1

Número 4

Mayo 2009

Volumen 1

Sobre el SGSI (Sistema de Gestión de la Seguridad de la Información...... 1

Metodologías Ágiles: ¿Cómo migrar a SOA? 4

PerspectivasInformáticasLA DIMENSION INFORMATICA DE LAS EMPRESAS

El problema de la información es que sobreabunda; el problema del conocimiento es que escasea; el problema de la experiencia es que no siempre se transforma en sabiduría

Sobre el SGSI (Sistema de Gestión de la Seguridad de la Información)En los Números Anteriores: Riesgo, Seguridad e Información Empresarial Amenaza, Vulnerabilidad y Riesgo El SGSI (ISMS, Information Security Management System) Se denomina con este nombre al conjunto de Procesos y Procedimientos relacionados con la Gestión de la Seguridad de la Información en una Organización o Empresa. Existen diversos ‘marcos’ (frameworks) para considerar posibles SGSI de los cuales los más conocidos y utilizados son los de COBIT, ITIL, SOGP (Standard Of Good Practice) del ISF (Information Security Forum) y el PDCA adoptado por la ISO en la Serie 27000, al cual nos referiremos. El Ciclo Deming, PDCA (Plan, Do, Check, Act) o PHVA en español (Planificar, Hacer, Verificar, Actuar); es el utilizado en las Normas de Calidad ISO, y al cual se ha ajustado la Serie ISO 27000 en general y el SGSI en particular. https://www.securityforum.org/index.htm www.isaca.org/cobit.htm www.itil.org http://es.wikipedia.org/wiki/PDCA

El Ciclo Deming El concepto de PDCA se remonta al inicio del método científico occidental. El método científico se comienza a desarrollar a partir de Leonardo Da Vinci; Galileo Galilei y otros; entre el año 1450 y 1700. Fue Francis Bacon en 1620 (Novum Organum), quien lo formalizó con las siguientes fases:

1) Observación. 2) Inducción 3) Hipótesis 4) Experimentación 5) Demostración. 6) Tesis o Teoría Científica

Ya en el siglo XX Walter Shewhart aplicando el método científico al control estadístico industrial

concibió tres fases en un proceso de producción: 1) Especificación 2) Producción 3) Inspección

Finalmente el método PDCA se difunde con los trabajos de Edward Deming en Japón. Originalmente Deming prefería denominar a la Check como Study, ya que se ajustaba más al concepto propuesto por Shewhart. Finalmente el modelo se popularizó mundialmente como el ciclo PDCA (Plan, Do, Check, Act) o su variante en español PHV; o Ciclo Deming. El método es altamente iterativo, lo cual permite verificar y validar permanentemente los modelos, variables y parámetros puestos en juego. Tanto para eliminar algo que ha sido considerado erróneamente, como para incluir algo que aparenta ser correcto o mejor. El método Six Sigma denomina a este ciclo con el nombre de DMAIC (Define, Measure, Analyze, Improve, Control). Sin embargo la ‘cadena de valor’ DMAIC representa una secuencia de procesos para garantizar la homogeneidad estadística y no incluye implícitamente la iteración, la cual, obviamente, se expresa explícitamente. http://es.wikipedia.org/wiki/Metodo_cientifico http://es.wikipedia.org/wiki/Seis_Sigma

El Ambiente Informacional............. 5

La aplicación de Normas Internacionales en Gestión de Calidad ...................7

http://riesgoseguridadinformacion.blogspot.com/

4

2

El ciclo PDCA parte conceptualmente de una ‘espiral del conocimiento’. Brevemente; existen tres mecanismos conceptuales de conocimiento. 1) Analizar todo, aprender todo y luego hacer, lo cual normalmente se ‘bloquea’ por el factor ‘análisis parálisis’. Factor que hace que transcurra el tiempo de estudio sin que se pueda iniciar la acción para la cual se está realizando tal estudio. 2) Hacer y reparar, por la cual se hace con lo que se sabe, y si sale mal se rehace. Este concepto es el opuesto al anterior y es muy peligroso, pues consiste en hacer sin planificar. En ocasiones es de utilidad en otros casos, no. Se puede considerar el ejemplo de construir un edificio, si sale mal, resulta demasiado costoso derrumbarlo y volver a construirlo 3) Conocimiento en espiral o enfoque orgánico. En este caso se hace con el conocimiento que se tiene, pero se considera ‘hasta donde se puede hacer’. Tal vez el conocimiento alcance para un bosquejo, tal vez para una maqueta, tal vez para un prototipo que permita ‘probar lo básico’. Se evita la parálisis por análisis y se minimizan los costos de los errores, pues se realizan acciones ‘de prueba’ avanzando en cada iteración del ciclo y adquiriendo un mayor conocimiento que permita hacer mejor o en forma más óptima cada vez.

Estructura del SGSI Todo sistema de gestión debe articular una cantidad de funciones y elementos. En el caso del Sistema de Gestión de la Seguridad de la

Información los elementos a considerar son: a) Las Normas El conjunto Normativo actual más importante está conformado por la serie ISO/IEC 27000, compuesta por: ISO 27000 Introducción, Descripción y Glosario del ISMS (no publicada) ISO 27001:2005 Certificación del ISMS ISO 27002:2005 Código de Práctica (ex ISO 17999) ISO 27003 Guías de Implementación del ISMS (no publicada) ISO 27004 Métricas de Seguridad (no publicada) ISO 27005:2008 Guías de Implementación basadas en Gestión de Riesgos ISO 27006:2007 Proceso de Certificación y Registración ISO 27007 Guías para la Auditoria del ISMS (Centrada en el Sistema de Gestión) ISO 27008 Guías para la Auditoria del ISMS (Centrada en los Controles de Seguridad) Guías de Implementación por Sector I SO/IEC 27010: Guía para el SGSI en comunicaciones e información ISO/IEC 27011: Guía para el SGSI en Telecomunicaciones. ISO/IEC 27012: Guía para el SGSI para Gobierno Electrónico. ISO/IEC 27013 Guía para SGSI para los Servicios Financieros ISOIIEC 27014: Guia para el SGSI para la Industrias Manufactureras ISO/IEC 27015: Evaluación y pruebas de la eficacia del plan y procedimientos SGSI. ISO/IEC 27016: Auditorías y revisiones. Guías Técnicas:

ISO/IEC 27031: Continuidad del Negocio ISO/IEC 27032: Ciberseguridad, Redes Internet ISO/IEC 27033: Seguridad en Redes ISO/IEC 27034: Seguridad de la Información ISO/IEC 27035: Gestión de Incidentes

b) Los Procedimientos Los procedimientos son específicos para cada uno de los sistemas SGSI que se desarrollen y describen los procesos que se consideran dentro de tal SGSI. c) El código de Práctica El código de práctica se describe en la norma ISO 27002 y se basa en los tres pilares clásicos de la Seguridad de la Información, conocidos como triángulo CIA: Confidencialidad: Solo quien está autorizado para acceder a un información determinada debe poder acceder a ella. En casos específicos el personal deberá haber firmado un ‘acuerdo de confidencialidad’ a los efectos de no difundir la información sensible a terceros. Las contramedidas se centran en las técnicas que impidan y controlen el acceso a la información. Integridad. La integridad hace referencia a la no adulteración de una pieza de información, lo cual implica incorporar técnicas especiales que puedan determinar las alteraciones, modificaciones, eliminaciones y agregados en un documento. Todo documento ‘sospechoso’ de adulteración pasa a ser no confiable. Disponibilidad (Availability) La información debe estar disponible en tiempo y forma para todos aquellos usuarios que estén autorizados a acceder a tal información. Si la información es inaccesible, de poco sirve poseerla. d) El Proceso del SGSI El proceso del SGSI incluye un conjunto de fases, de las cuales solo los Controles están incluidos en la Norma ISO 27001 Alcance: Especifica los objetivos actuales del SGSI Evaluación y Valoración de Bienes Identificación de Bienes: Determina cuales son los bienes que quedaran cubiertos por el SGSI. Determinación de Valores: Asigna

Estructura del SGSI

3

Procesos del SGSI

Control deAcceso

Gestión de losBienes

Políticas de Seguridad

Organización de la Seguridad

de la Información

Seguridad de losRecursos Humanos

Seguridad Física y ambiental

Gestión de lasComunicaciones

y las Operaciones

Desarrollo, Adquisición Y Mantenimiento de

Sistemas de Información

Gestión de laContinuidad del Negocio

CumplimientoInformación

Disponibilidad

1

2

3

4

5

6

7

8

9

10

11 Dominios en la 27001

Integridad

ConfidencialidadGestión de los Incidentes

de la Seguridadde la Información

11

A.5

A.6

A.7

A.8

A.9A.10

A.11

A.12

A.13

A.14

A.15

un valor económico a los bienes que quedan en protección. Definición de Políticas, Normas y Procedimientos Las políticas son los elementos de base que luego permitirán determinar cuáles serán los controles necesarios y como se desarrollaran los procesos para evidenciar tales controles y que se puedan establecer mecanismos para mantener al sistema dentro de las políticas especificadas. Análisis y Gestión de Riesgos Determinación de Riesgos: Determina cuales son los riesgos que quedarán cubiertos por el SGSI. Nivel de Aseguramiento deseado: Determina cuales serán las acciones de salvaguardias o paliativos sobre los riesgos considerados, y/o acciones a desarrollar en caso de un riesgo conocido pero no cubierto o un riesgo no conocido. Identificación de Objetivos de Control y

Controles (ISO 27001) La Norma ISO 27001 especifica los controles que se deben incluir en un sistema SGSI. La ISO 27001 posee 11 Dominios de Control con 39 Objetivos de Control y 133 Controles individuales No todos los controles que especifica la Norma deben estar incluidos, pero si considerados. Algunos controles pueden no ser aplicables o ser innecesarios en un SGSI específico. Implementación de Políticas, Normas y Procedimientos. Esta es la fase de implementación del SGSI, cuando se transforma en ‘algo real’. Actualización de la Documentación. Estando el SGSI operativo se debe completar el proceso de Auditoria y Certificación del mismo (si es que se quiere cumplimentar con las Normas de Seguridad de la Información). Para tal fin se debe generar y recopilar la información y documentación necesaria que permita luego encarar el proceso de Auditoria en forma positiva. Auditar y Revisar Cumplimentados todos los elementos solicitados

para la confección de una Auditoria se procede a realizar la misma con el objetivo de alcanzar la Certificación de la Norma respectiva. Logro de los Objetivos y Redefinición del Alcance: Establecido el SGSI queda por comprobar que se alcancen los Objetivos para el cual se lo creo. Aun alcanzándolos siempre existirán modificaciones, redefiniciones, actualizaciones y cambio de alcance que dispararán una nueva iteración del Ciclo Deming.

