UNIVERSIDAD AUTÓNOMA DE NUEVO LEÓN

FACULTAD DE CONTADURÍA PÚBLICA Y ADMINISTRACIÓN

CAPÍTULO 7. SOLUCIONES DE TECNOLOGÍA DE

INFORMACIÓN PARA LOS NEGOCIOS.
Soluciones de Tecnología de
Información para los negocios

La clave de esto es identificar los requerimientos del negocio

por parte de los responsables del área de TI, con el objetivo de
establecer un plan de proyectos que genere soluciones de
tecnología de información correspondientes.
Pasos a seguir por el personal de TI para
cubrir las estrategias y las tareas cotidianas
dentro de la organización
1.- Participar en el proceso de planeación estratégica de negocios
2.- Estudiar el medio ambiente para detectar oportunidades y
amenazas
3.- Establecer con las áreas de organización un calendario de
reuniones que permita identificar un plan operativo anual
4.- Preparar un alcance y bosquejo preliminar de proyectos de TI
5.- Clasificar los requerimientos del negocio
6.- Identificar tipo de solución de TI que se requiere para cada
requerimiento del negocio
7.- Desarrollar el plan estratégico de TI.
8.- Crear, sólo de ser factible y benéfico, un comité de TI.
9.- Establecer un mecanismo que permita identificar, planear,
desarrollar y liberar soluciones de TI.
10.- Capacitar al personal de informática en aspectos
técnicos, administrativos y de negocios que le permitan
comprender los cambios en el entorno y dotarlos de
conocimiento, herramientas y experiencia.
Metas para que una organización sea
competitiva y orientada al cliente
 Asegurar el retorno de la inversión
 Ejecutar proyectos conforme al plan estratégico
 Cumplimiento de control interno
 Aumentar las ventas de manera constante y conforme a los
presupuestos estimados
 Convertirse en lideres o consolidarse como tales
 Uso eficiente de y seguros de los sistemas de información y
recursos tecnológicos
 Reducir costos
 Incrementar los niveles de satisfacción de los clientes
 Ser referencia de estudios de Benchmarking
Problemas que afectan a las metas
anteriores
 Falta de un plan estratégico del negocio
 Carencia de detalle del plan operativo de negocios en
diferentes aspectos
 Falta de compromiso y respaldo oportuno al plan y proyectos
 Carencia de acciones preventivas y correctivas
 Inadecuada segregación de las funciones en los puestos y tareas
 Participación mínima o nula del responsable de informática en
la formulación, justificación y aprobación del plan de negocio
Metas claves de la función de TI

 Identificar nuevos requerimientos o mejoras sustantivas

en productos y servicios de TI que proporciona procesos
de negocio
 Desarrollar e implantar Sistemas de información
 Respetar el CDVDISI
 Administrar la base de datos
 Investigar, justificar y adoptar tecnologías emergentes
 Administrar centros de computo
 Soporte a Usuarios
Problemática y Soluciones relacionadas
con la Tecnología de Información
Problemática:
El uso parcial, informal y esporádico de metodologías para
los procesos planeación y desarrollo de sistemas de
información.

Pasos mínimos para su solución:

-Adquirir o desarrollar una metodología estratégica de TI.
-Involucrar en la planeación de negocios al personal de TI.
Problemática:
La vulnerabilidad del negocio a ataques de virus computacionales,
ingreso de hackers, fraudes, fugas de información, entre otros, es
alto, debido a que no existe un Plan Integral de Seguridad en TI.

Pasos mínimos para su solución:

-Identificar debilidades y fortalezas.
-Identificar riesgos a que son susceptibles los SI en operación.
-Fortalecer la seguridad física.
-Establecer niveles de acceso a sistemas y software.
-Instalación de corta fuegos.
-Instalación de software antivirus.
-Elaborar cartas de confidencialidad.
-Instalar software para detectar intrusos.
-Revisar de manera continua el Plan Integral de Seguridad de TI.
Problemática:
El desarrollo de sistemas de información o la compra, pruebas e
implementación de soluciones desarrolladas por terceros, no se llevan a
cabo con una metodología de ciclo de vida de desarrollo e implementación
de SI (CVDISI).

Pasos mínimos para su solución:

-La empresa debe adquirir o generar una metodología CVDISI.
-Algunas de las etapas que debe cubrir la metodología CVDISI, son:
+ Planeación y alcance del SI.
+ Estudio de factibilidad.
+ Análisis de alternativas.
+ Análisis de requerimientos.
+ Diseño del nuevo sistema.
+ Mejoras del sistema.
-Capacitar al personal de TI en el uso de la CVDISI.
-Evaluar al menos una vez al año la metodología CVDISI.
Problemática:
Ni los responsables del negocio ni del área de TI han propuesto,
iniciado ni ejecutado acciones preventivas para garantizar que las
tareas de planeación, organización, desarrollo, operación, soporte,
seguridad y auditoria se lleven a cabo bajo un marco de referencia
generalmente aceptado.

