burocrático para justificar las razones de una jornada
especial y, como consecuencia, se activa un protocolo de seguridad especial.
La revisión de los vídeos puede tomar varias horas y es frecuente que se
realice su revisión cuando sucede un incidente.
En general, la administración no puede conocer detalles sobre los eventos que
se generan en torno a la apertura de puertas, iluminación, alarmas de incendio y
cámaras, porque no cuenta con un sistema de alertas y estadísticas eficiente. Esto
impide que los administradores puedan reaccionar a tiempo ante emergencias o
variaciones en los patrones de comportamiento de los funcionarios y visitantes,
por lo que la organización y el escenario descrito requieren considerar el diseño
e implementación de los siguientes sistemas:
Control: El fin de este sistema es controlar las luces, sensores de incendios,
cámaras y la apertura de puertas utilizando los protocolos RFID y Z-Wave.
Gestión: El objetivo de este sistema es realizar el procesamiento de la
información, enviar notificaciones de emergencia y realizar el análisis de
patrones de identificación y comportamiento a partir de la información de
los sensores y vídeos.
Conforme con lo anterior, el funcionamiento del subsistema de iluminación,
apertura y cierre de puertas para este escenario se plantea de la siguiente forma:
El personal autorizado cuenta con una tarjeta RFID como medio de
identificación, cuya lectura es realizada por un módulo RFID.
Una vez que la persona ha sido identificada, el sistema realiza la apertura
de las puertas y el encendido de las luces mediante el envío de señales a los
dispositivos Z-Wave.
– Las luces se encienden por medio de un apagador Z-Wave.
– La apertura de puertas se hace usando una cerradura de puerta Z-Wave.
Este subsistema requiere codificar cada tarjeta RFID con los datos personales
del empleado correspondiente, realizar la configuración de la red de dispositivos
Z-Wave de acuerdo con las instrucciones de los fabricantes y programar los
scripts en un lenguaje de programación, como Python. Las rutinas que deben
comprender los scripts cuando el lector RFID detecta una tarjeta son las
siguientes:
Encender los circuitos de luces y abrir la cerradura de las puertas, si la
última condición de las luces es “apagado” y la condición de las cerraduras
es “cerrado”.
Diseño de una arquitectura para la comunicación entre protocolos 63
4. Conclusiones
En este trabajo de investigación se llevó a cabo una revisión bibliográfica
sobre los principales protocolos y arquitecturas que se utilizan en IoT. Dicha
revisión permitió analizar y discutir el estado actual de internet de las cosas
y las implicaciones que tiene el uso de protocolos diferentes en los procesos de
interconexión y comunicación.
Como resultado, fue posible conocer con mayor detalle y poner de
manifiesto la relación que existe entre los protocolos, dispositivos, fabricantes
y arquitecturas en el proceso de comunicación. Esto permitió proponer una
arquitectura de bajo costo para la interconexión de protocolos y dispositivos
heterogéneos en sistemas IoT.
Las ventajas del diseño presentado son su sencillez, posibilidades que ofrece
para la interconexión, facilidad de implementación, bajo costo, gestión de alertas
y análisis de patrones. Esto lo hace ideal para resolver problemas de poca y media
complejidad, con personal poco especializado y sin necesidad de incurrir en altos
costos.
El subsistema de análisis de información que incorpora la propuesta
contempla el uso de servidores locales o en la nube, y tiene por fin brindar
detalle sobre los eventos y procesos que han sido atendidos y procesados por el
sistema. Pero además proporcionar mecanismos de inteligencia para la detección
de patrones anormales que pueden requerir la toma de acción inmediata.
Como trabajo futuro, se estará realizando la implementación de la
arquitectura propuesta y se estarán desarrollando casos de uso de mayor
complejidad para validar la arquitectura y agregar factores de escalabilidad a
la propuesta.
Referencias
Ashton, K. (2009, June). That ’Internet of Things’ thing. Descargado de http://
www.rfidjournal.com/articles/view?4986
Buxeres-Soler, A. (2014). Estudio y desarrollo de un sistema basado en una
librería abierta para el uso del protocolo inalámbrico de domótica Z-Wave.
Cárdenes-Tacoronte, D. (2016). Diseño e implementación de una herramienta
para la verificación de cobertura de la red SIGFOX. Estudio de
conectividad en una zona geográfica de orografía compleja.