e) Los Productos del SGSI. Los productos del SGCI incluyen el conjunto de Políticas, Procesos, Procedimientos, Equipamiento y Documentación que permita realizar la concreción del SGSI. f) El Aseguramiento El aseguramiento es aquella faceta que permite que el proceso realmente se realice y que la seguridad se logre realmente. De nada serviría un SGSI formal si en la práctica existen mecanismos que permiten evitar las políticas definidas, o bien las comprobaciones no se realizan o se han deslizado errores en la implementación tecnológica del SGSI que permiten encontrar caminos que evitan el cumplimiento de la política de seguridad. g) Los Aspectos Culturales Los aspectos culturales son de suma importancia, ya que las políticas y los mecanismos para hacerlas cumplir deben estar alineados con la cultura del lugar y con la imagen de la empresa. Se deben evitar políticas laxas o rígidas, en culturas que no están preparadas para recibirlas apropiadamente. h) La Auditoria y Certificación del SGSIYa hemos tratado este tema al describir el Proceso del SGSI. Aquí solo agregaremos que la fase de Auditoria y Certificación es esencial. En la empresa moderna de nada sirve la ‘autoevaluación’, que si bien puede hacerse, requiere la confrontación por una entidad externa que le ‘garantice’ a los clientes de la empresa que sus Sistemas son correctos; de allí la necesidad de obtener la Certificación probatoria de tal situación.. Autor: Osvaldo A Pérez En los próximos números: En los Próximos Números: El riesgo y sus normas. Normas para Seguridad de la Información Desarrollo de mecanismos de protección.

Dominios de Control

4

Introducción Es cada vez más común diseñar soluciones orientadas a servicios, las cuales, entre otras virtudes, permiten una rápida adaptación a los cambios, algo cada vez más necesario. Hace algunos años se hablaba del modelo de tres capas como la típica arquitectura de los portales web que tenían algo más que html, es decir contaban con un repositorio de datos al cual consultaban de manera dinámica. Sin embargo, el mercado del desarrollo de software ha ido cambiando en los últimos años, los tiempos de desarrollo se han ido acortando y también suelen aparecer requerimientos cambiantes, por estas - y otras razones - la arquitectura de software ha ido evolucionando para permitir cumplir con las necesidades del mercado. SOA como arquitectura de software nos permite, entre otras cosas, llevar adelante un desarrollo de manera incremental, si pensamos – entre otros motivos - que los requerimientos pueden cambiar, que necesitamos integrar diferentes sistemas en una misma solución y que el cliente desea ir viendo la solución a medida que el desarrollo avanza, se presenta como una de las mejores alternativas a la hora de decidir que arquitectura utilizar. En este artículo analizaremos cual es la mejor estrategia para pasar de aplicaciones web de tres capas hacia una arquitectura basada en servicios, como lo es SOA. El objetivo es ver que tienen en común estas arquitecturas y de qué manera se puede aprovechar lo que fue desarrollado en la arquitectura de tres capas dentro de la arquitectura SOA. Principios de la Orientación a Servicios Un problema con el que nos podemos encontrar a la hora de construir una aplicación SOA es si la aplicación construida realmente es una aplicación "SOA Compliant". Para comprobar si una aplicación lo es, la mejor forma de hacerlo es chequeando que la aplicación cumpla con los Principios de la Orientación a Servicios.

No existe una definición estándar de cuáles son los Principios de la Orientación a Servicios, por lo tanto, lo único que se puede proporcionar es un conjunto de Principios que estén muy asociados con la Orientación a Servicios. Estos principios según Thomas Erl son:

a) Los Servicios deben ser reusables: Todo servicio debe ser diseñado y construido pensando en su reutilización dentro de la misma aplicación, dentro del dominio de aplicaciones de la empresa o incluso dentro del dominio público para su uso masivo.

b) Los Servicios deben proporcionar un contrato formal: Todo servicio desarrollado, debe proporcionar un contrato en el cual figuren: el nombre del servicio, su forma de acceso, las funcionales que ofrece, los datos de entrada de cada una de las funcionalidades y los datos de salida. De esta manera, todo consumidor del servicio, accederá a este mediante el contrato, logrando así la independencia entre el consumidor y la implementación del propio servicio. En el caso de los Servicios Web, esto se logrará mediante la definición de interfaces con WSDL.

c) Los Servicios deben tener bajo acoplamiento: Es decir, que los servicios

tienen que ser independientes los unos de los otros. Para lograr ese bajo acoplamiento, lo que se hará es que cada vez que se vaya a ejecutar un servicio, se accederá a él a través del contrato, logrando así la independencia entre el servicio que se va a ejecutar y el que lo llama. Si conseguimos este bajo acoplamiento, entonces los servicios podrán ser totalmente reutilizables.

d) Los Servicios deben permitir la composición: Todo servicio debe ser construido de tal manera que pueda ser utilizado para construir servicios genéricos de más alto nivel, el cual estará compuesto de servicios de más bajo nivel. En el caso de los Servicios Web, esto se logrará mediante el uso de los protocolos para orquestación (WS-BPEL) y coreografía (WS-CDL).

e) Los Servicios deben de ser autónomos: Todo Servicio debe tener su propio entorno de ejecución. De esta manera el servicio es totalmente independiente y nos podemos asegurar que así podrá ser reutilizable desde el punto de vista de la plataforma de ejecución.

f) Los Servicios no deben tener estado: Un servicio no debe guardar ningún tipo de información. Esto es así porque una aplicación está formada por un conjunto de servicios, lo que implica que si un servicio almacena algún tipo de información, se pueden producir problemas de inconsistencia de datos. La solución, es que un servicio sólo contenga

Metodologías Ágiles

¿Cómo migrar a SOA? 

5

El Ambiente Informacional

La Ecología de la Información postula laexistencia de tres ambientes: 1) El Ambiente Organizacional 2) El Ambiente Informacional 3) El Ambiente Externo En este artículo nos centraremos en el AmbienteInformacional, el cual es el más interno uoperativo de la empresa. Conceptos Previos. Antes de ingresar al desarrollo revisaremosalgunos conceptos previos que determinaran loscriterios para la formación del modelo.