Pasos mínimos para sus solución:

-Es recomendable que las organizaciones tengan un apoyo
significativo en los productos y servicios de TI para ejecutar sus
procesos críticos de negocio.
-Es recomendable utilizar COBIT que es uno de los modelos de
administración, seguridad y control más recomendables a nivel
internacional.
-Otra alternativa es que la empresa certifique sus procesos,
observándose como un departamento o área de servicio.
 Objetivos del negocio

COBIT

Información

Planeación y
Monitoreo organización
Recursos de TI

Entrega y Adquisición e
soporte implementación
Problemática:
No hay políticas, procedimientos ni estándares para la evaluación,
adquisición, selección y monitoreo y control de proveedores que
ofrecen productos o servicios de TI a la organización.

Pasos mínimos para sus solución:

-Establecer un manual de políticas y procedimientos para el ciclo de
vida de administración de proveedores de TI (CIVAPTI).
-Para la evaluación de proveedores de TI es necesario:
+ Identificar productos y servicios de TI que requiere la organización.
+ Recopilar información de mercado.
+ Identificar las prioridades, analizar presupuestos y establecer planes de
trabajo.
+ Entregar requerimientos y especificaciones de los productos y servicios
de TI a los proveedores seleccionados previamente por la empresa como
candidatos oficiales.
-Al seleccionarse el proveedor de TI, el responsable de TI,
en coordinación con el área jurídica y usuarios elaboraran
contratos con planes de trabajo y finanzas de ser
necesarias.
-Cuando se inicie la relación del proveedor de TI, las
actividades de monitoreo de desempeño deben incluir al
menos:
+ Establecer niveles de servicio y escalamiento de problemas.
+ Evaluación del nivel de cumplimiento del plan de trabajo.
+ Mejoras a productos y servicios que requiera la empresa.
Problemática:
Los niveles de satisfacción expresados por los usuarios con relación
a los beneficios cuantificables y cualifícales que genera
informática son bajos, debido a factores como:
-Falta de convenios formales de TI.
-Carece de indicadores de servicio para el soporte de usuarios.
-No se han formalizado ni cuantificado parámetros de
disponibilidad.
-No están cuantificadas las capacidades de servidores, enlaces,
periféricos de respaldo de datos, entre otros recursos de cómputo.
-Las actividades dedicadas al servicio y soporte a usuarios son
nulas o mínimas.
-Capacitación mínima o informal a los usuarios.
-No existe un presupuesto ni tareas planeadas del personal de TI.
-Debilidades en seguridad y control que ponen en riesgo la
continuidad de operaciones de negocio.
Pasos mínimos para su solución:
-Los usuarios claves de las mismas, así como el encargado y jefes de
área de la función de TI deberán establecer de manera formal un
convenio de niveles de servicio que contenga al menos:
+ Roles y responsabilidades para administración, uso, monitoreo,
seguridad y control de SI y recursos tecnológicos.
+ Procedimientos para la solicitud y solución de requerimientos de
usuario.
+ Políticas y controles para contingencias y desastres.
+ Cuantificación de la disponibilidad, capacidad, confiabilidad y
desempeño de recursos de cómputo y telecomunicaciones dedicados a
sistemas claves.
+ Requerimientos de cada SI que será trasladado de pruebas a producción.
+ Mecanismos cuantificables para garantizar que los usuarios y personal de
TI validen mediante encuestas y evaluaciones el cumplimiento y mejora
permanente de los niveles de servicios establecidos.
+ Establecer controles relacionados con la confidencialidad de datos.
Problemática:
Se carece de un proceso estructural y formal que garantice
que todos los cambios relacionados con los siguientes
conceptos se haga de manera confiable, planeada,
controlable y segura:
 Reemplazo de equipo de cómputo y telecomunicaciones.
 Cambio de versiones de software.
 Traslado del ambiente de desarrollo/pruebas de producción.
 Actualización de políticas y procedimientos.
 Contratación de nuevos servicios por terceros.
 Cambios en la estructura organizacional y funciones relacionadas
con el personal de TI.
 Actualización del plan operativo y estratégico de TI.
Pasos mínimos para su solución:
 Establecer un proceso de control de cambios que elimine y
minimice los riesgos asociados a cada movimiento realizado en
ambientes de sistemas y operación de recursos tecnológicos en
la organización:
o Definición formal (documentación y descripción del cambio):
 Versiones de software.
 Ambiente de desarrollo/pruebas a producción.
 Reemplazo o adquisición de equipo de
cómputo/periféricos/telecomunicaciones.
 Actualización de manuales de control interno/seguridad.
 Actualización de planes de TI.
 Modificación a contratos o convenios con usuarios o
proveedores.
 Manuales de operación de quipo de cómputo.
 Manuales de usuarios de sistemas.
 o Justificación (costo – beneficio del cambio solicitado):
 Cuantificables: Disponibilidad, capacidad, desempeño,
tiempos de respuesta, reducción de operaciones, costos,
tareas, quejas, etc.
 Cualificables: Imagen, controles preventivos de seguridad,
etc.
o Responsables del cambio:
 Personal del desarrollo/Personal de operaciones.
 Proveedores/Encargado de la función de TI/Usuarios.
 Enfatizar el control de cambios a sistemas de información críticos
de la empresa en cada fase relacionada con su implementación:
Planeación, estudio de factibilidad, análisis, diseño, construcción,
pruebas, conversión, operación y mantenimiento.
 Todos los cambios debe de ser evaluados y revisados
periódicamente por personal de auditoría para garantizar que se
incluyan medidas de seguridad y de control.
Requerimientos de éxito para la administración de
informática
Orígenes de la función de TI Función de la TI actualmente
Concepto
Baja. Dependía mucho de áreas Alta. El responsable de TI tiene alcance
Independencia y
administrativas. y comunicaciones con todas las áreas.
autoridad
organizacional