Chavarría, D. A. (s.f.). Tecnología de comunicacionón de campo cercano (nfc)
y sus aplicaciones.
Cuevas, J. C., Martínez, J. y Merino, P. (2002). El protocolo x10: una
solución antigua a problemas actuales. En Simposio de informática y
telecomunicaciones (sit).
Dell. (2016a). Dell edge gateways for IoT. Descargado de http://www.dell
.com/us/business/p/edge-gateway?s=bsd
Dell. (2016b). Edge Gateway 5000. Descargado de http://www.dell.com/us/
business/p/dell-edge-gateway-5000/pd?ref=PD_OC
Referencias 65
Escuela de Ingeniería,
Universidad Latinoamericana de Ciencia y Tecnología,
ULACIT, Urbanización Tournón, 10235-1000
San José, Costa Rica
[jquintanab798,erobletor703]@ulacit.ed.cr
agonzalez@ulacit.ac.cr∗
http://www.ulacit.ac.cr
1. Introducción
El reconocimiento de especímenes biológicos representa un reto para los
científicos (biólogos), debido al número de características que las diferencia
entre sí a las especies de flora y fauna. En este contexto, el uso de elementos
taxonómicos y claves de identificación reviste especial importancia, porque
permite clasificar las muestras por medio de sus características físicas visibles.
Los principales elementos que intervienen en el proceso de identificación,
son los caracteres y los estados de carácter, en donde el término “carácter"hace
referencia a las características generales de las especies, mientras que “estados
de carácter"se refiere a las características específicas.
Etiquetas de geolocalización en imágenes ráster 67
BMP (bitmap).
TIFF (Tag Image File Format).
GIF (Graphics Interchange Format).
JPEG (Joint Photographics Experts Group).
3. Resultados
La implementación de la herramienta se llevó a cabo utilizando GeoTIFF
(Schindler, 2015), una biblioteca en JavaScript para leer los metadatos
contenidos en las imágenes ráster (lhomme, 2014).
La lectura de una imagen ráster conlleva la identificación de las GeoKeys
que se encuentran en la imagen en formato TIFF, lo cual requiere recorrer los
pixeles de la imagen para obtener los metadatos. Una vez que se localizan los
metadatos, estos son extraídos y cargados por la herramienta, lo cual produce un
efecto de cambio de color de la imagen, debido a que la información almacenada
en los metadatos es mostrada.
Las pruebas realizadas durante este trabajo utilizaron como referencia el
mapa que se muestra en la figura 1, sobre la cual se proyectan las imágenes que
son procesadas.
Los pasos del algoritmo que se siguen una vez que la imagen es cargada, son
los siguientes:
Etiquetas de geolocalización en imágenes ráster 71
Figura 3: Imagen procesada por las librerías, los colores se encuentran definidos por las
etiquetas y, podrían ser utilizados para identificar datos en un mapa
6
La lectura de posiciones geográficas se realiza mediante el uso del atributo
mouseposition.
72 Quintana et al.
4. Conclusiones
El almacenamiento de metadatos en mapas codificados como imágenes ráster
es un recurso valioso para asociar datos de diferente índole a localizaciones
geográficas específicas, por lo que en el contexto de la identificación de
especímenes biológicos resulta de gran utilidad para obtener detalles acerca de
las especies que se han identificado en una zona o región particular.
Entre los detalles de las especies que se pueden almacenar en los mapas se
encuentran la fecha en que las muestras fueron recolectadas, quién las recolectó
y la institución a la cual se encuentra vinculado el recolector.
En general, el tratamiento de este tipo de imágenes no es un proceso trivial,
se requiere de análisis y estudio para comprender los conceptos generales y
específicos que luego pueden ayudar a estudiar el código y ejemplos de las
bibliotecas disponibles.
El principal aporte de este trabajo de investigación consiste en la
documentación inicial de los conceptos relacionados con imágenes ráster y la
implementación de una prueba de concepto sobre la lectura de este tipo de
imágenes, en el contexto del desarrollo de Iriria.
En línea con lo anterior, como trabajo futuro se estará ampliando la prueba
de concepto para realizar la escritura de información, sobre las muestras de
especies, en las imágenes ráster, así como la integración de la implementación
como parte de Iriria.
Referencias
Aigner, W., Bertone, A. y Miksch, S. (2008). Introduction to visual analytics.