¿Quién manda aquí? El problema de la ‘acción humana’ es complejo,cuando la cantidad de personas que debeninteractuar es mayor que dos. El dicho dice, doses compañía, tres es multitud; y con tres esdonde comienzan los problemas. Si dosconcuerdan y el tercero se generan cuatroposibles alternativas: a) El tercero ‘cede’, con locual alguien ‘se hace con el poder’. b) Al tercerole es indistinto, con lo cual ‘accede’ en forma decooperación o coordinación. c) El tercero se

opone, con lo cual se puede malograr la acción,minimizarla o ingresar en una ‘lucha de poder’ con o sin límite. d) El tercero ‘se aleja’, con locual la acción también puede malograrse y aunpeor, la relación puede malograrse odesaparecer. La descripción anterior indica que dada la acciónhumana y considerando una cantidad de tres o más personas involucradas en su realización una ‘relación de poder’ deberá establecerse.Ahora bien, el poder será; centralizado por‘control’ o será distribuido por ‘coordinación’. La historia nos muestra que el caso genérico esel poder por control y hegemónico, lo cual se remonta a Egipto, Sumeria y China, solosociedades muy avanzadas como Grecia o laIndia han establecido ‘coordinaciones’; lademocracia en el primer caso, y el ‘estado filosófico-natural, en el segundo. Tratar de ignorar la estructura de poder es desconocer la naturaleza humana, tratar dedesconocer la necesidad de una estructura decontrol es desconocer la pragmática del accionarhumano.

Lo anterior se traduce en una empresa como

Orden (Jerárquico); Estructura (Piramidal);Comportamiento Humano (como oposición ala Conducta Humana). Tal conjunto aseguraacciones rápidas y concretas. Quien mandaes ‘el capitán del barco’, quien ‘sabe a dóndeir’ y posee experiencia para sortear ‘todas lasvicisitudes’ de la travesía.

El ambiente cambia vertiginosamente Tal estructura funciona bien para lassituaciones conocidas, con un númeropequeño de personas, (los tripulantes de unbarco), y un ambiente conocido en cuanto alas posibles variables que puedenpresentarse. Cuando tales condiciones no seproducen el ‘modelo anterior’ entra en crisis. Las amenazas al modelo ocurren por lacantidad de personas, cientos, miles o cientosde miles en una misma empresa, con laimposibilidad de conocerse entre sí y de‘alinearse’ en cuanto a las acciones adesarrollar. La complejidad de la acción adesarrollar, en donde ‘no se conoce a dondese va’, o ‘se desconoce el camino’ de cómollegar a tal lugar. El cambio de contexto por

http://ecologadelainformacin.blogspot.com

muestra la inter-relación de los diferentes principios: Como se puede observar en el gráfico, el objetivo de la Orientación a Servicios es obtener software totalmente reutilizable a través de un conjunto de técnicas y principios como los descritos anteriormente.

Autor: Pablo De Natale

lógica, y que toda información esté almacenada en algún sistema de información sea del tipo que sea.

g) Los Servicios deben poder ser descubiertos: Todo servicio debe poder ser descubierto de alguna forma para que pueda ser utilizado, consiguiendo así evitar la creación accidental de servicios que proporcionen las mismas funcionalidades. En el caso de los Servicios Web, el descubrimiento se logrará publicando los interfaces de los servicios en registros UDDI.

Cuando se desarrollan aplicaciones SOA es muy útil y necesario tener en cuenta siempre estos principios, ya que nos van a dar las pautas necesarias para tomar ciertas decisiones de diseño complejas. Como se habrá podido observar, una característica muy importante de los Principios de la Orientación a Servicios, es que todos ellos se inter-relacionan. El siguiente gráfico

En los próximos números: Componentes de una Arquitectura SOA Diseño y Desarrollo SOA

6

los cambios de tecnología, de la oferta delmercado y de las necesidades y/o gustos delos posibles clientes; es decir se partió haciael destino A por el camino 23 pero durante latravesía el camino ‘quedo obsoleto’ o bien eldestino A ya no es alcanzable o ya no esdeseable. Los tres problemas anteriores limitan en granmedida la aplicabilidad del modelo de controljerárquico tradicional. El capitán del barco yano es útil, o sus órdenes llegan tarde ydistorsionadas a quienes deben realizar lasacciones. Así comentado, la ‘lógica’ parece simple ydiríamos, ‘cambiemos de modelo’. Ahora sepresentan algunos problemas. 1) ¿Por cuálmodelo cambiamos? 2) ¿Cómo deberíancambiar las relaciones de poder’. 3) ¿Se estádispuesto a cambiar las relaciones de poder? 4) ¿Se han percatado los ‘responsables’ queel ‘modelo vigente’ ha dejado de ser efectivo? Sin embargo un buen comienzo aparece de lamano de la información y el conocimiento y seconforma dentro del Ambiente Informacionalde la empresa.

