1.1. Planeación de negocios

Idea de negocio

La informática está para un negocio, para apoyar funciones, funciones de negocio de una organización, de una institución... Sea pública o privada, no gubernamental, etc. La idea de negocio alcanzar el empredimiento a través de un modelo y un plan de negocio. Esto hace provecho de las oportunidades como lo son las necesidades, la falta de competencia, o la ausencia de proveedores, etc. Ahí donde veas problemas, está tu oportunidad de negocio.

• ¿Cuál es el producto o servicio que ofrecerás? Luego, ¿quiénes son tus clientes?
• ¿A quiénes está dirigido el producto o servicio?
• ¿Por qué consideras que este producto o servicio es necesario?

1. El papel más importante de un analista de sistemas en los negocios es...
   • Comprensión técnica de los sistemas de información
   • Resolución de problemas
   • Saber qué datos necesitan ser almacenados y usados
   • Habilidades especiales de programación

Modelo de negocio

El modelo de negocio establece las bases para validar la viabilidad del proyecto. Consiste en un documento donde se determinan elementos clave como los siguientes:

• Propuesta de valor
• Consumidores
• Aliados
• Recursos clave
• Actividades clave
• Relación con la clientela
• Generadores de costos
• Fuentes de ingreso

2. Se refiere a la división de un sistema en procesos o subsistemas:
   • Diseño del sistema
   • Gestión de datos
   • Programación
   • Descomposición funcional

Plan de negocio

El plan de negocio reúne toda la información necesaria para poner en marcha tu idea: objetivos, estrategias, estudio de mercado, inversiones, organización, proveedores, políticas económicas, entre otros elementos. Es un documento que debe ser detallado, claro, flexible y actualizarse cada determinado tiempo. Las preguntas básicas que se resuelven en un plan de negocio son:

• ¿Qué necesidad u oportunidad pretende cubrir el negocio?
• ¿Cuál es el mercado?
• ¿Qué productos o servicios similares existen?
• ¿Qué canales de distribución emplearé?
• ¿Cuál es la política de precios de los productos o los servicios?
• ¿Cuáles son los ingresos esperados?

Un plan de negocio solo es posible gracias al modelo de negocio. La función de este último es plantear objetivamente por qué un negocio puede funcionar, mientras que el plan de negocio especifica cómo será ejecutado cada aspecto que interviene en una empresa.

3. El proceso de entender y especificar en detalle lo que debe lograr el sistema de información se llama... de sistemas.
   • Diseño
   • Especificación
   • Análisis
   • Administración

Diseño de soluciones

Una característica básica de las ideas de negocio es que estas responden oportunamente a problemas o necesidades de personas con determinadas características comunes. Moldea, crea prototipos y prueba tu producto o servicio para validar que responde a tales necesidades. Hazlo a través del diseño de soluciones, una metodología que consiste en:

• Entender
• Idear
• Decidir
• Prototipar (prueba de concepto)
• Testear

4. Una descripción de los sistemas de información integrados que necesita la organización para llevar a cabo sus funciones comerciales se llama...
   • Reingeniería de procesos de negocio
   • Plan de arquitectura de la aplicación
   • Plan de arquitectura tecnológica
   • Planificación de recursos empresariales (ERP)

NOTA: La reingeniería se da después de que ya existe un plan de arquitectura tecnológica. Reingeniería es actualizar.

1.2. Necesidades de información e infraestructura

1.2.1. Conceptos

Una organización organización es un sistema sociotécnico compuesto por una serie de subsistemas (humano, de decisión, estructural, económico-tecnológico, documental, etc.) que deben integrarse y coordinarse para el logro de un objetivo o fin organizativo específico.

La necesidad de información como "aquello que un individuo debe poseer para la realización de su trabajo, su investigación, su realización personal..."