Danube University Krems, Austria.
Foundation, O. (2006, aug). Openstreetmap. Descargado de https://www
.openstreetmap.org/
Kirkman, R., y Davis, T. (2014). Openlayers 3. Descargado de https://
github.com/openlayers/ol3
lhomme, X. (2014, dec). A javascript-based parser for the geotiff image format.
Descargado de https://github.com/xlhomme/GeotiffParser.js
Ritter, N., y Ruth, M. (2000, dec). Geotiff format specification: Geotiff
revision 1.0. Descargado de http://www.remotesensing.org/geotiff/
spec/geotiffhome.html
Schindler, F. (2015). Read raw data from geotiff files. Descargado de https://
github.com/constantinius/geotiff.js
Caracterización de malware usando lenguajes de
intercambio de inteligencia
Escuela de Ingeniería,
Universidad Latinoamericana de Ciencia y Tecnología,
ULACIT, Urbanización Tournón, 10235-1000
San José, Costa Rica
[rbarnettv200,srodriguezs044,jchinchillam135,lacunaa475]@ulacit.ed.cr
http://www.ulacit.ac.cr
1. Introducción
Para la identificación de nuevas amenazas es necesario profundizar en el tema
de lenguajes de intercambio de inteligencia. La organización MITRE propone
varios metalenguajes que permiten aprovisionar al investigador, de un sistema
de caracterización y búsqueda entre distintas fuentes de información para la
detección de vulnerabilidades.
Estos metalenguajes son versátiles, ya que permiten crear herramientas de
software por medio de los API de MITRE, para poder consultar la información
en tiempo real. Además, permiten obtener datos de diversas fuentes, ya sean
propias o proporcionadas por terceros, que sirven como una base de conocimiento
gratuita para la rápida resolución de incidentes de ciberseguridad.
La idea central de esta investigación es la creación de una herramienta de uso
libre donde las organizaciones y empresas a nivel global tengan la facilidad de
aprovisionar, consultar y colaborar con información de los archivos sospechosos
que detecten en sus sistemas al haber recibido algún ataque. Esta herramienta
posee la capacidad de extraer datos relevantes de archivos sospechosos y
74 Barnett et al.
1.1. STIX
Este metalenguaje estandarizado presenta los datos de las amenazas de
una manera estructurada. Está compuesto por distintos objetos, a saber: los
observables, indicadores, incidentes, TTP, objetivos de exploits, cursos de acción
y los reportes.
Este metalenguaje muestra la información en formato XML fuertemente
tipado, el cual es utilizado para representar los datos adquiridos de una forma
más legible.
Para hacer uso de STIX se deben importar las siguientes librerías de Python:
import stix.utils as utils
from stix.utils import IDGenerator,
set_id_method
from stix.core import STIXPackage,
STIXHeader
Caracterización de malware usando lenguajes de intercambio de inteligencia 75
1.2. TAXII
TAXII no se refiere a un programa de intercambio, sino a un conjunto de
especificaciones para el intercambio de información de amenazas cibernéticas
76 Barnett et al.
import libtaxii as t
import libtaxii.clients as tc
import libtaxii.messages as tm11
from libtaxii.constants import *
def add_taxii(stix_file):
content_block_bindings =
tm.ContentBinding("BIND_ID", None)
content_block =
tm.ContentBlock(content_block_bindings,
stix_file,
None, None)
Caracterización de malware usando lenguajes de intercambio de inteligencia 77
content_block_list = [content_block]
message = tm.InboxMessage(
"MESSAGE_ID", None, None, None, None,
None, None, None, content_block_list)
# Respuesta de servidor
return message
HTTP/1.1 200 OK
Date: Fri, 19 Ene 2016 13:22:04 GMT
Server: Apache/2.2 (Linux Kali)
X-TAXII-Protocol:
urn:taxii.mitre.org:protocol:http:1.0
X-TAXII-Content-Type:
urn:taxii.mitre.org:message:xml:1.1
X-TAXII-Services:
urn:taxii.mitre.org:services:1.1
Content-Type: application/xml
Transfer-Encoding: chunked
Connection: keep-alive
Proxy-Connection: keep-alive
<taxii_11:Status_Message
xmlns:taxii_11="http://taxii.mitre.org
/messages/taxii_xml_binding-1.1"
message_id="59222"
in_response_to="36508"
status_type="SUCCESS"/>
Estas cabeceras viajarán entre servidores que consuman el servicio web que
aprovisione el mensaje.