La Estructura del Orden y laEstrategia de la Organización. Una empresa tradicional se ‘ordena’ a partirde una estructura operacional determinada ybajo el comportamiento esperado de laspersonas; básicamente ‘se le dice a cadaempleado que es lo que debe hacer’. Bajoeste esquema se obtienen ‘cadenasproductivas homogéneas’ altamentepredecibles como pueden ser las deensamblaje de automóviles o la cocción dehamburguesas. Típicamente el orden serealiza por medio de estructuras de controljerárquicas con una mayor o menorconcentración de poder en función de la

envergadura y volumen de la empresa yflexibilidad con la cual se desea llegar almercado. En cambio una empresa que debe afrontar unfuturo y un presente cambiantes con altosgrados de variabilidad debe optar pororganizarse desde un enfoque estratégico yconfiar en la conducta de las personas más queen su comportamiento. La discusión terminológica entrecomportamiento y conducta está minada deinconvenientes ya que diferentes escuelaspsicológicas han optado por uno u otro de talestérminos en forma indistinta, y a veces, parasignificar conceptos contrapuestos. Aquí encambio nos centraremos en el enfoquepedagógico, partiendo de un criterio simple.Comportamiento está relacionado con lo innatoen el humano, es decir con el conjunto derespuestas que una persona ofrecerá en forma‘natural’ a determinados estímulos y ‘alineadas’con el entorno cultural y social en el cual sedesenvuelve tal persona. Conducta, en cambio,es el conjunto de respuestas elaboradas poruna persona en función de sus intereses ycapacidad de propio crecimiento. La diferenciaentre ambas se centra en que la conductapuede cambiar y suele estar alineada tanto conla historia personal del individuo como con losobjetivos futuros que desea alcanzar. De estaforma se comprende que el ‘proceso deaprendizaje’ busca ‘generar conductas’ en lapersona y no comportamientos. Elcomportamiento es algo repetitivo, algoadiestrado que inhibe la variabilidad humana.La conducta es algo interno al humano quebusca desarrollarse para que cada personapueda aplicar sus propios criterios para obtenerrespuestas similares ante problemassemejantes, pero siempre con unadiferenciación personal fruto de la propiapersonalidad y de la capacidad de decisión decada persona. La capacidad de decisión de cada persona enbase a su propio criterio es lo que ‘hace ladiferencia’ cuando el entorno cambia y el gradode variabilidad es alto. Un grupo humano quesolo se rige por comportamientos, seguiráejecutando aquello para lo cual fue entrenado,aun cuando los resultados de su accionar seantotalmente contraproducentes pues el entornoha cambiado y el resultado ha dejado de ser

conducente. Todos conocemos casos de esta‘incapacidad’, la de un empleado de hotel, dehospital o de comercio, que nos ofrecerespuestas verbales ‘correctas’ desde su propio‘reglamento’, pero totalmente ridículas o nocivaspara el problema real que afrontamos en esemomento. Nuevamente la diferencia entre uncomportamiento y el desarrollo de una conductase centra en la información, el conocimiento y eldesarrollo de procesos de aprendizaje quedesarrollen el potencial para la toma dedecisiones de cada persona. Organizar una empresa es muy diferente queordenarla; para organizarla se debe partir de unaestrategia definida en función de objetivosconcretos que se quieren alcanzar dentro de una‘visión’ o ‘razón de ser’ de tal empresa oemprendimiento humano. Una organización debe interactuar y convivir condiversas estructuras de control; algunasjerárquicas, otras redundantes y otrascooperantes. De lo contrario no podrá ‘seguir’ ladinámica del mercado, no ajustarse a loscambios de demanda, no podrá evolucionardinámicamente y carecerá del potencial parainnovar. Una organización centrada solo en elpoder y la jerarquía solo podrá ser ‘seguidora’ deotros, pero nunca líder en un mercado. La problemática anterior a quedado demostradapor muchas empresas que ya no están, y otras,como es el caso de IBM, que debieronreestructurarse muy fuertemente para desarrollarel dinamismo que el mercado demanda en laactualidad. En este artículo no nos centraremosen la problemática de la organización de lasempresas sino en el rol que la información y elconocimiento le aportan a tal problemática. Ya hemos desarrollado en un artículo previo laproblemática de los Recursos la Arquitectura y laInfraestructura: Arquitectura, Modelo y Servicio;Perspectivas Informáticas Número 1, Noviembre2008.

El Ambiente Informacional. El concepto de ambiente informacionalrepresenta aspectos diferentes en disciplinasdiferentes, pero en todos los casos relaciona lainformación con el uso o necesidad social que detal información se realiza dentro de unadeterminada ‘comunidad’. La información seconsidera desde el punto de vista de utilidad paratal comunidad y no desde el punto de vista de suestructura de datos, lo cual suele ser el caso enlas disciplinas tecnológicas. En este sentido el‘ambiente informacional’ se relaciona más conlas técnicas documentales y bibliotecológicasque con las técnicas de bases de datos yestructuras de información.

7

El Ambiente Informacional según laEcología de la Información deDavenport. T Davenport interpreta al ambiente informacionalcomo aquel que incluye: a) La Estrategia de laInformación; b) La Política de la Información; c)La Cultura y el Comportamiento de laInformación; d) El Personal involucrado con laInformación; e) Los Procesos de la Información;f) La Arquitectura de la Información. a) La Estrategia de la Información: Determinar el objetivo que tendrá la informaciónes esencial. Se debe determinar para que sebusca la información y como se la debe clasificaren función de qué tipo de decisiones se debentomar con tal información. Un elemento centrales disponer de la información adecuada en ellugar y tiempos adecuados para poder tomar lamejor decisión informada. En caso contrario ‘nose posee información’, solo un cúmulo de datosde dudoso valor. b) Política de la Información: Vincula el Poder y a las Responsabilidadesasociadas con los diversos tipos de informaciónque se poseen, y quienes se harán cargo de ella.Este no es un tema menor, pues el poder escentral en las Organizaciones humanas y laEstructura de Poder puede ayudar o bloquear undesarrollo a partir de un conjunto informacional.Las estructuras de Poder de información típicasson; Monarquía, Feudalismo y Federalismo. c) La Cultura y el Comportamiento de laInformación: Se relaciona con el desarrollo de hábitos ycostumbres positivas y negativas con respecto ala información y el desarrollo de un sistema depremios y castigos que potencie lo positivo ydisminuya lo negativo; dentro del ‘ambientecultural y relacionado con el desarrollo ypotenciación del ambiente de la información.