5. Una descripción del hardware, el software y las redes de comunicaciones necesarias para implementar los sistemas de información planificados se llama...
   • Planificación estratégica de los sistemas de información
   • Planificación de la arquitectura de aplicaciones
   • Plan de arquitectura tecnológica
   • Planificación de los recursos empresariales (ERP)

Un usuario es un individuo o un grupo de personas que enfrentan una realidad que les plantea un problema y que tienen una capacidad para resolverlos, lo que supone la identificación de requerimientos de información y la utilización de dicha información. Son quienes definen las políticas y productos de un sistema de información. Es un componente activo, participativo y determinante en los sistemas de información. Son quienes utilizan la información para la toma de decisiones o aplicarla en procesos de decisión.

6. ¿Cuál de los siguientes es un ejemplo de una técnica utilizada para completar actividades específicas de desarrollo del sistema?
   • Planificación de proyectos
   • Entorno de desarrollo integrado (IDE)
   • Proveedor de servicios de aplicación (ASP)
   • Gestión de la cadena de suministro (SCM)

Usuarios reales: Personas u organizaciones que hacen un uso efectivo de los recursos y servicios de una unidad de información. Pueden ser:

• Usuarios irregulares o esporádicos: p. ej. a niveles gerenciales y de dirección
• Usuarios frecuentes: Saben lo que necesitan y usan directamente los servicios de un SI; son quienes alimentan el SI tales como puntos de venta
• Usuarios potenciales: Aquellos que por diferentes razones no hacen uso de los recursos; son aquellos que pueden solicitar acceso pero no lo hacen, p. ej. a niveles directivos

7. El último paso del enfoque del analista para resolver problemas es...
   • Decida cuál es la mejor solución y haga una recomendación
   • Monitor para asegurarse de que obtiene los resultados deseados
   • Verifique que los beneficios de resolver el problema superen los costos
   • Implementar la solución

Un sistema es un conjunto de cosas que ordenadamente relacionadas entre sí contribuyen a un objetivo determinado.

Un sistema de información (SI) es una entidad abstracta de la que dependen, en mayor o menor medida, todos los sistemas organizacionales porque es un conjunto formal de procesos que operan sobre una colección de datos estructurada según las necesidades de la organización para recopilar, elaborar y distribuir la información (o parte de ella) necesaria para las operaciones de la organización y para las actividades de decisión y control correspondientes (toma de decisiones) para desempeñar su actividad de acuerdo a sus objetivos.

8. Las habilidades en un área no técnica, como la entrevista y la gestión de equipos, se denominan...
   • Habilidades inherentes
   • Habilidades técnicas
   • Habilidades duras (hard)
   • Habilidades blandas (soft)

Un sistema de información está formado por los siguientes componentes:

• Procedimientos y prácticas habituales de trabajo
• Equipos de soporte
• Información
• Personas
• Conocimientos
• Usuarios

9. El dominio del problema es la parte del desarrollo de sistemas que se refiere al...
   • Problemas asociados al entorno informático
   • Área del negocio del usuario para la cual se está desarrollando un sistema
   • Problemas de la organización de la empresa
   • Área de la industria que se traduce en una competencia más intensa

Datos: Observaciones sencillas de hechos reales que se estructuran fácilmente; se almacenan mediante el uso de tecnologías; son cuantificables o categorizables; se transfieren con facilidad. Los datos no tienen significado asociado.

10. La fase... comienza solo después de que el nuevo sistema ha sido instalado y puesto en producción, y dura toda la vida productiva del sistema.
    • Análisis
    • Diseño
    • Implementación
    • Apoyo

Información: Datos procesados que tienen significado, propósito, pertinencia y valor para el receptor; se presentan en un contexto que les da significado; es útil para la toma de decisiones, la resolución de problemas y el control.