2. Analizador de direcciones IP
El analizador es una aplicación funcional para el análisis de cualquier
dirección IP en distintas bases de datos, con el fin de obtener información de
78 Barnett et al.
3. Virus total
A la aplicación de intercambio de inteligencia se le incluyó el API oficial
de Virus Total, con el cual se le aplica un valor agregado a los reportes, donde
se indica la cantidad de detecciones por antivirus que fueron encontrados en el
archivo analizado.
La herramienta Virus Total tiene la función de indicar si el archivo que se
está analizando para ser caracterizado cuenta con algún tipo de código malicioso,
Caracterización de malware usando lenguajes de intercambio de inteligencia 79
el cual es detectado por alguno de los motores de antivirus con los que cuenta el
API.
Primero se procede a verificar el hash en la base de datos local, luego se
verifica este mismo dato en Virus Total, el cual proporciona el resultado. Luego
de verificar el archivo malicioso, se procede a realizar el empaquetado de la
información con STIX, se prepara el paquete STIX con las cabeceras TAXII
para el intercambio, se guarda el resultado en la base de datos dejando el archivo
resultante en formato XML en el servidor y, por último, muestra la información
respectiva en pantalla (Barnum, 2014).
4. Resultados
El tema de lenguajes de intercambio de información aún está poco
desarrollado, con su utilización se pueden explorar muchas funcionalidades útiles
para cualquier empresa, sea cual sea la orientación del negocio. Existe gran
cantidad de información que se puede obtener realizando la caracterización de
un archivo malicioso. Se logró caracterizar más de 100 artefactos de software,
almacenando la información resultante en una base de datos MySQL, que
incluye:
5. Conclusiones
El tema de los metalenguajes para el intercambio de información aún está
poco desarrollado. Con su utilización se pueden explorar muchas funcionalidades
útiles para cualquier empresa, sea cual sea la orientación del negocio. Existe
gran cantidad de información que se puede obtener al realizar la caracterización
de un archivo malicioso, el cual conlleva investigar más a fondo para sacarle
mayor provecho a estos metalenguajes. Actualmente se desconoce o no se maneja
muy bien el concepto de este tipo de herramientas (las cuales se pueden utilizar
de manera gratuita), y no existe documentación extensa sobre el tema, lo que
dificulta la implementación de este tipo de aplicaciones.
6. Recomendaciones
Los lenguajes de intercambio de inteligencia, deben ser investigados más a
fondo, debido a que abarcan un sinnúmero de funcionalidades, las cuales no
fueron desarrolladas en su totalidad en este proyecto. Es importante seguir
desarrollando funcionalidades de CyBOX y MAEC, así como STIX y TAXII.
Aún se debe modificar la manera de trabajar de STIX para que reciba la
información requerida por medio de parámetros. Un punto importante para
aplicar en la siguiente investigación es la implementación de un analizador de
malware como Anubis, el cual brindará un informe en distintos formatos que
puede ser relacionado con MAEC y así lograr la caracterización completa. Se
debe agregar seguridad a la aplicación e implementar sockets para mejorar el
rendimiento de la aplicación, para que logre leer más de un archivo (por ejemplo
una carpeta completa con n cantidad de archivos). Se debe continuar con el
desarrollo de un servidor TAXII donde se pueda recibir el paquete que está
listo, para ser enviado por la aplicación y de esta manera realizar el proceso
completo de intercambio de inteligencia.
Referencias
Barnum, S. (2014, feb). Standardizing cyber threat intelligence information
with the structured threat information expression (stix™). Descargado de
http://stixproject.github.io/getting-started/whitepaper/
EclecticIQ. (2016, apr). Stix and taxii threat intelligence analysis. Descargado
de https://www.eclecticiq.com/stix-taxii.html
MITRE. (2014, jan). Taxii-specifications. Descargado de https://github.com/
TAXIIProject/TAXII-Specifications
Security Intelligence, IBM. (2015, mar). Stix, taxii and cybox
can help with standardizing threat information. Descargado de
https://securityintelligence.com/how-stix-taxii-and-cybox
-can-help-with-standardizing-threat-information/
Tecnologías de la Información
y Gestión de Proyectos
Dr. Antonio González Torres (Ed.)