d) El Personal involucrado con laInformación: La interpretación, catalogación y categorizaciónde la información es una tarea humana. Losmedios mecánicos y electrónicos, aun,desconocen los contextos de significación y devalidez de la información. Solo las personas ymuchas veces personas altamente entrenadas ycon amplio conocimiento pueden discernir el‘valor’ de una información o el clasificarla ycategorizarla adecuadamente. Toda aquellainformación que haya sido mal clasificadaquedará inaccesible para el potencial usuario quedeba tomar decisiones y por ello será una ‘pieza

faltante’ y habrá significado tiempo deprocesamiento inútil, pues no será consideradaen el momento que realmente aportaría valor. e) Los Procesos de la Información: En este particular se pueden considerar dosaspectos diferentes. 1) Los relacionados específicamente con losProcesos que se aplican a la Información, comola Búsqueda, la Adquisición; la Clasificación; laCategorización; el Almacenamiento; el Acceso; la Disponibilidad y el Transporte de la Información. 2) La componente de Información de cualquierproceso organizacional. En esta faceta, todoproceso puede ser mejorado o reestructuradodesde los aspectos de la energía que procesa,los materiales que procesa o la información quese consume, genera y modifica en tal proceso. f) La Arquitectura de la Información: La arquitectura de la información hace referenciaa los aspectos relacionados con el soportetecnológico de la información y de cómo estapuede encontrarse y accederse. Sin embargo laarquitectura también se relaciona con el diseñode la información para cambiar hábitos yconductas con respecto a la información.Típicamente tal faceta se produce más poromisión y como un ‘engaño’ para burlar la rigidezde un sistema ‘poco inteligente’ (mal diseñado odiseñado burocráticamente), pero también puedediseñarse específicamente para incentivar ciertoscomportamientos y obstaculizar otros, de formatal de generar o establecer conductasconducentes en pro de determinados objetivosoperacionales. Algo que se está popularizandoen las empresas es la problemática de losmecanismos de ‘seguridad de la información’, deforma tal de incentivar el uso de claves, deacceso a la información y de privacidad de lainformación por medio de mecanismosautomáticos que incentiven el establecimiento dehábitos positivos en tales aspectos.

El Ambiente Informacional según lasOperaciones de Información en elambiente C4/ISR. En este ambiente se distinguen tres Niveles oDominios. a) El Dominio Físico; b) El DominioInformacional; c) El Dominio Cognitivo. En este ambiente se considera a la informacióntanto desde sus aspectos relacionados con losmensajes como los relacionados como medio.Conforma un elemento central de la guerra

moderna, tanto militar como empresarial, ya queel dominio informacional o infósfera es donderesiden los elementos de información. Entre los problemas de los elementos deinformación encontramos que puedencorresponder o no, con los elementos de larealidad. Pueden ser distinguibles o no, por unadeterminada comunidad de práctica. Así seproducen dos problemas típicos. Con cuálrapidez un concepto podrá ser discernido por una‘comunidad de práctica’. Con cual rapidez un‘engaño’ podrá ser discernido para aplicar algunacontramedida adecuada. En el primer caso, quien primero encuentre unconcepto podrá ‘ganar la guerra’ o desarrollaruna innovación que le abra un nuevo mercado.En el segundo caso, mas vinculado con la‘propaganda’ (desde lo político doctrinal), larapidez permitirá contra atacar antes o biendesarrollar campañas de marketing que permitanprevalecer sobre el competidor. En ambos casos veremos el impacto en cadauno de los tres dominios postulados. a) El Dominio Físico: Hace referencia a la locación física en donde lainformación se produce, representa o serequiere. Una característica de la información essu ‘deslocalización’. La información ‘vive’ en un‘universo paralelo’ que no ocupa lugar, nodemanda tiempo y es accedido desde terminalesde computadoras. Pero la información suelerepresentar elementos de la realidad y elementosque están asociados con locaciones físicasconcretas, lo cual requerirá una logísticaadecuada para accionar en tiempo y lugar. ElDominio Físico está relacionado con tal logística.

b) El Dominio Informacional: Hace referencia a la Recolección, Procesamientoy Diseminación de la Información. Establece unvínculo entre el Dominio Físico y el DominioCognitivo realizando un mapeo entre las‘realidades’ del Dominio Físico y el entorno de‘conciencia’ de la comunidad de aplicación. Sehabla de entorno de conciencia pues estedepende de la cultura y del momento particularen el tiempo. Una comunidad de práctica puedeser capaz de encuadrar un problema en undeterminado momento, pero luego un cambio deenfoque, p la experiencia previa puede permitirdiscernir problemas que antes pasabandesapercibidos. Tal problemática fue tratada porThomas Kuhn en lo relativo a la ciencia y losinvestigadores y se conoce como ‘cambio deparadigma’. http://es.wikipedia.org/wiki/Thomas_Kuhn http://en.wikipedia.org/wiki/Thomas_Samuel_Kuhn http://es.wikipedia.org/wiki/La_estructura_de_las_revoluciones_cient%C3%ADficas 

8

La Aplicación de Normas Internacionales en Gestión de Calidad ¿Qué es ISO 9001? La norma reconocida internacionalmente en elámbito de la Gestión de la Calidad es la ISO9001, siendo su versión vigente la del año 2008,publicada en fecha 14/11/2008 por ISO, la cualestablece requisitos para la implementación, elmantenimiento y la mejora continua de unsistema de gestión de la calidad.

Las exigencias de esta norma son genéricas y seaplican a todo tipo de organizaciones queproveen productos y/o servicios,independientemente de su tamaño y estructuraorganizativa, de la orientación de su negocio, delos procesos que aplique y de sus objetivosparticulares.