Bajo. Enfocado a cuestiones Alto, se incluyen iniciativas para apoyar

operativas y soporte técnico. Se proyectos de TI y planes estratégicos.
Presupuesto ejercía en compras de equipos de
cómputo y mantenimiento.

Se organizaba en operación de Incluye planeación TI, desarrollo de

centros de cómputo, mantenimiento, sistemas, operaciones, seguridad y
Estructura
planeación y desarrollo de sistemas. control de TI.
 Mínimo y a nivel operativo. Se
Outsourcing solicitaba para desarrollar
aplicaciones y soporte.
Proyectos Operativos
Visión Corto y mediano plazo
Mínima, enfocada en la auditoría
de sistemas y seguridad.
Audioría
Orientadas al ciclo de vida de
Metodologías desarrollo e implantación de
sistemas.
Manuales. Orientadas al análisis y
diseño de sistemas como los
Técnicas
diagramas de flujo y modelos de
datos.
Total o parcial. Se cubren
operaciones, redes, soporte,
seguridad, asesorías, etc.
Estratégicos
Todos los plazos
Frecuente para la revisión de
políticas, procedimientos y
controles de evaluación de
sistemas.
Varias. Auditoría de
Informática y seguridad.
Automatizadas.
Lo anterior concluye que no importa la empresa, es necesario
contar con un mecanismo eficiente que permita a los
responsables de TI brindar un servicio a toda la organización.
Es importante entender y promover la seguridad, soluciones
de negocio, soporte a usuarios y servicios, etc.
A continuación se mencionan las responsabilidades
administrativas, operativas, técnicas, de seguridad y de
calidad que debe reunir el área de tecnología.
Responsabilidad: Desarrollo de la planeación estratégica de
TI a partir del plan del negocio.
Propósito: Impulsar la participación y compromiso de las
diferentes áreas de TI en el proceso de planeación
estratégica de negocio para obtener de resultados:
 Identificación de requerimientos de información
 Identificación de proyectos operativos y estratégicos del negocio
 Clasificación y presupuesto de iniciativas de TI
 Establecimiento de prioridades de la planeación
 Evaluar el análisis de brecha entre las soluciones de TI actuales y
las que se tienen que desarrollar
 Obtener la aprobación de la empresa para el presupuesto de TI
Características: La dirección general y direcciones que conforman
la organización formalizan y promueven la participación del
responsable del área de TI y de sus empleados claves en todo el
proceso de Planeación estratégica de Negocio.
Beneficios: Se brindan soluciones específicas para los proyectos de
negocio, se optimizan los recursos humanos, tecnológicos y
financieros, hay comunicación entre el área de TI y las demás, se
reduce el nivel de incertidumbre por parte del responsable de TI al
orientar todas las capacidades, etc.
Responsabilidad: Uso de metodologías de planeación, desarrollo e
implantación de sistemas de información y proyectos de TI.
Propósito: Proporcionar a los diferentes integrantes del área de TI
de un camino estructurado y lógico para para la definición,
planeación, ejecución y control de proyectos ligados al plan
estratégico de TI como:
 Desarrollo, adquisición, instalación y mantenimiento de
sistemas.
 Desarrollo y actualización de la infraestructura tecnológico.
 Negocio electrónico
 Auditoría de informáticas
 Justificación, planeación, desarrollo, difusión e implantación de
seguridad de la información.
 Proyectos de negocio que requieren habilitadores de TI
Características: Estándares, mejores prácticas, guías,
políticas y procedimientos en manuales formales para la
administración de proyectos de TI.
Etapas aceptadas en proyectos de
desarrollo/mantenimiento de sistemas:
a) Planeación del proyecto/Alcance/Visión general
b) Análisis de requerimientos de sistemas
c) Diseño
d) Programación
e) Conversión/Liberación
f) Evaluación post implantación
Etapas aceptadas en proyectos de adquisición e instalación de
sistemas:
a) Planeación del proyecto/Alcance/Visión general
b) Análisis de requerimientos del sistema
c) Evaluación de sistemas desarrolladas por terceros
d) Funcionalidad de la base instalada y sus características técnicas
e) Esquema de soporte, costos y pruebas del sistema
f) Evaluar tecnología de soporte que requiere el sistema evaluado
g) Seleccionar el sistema que será adquirido y justificar el
proveedor
h) Legalizar la compra
i) Hacer pruebas extensivas
j) Poner en marcha el sistema en marcha
Etapas aceptadas en proyectos de infraestructura
Tecnológica
a) Planeación del proyecto:
o Revisión de estándares
o Evaluación de la arquitectura actual de TI
o Análisis de requerimientos de negocio e identificación de iniciativas de
infraestructura requeridas
o Estimar etapas, inversiones, costos y tareas requeridas para diseñar, evaluar,
seleccionar, instalar, probar, operar y mantener la estructura tecnológica.
o Evaluar criterios de seguridad
b) Definición de requerimiento de negocio y TI:
o Desempeño
o Capacidad
o Seguridad
c) Identificar soluciones de infraestructura tecnológica requeridas para satisfacer
necesidades de negocio:
o Equipo de cómputo y servicios de telecomunicaciones
 o Periféricos de almacenamiento
o Software
o Equipo de seguridad física
d)Evaluar y seleccionar proveedores:
o Parámetro de desempeño, capacidad, etc.
o Imagen
o Base instalada de productos y servicios
o Niveles de servicios
o Alianzas
o Visitas guiadas con clientes
o Aplicar entrevistas
o Pruebas de ambiente en operación
o Alternativas de descuento
o Estrategias de implantación
e) Adquirir Equipo, software o servicios
o Legalizar la adquisición
f) Instalación, configuración y pruebas finales.
g) Operación y monitoreo de infraestructura nueva de TI.
h) Establece modelo de servicio.
i) Mantenimiento y reemplazo de componentes de infraestructura.
Beneficios: Uso de mejores prácticas, aplicación de políticas y controles, se
estandariza la manera en que se administran y se ejecutan os proyectos, se reduce
la capacitación y se facilita la transferencia del conocimiento.

Responsabilidad: Capacitación del personal del área de TI

Propósito: Programar y presupuestar un plan de capacitación teórico práctico, de
orientación humana, técnica y de negocio.
Características: El plan y presupuesto de capacitación se deriva de estrategias de
crecimiento y desempeño por puesto que establece el responsable de TI y la
empresa.
La participación del área de recursos humanos es clave en el proceso
de definición, planeación y programación del entrenamiento y
capacitación que requieren los diferentes puestos del área de TI.
Se debe capacitar a los empleados de nuevo ingreso.
Se debe tener un plan de capacitación formal y completo que cubra
lo siguiente:
 Teoría de sistemas
 Ciclo de vida de desarrollo e implantación de sistemas de
información
 Tecnologías emergentes (SE, redes inalámbricas, comercio
electrónico)
 Implantación de soluciones ERP
 Plan de continuidad de operaciones para soluciones basadas en TI
 Seguridad y auditoría en informática
 Metodologías y herramientas para administración
 Calidad/Rediseño de procesos/etc.
Beneficios: Los empleados de TI actualizan sus conocimientos y
habilidades al recibir capacitación, se permite el crecimiento de los
empleados, se estandarizan las actividades, se actualiza el material y
los cursos en línea, etc.

Responsabilidad: Uso de técnicas y herramientas para ejecutar

proyectos relacionados con la adm. de productos y servicios de TI
Propósito: Proporcionar a los empleados de TI de los recursos
tecnológicos que les permitan desarrollar sus tareas.
Características: Estas herramientas deben de ser soluciones maduras
previamente probadas y utilizadas en el mercado.
Técnicas y herramientas utilizadas por el personal de TI:
o Herramientas y técnicas para modelar procesos de negocio y generar
un esquema de adm. y control de proyectos relacionados con la TI.
o Software para desarrollar estudios de factibilidad en inversiones de
TI.
o Productos para desarrollar sistemas de información basados en
ingeniería de software.
o Lenguajes de programación
o Herramientas de productividad
o Software para monitoreo de redes
o Software y equipo de seguridad física y para seguridad lógica
o Software para el desarrollo de auditorías, planes de continuidad de
operaciones, planes de recuperación en caso de desastre, para
generar manuales de políticas y procedimientos, etc.
Beneficios: Se desarrollan actividades clave por el personal de
informática, se incrementa la productividad, se implantan mejores
prácticas y se reducen las tareas operativas.
Componentes físicos de la infraestructura
Aquellos elementos tangibles (hardware)
Que se complementan con soluciones no físicas (software)

Tiene como objetivo principal automatizar la captura, proceso,

almacenamiento y transmisión de información:
 Computadoras
 Equipos y servicios de telecomunicaciones (Internet, Ruteadores)
 Lenguajes de Programación
 Base de Datos
 Sistemas de Información
 Sistemas Operativos
 Software de Productividad Personal (Procesador de palabras, Hojas
electrónicas, Diagramas)
 Equis y accesorios de seguridad (Cámaras, Detectores de humo)
 Computo para uso especifico (Medicina, Aeronáutica)
 Software para uso especifico (Diseño, Arquitectura)
Plan de Seguridad Integral para la
Información y la Tecnología
A quien se dirige:
A las políticas, procedimientos y practicas
que debe cumplir la empresa, proveedores
y clientes, que utilicen datos y recursos de
software y computo en la realización de
procesos claves como ventas, finanzas,
recursos humanos, abastecimiento, etc.
Los apartados aceptados
para un buen uso del PdSIplIT son:
1. Seguridad Lógica
2. Seguridad Física
3. Seguridad de la Información
4. Seguridad a productos y servicios de Telecomunicaciones y Redes
5. Seguridad de Sistemas
Seguridad Física
La seguridad física es uno de los aspectos más
olvidados a la hora del diseño de un sistema
informático.
Esto puede derivar en que para un atacante
sea más fácil lograr tomar y copiar una cinta
de la sala, que intentar acceder vía lógica a la
misma.
Seguridad de la Información
La seguridad de la información es el
conjunto de medidas preventivas y
reactivas de las organizaciones y de los
sistemas tecnológicos que permiten
resguardar y proteger
la información buscando mantener la
confidencialidad, la disponibilidad e
integridad de datos y de la misma.
Seguridad a productos y servicios de
Telecomunicaciones y Redes
En resumen, administrar el uso y la
seguridad de:
1. Ruteadores
2. Firewalls
3. Detectores de intrusos
4. Claves de acceso remoto
Seguridad de Sistemas
Controles y practicas para protección de
información y recursos de computo
utilizados en los sistemas de información
de la empresa.
La seguridad de la Información en las
empresas
Consiste en garantizar que el material y los recursos de software se
usen únicamente para los propósitos que fueron creados.

Los principales objetivos y características de la seguridad informática

son:

 Integridad
 Confidencialidad
 Disponibilidad
 Evitar el rechazo
 Autenticación
Ventajas de la Seguridad de
Información en las empresas
 Asegura la integridad y privacidad de la
información de un sistema informático y sus
usuarios.
 Medidas de seguridad que evitan daños y
problemas que pueden ocasionar intrusos.
 Crea barreras de seguridad que no son más
que técnicas, aplicaciones y dispositivos de
seguridad, como corta juegos, antivirus, anti
espías, encriptación de la información y uso
de contraseñas protegiendo información y
equipos de los usuarios.
Desventajas de la Seguridad de
Información en las empresas
 La seguridad absoluta es imposible
 En los equipos de cómputo más desactualizados un
antivirus realmente efectivo puede ser muy
pesado, puede hacerlos más lentos y ocupar mucho
espacio en memoria.
 Los requisitos para la creación de contraseñas son
cada vez más complejos, la mayoría de los sitios
web requieren inicio de sesión, y el cambio de
contraseñas con frecuencia se ha vuelto obligatorio
en muchos lugares de trabajo, recordarlas en
ocasiones es muy difícil.