Esta norma específica los requisitos para que un

sistema de gestión de la calidad puedaimplementarse internamente en lasorganizaciones, a fin de demostrar la capacidadde tales organizaciones para cumplir con losrequisitos del cliente, los legales y reglamentariosaplicables –tanto al producto como a laorganización- y proporcionar regularmenteproductos y/o servicios acordes con dichosrequisitos, de forma tal, que acreciente lasatisfacción de sus clientes mediante laaplicación eficaz de los procesos definidos, elaseguramiento de la conformidad con losrequisitos establecidos y la mejora continua dela eficacia del sistema adoptado.

Este referencial internacional puede ser utilizadocon propósitos de certificación, en el caso deorganizaciones que requieran el reconocimientode su sistema de gestión de la calidad porterceras partes, es decir, por entidadesindependientes y externas, que brindan registro ocertificación de conformidad de sus procesos deacuerdo con los requisitos de la normaimplementada. Asimismo, esta norma puede serempleada con fines contractuales y/oregulatorios.

La familia de normas ISO 9000 está compuestapor las siguientes normativas vigentes:

ISO 9000:2005 - Sistemas de gestión de lacalidad — Fundamentos y vocabulario. ISO 9001:2008 - Sistemas de gestión de la

calidad — Requisitos. ISO 9004:2000- Sistemas de gestión de la

calidad — Directrices para la mejora deldesempeño.

Todas estas normas fueron desarrolladas y sonrevisadas sistemáticamente por el ComitéTécnico ISO/TC 176.

La norma ISO 9000 describe los fundamentos ydefine la terminología aplicada en estos sistemasde gestión.

Las normas ISO 9001 e ISO 9004 sonreferenciales que se han sido diseñados para

http://en.wikipedia.org/wiki/The_Structure_of_Scientific_Revolutions  El Dominio Informacional viabiliza la relaciónentre la Toma de Decisiones y la Acción. LaToma de Decisiones es algo de gran complejidadque se realiza en el Dominio Cognitivo, tomandocomo base lo disponible en el DominioInformacional. Pero una vez tomada la Decisiónesta no sirve para nada sin la existencia demecanismos que permitan llevarla a la Acción.Nuevamente es el Dominio Informacional el queopera como vínculo para activar la logísticanecesaria para que la decisión se transforme enlas Acciones Operativas en el Dominio Físico dela Decisión tomada en el Dominio Cognitivo.

El Dominio Informacional presenta como factoresa la Calidad de la Información; el Alcance de laInformación y la Interacción entre información yusuario. La calidad de la información lo es en cuanto a suveracidad, relevancia y precisión. El alcance encuanto al contexto y significación de lainformación- La interacción con el usuario secentra en la relevancia de un tipo de informaciónen cuanto al entorno cultural, relevancia ysignificación de la información para con el grupode práctica respectivo. c) El Dominio Cognitivo: Hace referencia a la significación interpretación y

uso de la información en función de una personao un grupo de práctica. Es imposible determinaruna significación universal, pues eso depende dela cultura, la experiencia previa y grado o nivel deconciencia del ‘destinatario’. Se pueden recabarmuchos ‘datos’ que pasan inadvertidos, hastaque en algún momento alguien del grupo depráctica comienza a percibir algo y a partir de allíesos datos pasar a encontrar un marcoreferencial apropiado para poder serinterpretados como información. Justamente en este dominio encontramosfunciones tales como; la Percepción; el Alerta; elEntendimiento; las Creencias; los Valores; laActitud y la Capacidad de Decisión.

Conclusión. El Ambiente Informacional es cada vez más

9

complementarse entre sí, pero que también,pueden utilizarse de manera independiente.

La Norma ISO 9004 brinda orientación que vamás allá de los requisitos definidos en ISO 9001,contempla la mejora continua del desempeñoglobal, potenciando la eficacia y la eficiencia delos procesos organizacionales, no es usada parafines de certificación, ni tampoco para propósitoscontractuales y/o regulatorios.

Esta familia constituye un conjunto coherente denormas que facilitan la mutua comprensión en elcomercio nacional e internacional.

Evolución de la familia ISO 9000 La familia de normas ISO 9000 fueron emitidassegún la siguiente cronología:

1987 – Primera versión: incorporó elconcepto calidad definido por el destinatario delbien y/o servicio, al cual se deseaba satisfacerplenamente. 1994 – Segunda versión: esta revisión se

caracterizó por introducir cambios menores. 2000 – Tercera versión: tuvo cambios

estructurales para reflejar los modelos modernossistemas de gestión y requisitos para mejorarcontinuamente el desempeño organizacional. 2008 – Cuarta versión: abarcó la enmienda a

la norma ISO 9001 para introducir cambios queprovean claridad, facilidad de uso, consistenciadentro de la familia ISO 9000 y compatibilidadcon la norma ISO 14001:2004 – “Sistemas deGestión Ambiental - Requisitos con orientaciónpara su uso” y una revisión total de la norma ISO9004 para conducir a un cambio de enfoque,estructura y contenido del estándar, paratransformarlo en un referencial que brindaráorientación para acompañar a las organizacionesen la gestión del éxito sostenido; cuyapublicación está prevista para Agosto/2009.

La cuarta revisión surge como resultado de unaencuesta dirigida a todos los usuarios globales,que fue realizada por el Comité Técnico ISO/TC176/SC2 durante el año 2004, para determinar elgrado de aceptación de las normas ISO9001:2000 e ISO 9004:2000. Dicha encuesta fuerespondida por 63 países y la cantidad total derespuestas obtenidas fueron 941,representativas de una amplia variedad desectores; de la cual se obtiene que,aproximadamente:

el 80% de los usuarios encuestados estabansatisfechos con la norma ISO 9001:2000, y que, el 50% de los usuarios encuestados estaban

satisfechos con la norma ISO 9004:2000.

Entre diversos aspectos evaluados, es

importante resaltar los resultados a las siguientespreguntas, que ilustran la opinión de losencuestados sobre ISO 9001:

1. En qué medida el estándar ISO 9001:2000satisface -en general- sus necesidades?

137

565

14

167

16 42Excelente

Bien

Sin comentarios/No aplicaRequiere mejoras

No adecuado

No contesta

Fuente: ISO/TC 176/SC 2/N 705 – 15/02/2005

2. Cuáles fueron los más importantesbeneficios de aplicar ISO 9001:2000 en suorganización? (En este aspecto, los usuarios identificaron unaamplia variedad de beneficios)

481

352

509434

446

150

158216

Mejoró la satisfacción delcliente Mejoró la comunicacióncon el cliente Incrementó el compromisode la Dirección Más efectivas revisiones por la Dirección Uso efectivo de la Información en negociosMejoró el rendimiento de proveedores Mejoró la comunicación con los proveedores Otros

Fuente: ISO/TC 176/SC 2/N 705 – 15/02/2005

Impacto de la ISO 9001:2008 La nueva norma ISO 9001:2008 incluyeclarificaciones a los requisitos de la versiónanterior, no introduce requerimientos adicionales,ni tampoco cambia el espíritu del estándar, por loque se considera que tendrá un impacto limitadosobre los usuarios ante su implementación.

Los usuarios de la versión anterior tendrán queevaluar si las clarificaciones tienen impacto enlas interpretaciones realizada bajo la versión2000 y ajustar el sistema de gestión de lacalidad, si es necesario.

Las empresas certificadas bajo la versión 2000tendrán el mismo reconocimiento que las quecertifiquen la versión 2008.

Consideraciones para las empresas certificadas No obstante que, la certificación no es unrequisito del estándar, existen –aproximadamente- un millón de organizacionesen el mundo -distribuidas en 170 países- cuyossistemas de gestión de la calidad han sidoauditados y certificados por entidadesindependientes (terceras partes) bajo la normaISO 9001:2000.

Dado que ISO desarrolla y publica el estándarISO 9001, pero no realiza actividad de auditoríani de certificación, y que estos servicios sonprestados por organizaciones independientes deISO, es decir, por las entidades de certificación o

de registro, las cuales, pueden estar acreditadas como competentes ante un cuerpo de acreditación nacional reconocido por el International Acreeditation Forum (IAF), ambas instituciones acordaron las siguientes medidas para la migración uniforme hacia la certificación acreditada de ISO 9001:2008:

La certificación de conformidad con ISO 9001:2008 o con el estándar nacional equivalente -publicado por organismo nacionalde normalización del país de aplicación-, podrá emitirse después de la publicación oficial de la nueva versión por ISO -realizada en fecha 14/11/2008- y durante las auditorías deseguimiento o recertificación para que las empresas certificadas migren a la nueva versión. Un año después de la publicación de ISO

9001:2008, a partir del 14/11/2009, todas las certificaciones acreditadas -nuevas o recertificaciones- deberán ser realizadas según ISO 9001:2008. 24 meses después de la publicación de ISO

9001:2008 por ISO, cualquier certificaciónemitida bajo versión 2000, no tendrá validez, las mismas caducarán el 13/11/2010.

De esto se deduce que, las certificaciones de conformidad con ISO 9001:2000, se permitirán hasta el 13/11/2009; luego a partir del 14/11/2009, sólo se podrá certificar o renovar mediante la nueva versión.

Fuente: http://www.iso.org

Adriana Elena De Rose Lic. en Sistemas – Esp. en Ing. en Calidad Consultora, Capacitadora y Auditora en Q-TI http://www.linkedin.com

10

Perspectivas Informáticas

El trabajo de Sistemas es una actividad técnica. El trabajo de Sistemas es una actividad humana. Ante tales aseveraciones nos deberíamos preguntar que diferencia a una actividad técnica de una actividad humana. Una actividad técnica se la puede definir como de lógica precisa. El hombre desarrolla técnicas de naturaleza matemática de forma tal de garantizar la repetitividad de sus creaciones. Una actividad humana es aquella que debe integrar y equilibrar las diferentes necesidades, apetencias, valores y preferencias humanas. Es un universo del ‘tal vez’ donde se debe afinar la capacidad de negociación en pos de logar un desarrollo equilibrado para todos los involucrados. Solo la técnica, no puede resolver los problemas; y los problemas humanos, no siempre tienen solución, pues muchas veces, los humanos no concuerdan una solución. Ante un desarrollo de sistema habrá que considerar que es lo que ha primado, si la técnica o la resolución de problemas. Y si se ha aplicado la resolución de problemas habrá que preguntarse si se lo ha hecho con cordura,de forma de beneficiar en lugar de perjudicar.

perspectivasinformaticas@gmail.com +54-11-4754-8884 Novedades del Sector de Tecnología de la Información Al servicio de:

http://www.radionexo.com.ar/ http://www.ccat.com.ar/ Nootech Colaboradores de esta Edición: Pablo De Natale Adriana Elena De Rose Osvaldo A Pérez

Editorial Mayo 2009 Con la Colaboción de;

http://www.officenet2.com

http://www.itsb.com.ar Escuche el contenido de nuestro Newsletter en Radio Blogs en Radio Nexo www.radionexo.com.ar Los miércoles a las 10:00 Hs; a las 14:00 Hs y a las 20:00 Hs y los jueves a las 17:00 Hs Participe de Nuestros Blogs en www.perspectivasinformaticas.blogspot.com/