• Requieren de análisis
• Necesitan consenso sobre su significado
• La intermediación humana es imprescindible
• Solo las personas dan significado a los datos y los convierten en información
• Información = Datos + Significado

11. La mayoría de los sistemas de información nuevos deben comunicarse con otros sistemas existentes, por lo que el diseño del método y los detalles de estos enlaces de comunicación deben definirse con precisión. Estos se llaman...
    • Modelos
    • Interfaces del sistema
    • Mesas de ayuda
    • Interfaces de diseño
    • Diseño del sistema
    • Programación
    • Pruebas del sistema
    • Análisis del sistema

Conocimiento (K):Mezcla de experiencia, valores, información y saber hacer que es útil para la acción. Se origina y aplica en la mente de las personas. Es la capacidad de resolver un determinado problema con una efectividad determinada. El conocimiento existe dentro de las personas como parte de la complejidad humana. Los conocimientos forman parte de los recursos intangibles de las organizaciones (¿hasta no ser materializadas p. ej. en documentación y enseñadas p. ej. en tradiciones y hábitos, rituales y obligaciones?).

• K = I + S = Conocimiento = Información + Significado

12. El término "..." significa que las actividades laborales se realizan una vez, luego otra vez, y una vez más.
    • Programación eXtreme (XP)
    • Iteración
    • Modelado ágil
    • Proceso Unificado (UP)
    • Diseño del sistema
    • Programación
    • Pruebas del sistema
    • Análisis del sistema

1.2.2. Flujos de información en las organizaciones

En las organizaciones existen recursos visibles o tangibles como el capital, los materiales o las máquinas necesarias para llevar a cabo las operaciones diarias, y recursos invisibles o intangibles como la imagen de marca, la habilidad tecnológica, el dominio de los canales de distribución, la información y el conocimiento.

El éxito de una organización no depende sólo de cómo maneje sus materiales sino de cómo aproveche sus activos intangibles. Y su correcto desarrollo depende de que exista un adecuado flujo de información entre la organización y su entorno y entre las distintas unidades de la organización.

13. El dominio del problema es la parte del desarrollo de sistemas que se refiere al...
    • Problemas asociados al entorno informático
    • Área del negocio del usuario para la cual se está desarrollando un sistema
    • Problemas de la organización de la empresa
    • Área de la industria que se traduce en una competencia más intensa
    • Diseño del sistema
    • Gestión de datos
    • Descomposición funcional
    • Programación

Existen cinco flujos de información en las organizaciones:

• De autoridad formal: Flujo jerárquico según el organigrama.
• Flujos reguladores: Información requerida para cumplir con funciones laborales.
• Comunicaciones informales: Relaciones interpersonales.
• Flujos de constelación de trabajo: Entre personas que, por trabajar juntas, precisan de sistemas comunes que las interconectan.
• De decisiones: Información para tomar decisiones únicas.

14. La primera actividad oficial del equipo del proyecto cuando inicia la fase de planificación del proyecto es...
    • Definir el problema del negocio
    • Personal del equipo del proyecto
    • Desarrollar un análisis de costo / beneficio
    • Escribe una propuesta de proyecto
    • Diseño
    • Especificación
    • Análisis
    • Administración

1.2.3. Análisis de las necesidades de información en los SI

Dentro del ciclo de los sistemas de información (planificación, viabilidad, diseño, implantación y funcionamiento) el análisis de necesidades son investigaciones capaces de proporcionar información relevante para llevar a cabo una adecuada planificación del SI.

También sirven para evaluar si las unidades de información existentes cubren las necesidades de información de un colectivo de usuarios.

Son investigaciones que siempre deben tener en perspectiva al colectivo de usuarios potenciales.

Planificación

El proceso de planificación consiste en establecer un marco de referencia para poder diseñar o rediseñar sistemas, servicios o centros de información. La planificación tiene el cometido u objetivo de establecer una misión, propósitos o metas, objetivos, prioridades y planes de acción para desarrollar un nuevo sistema de información, o para alcanzar el cambio o modificación propuesta en un sistema ya existente.

15. Un programa... es uno que tiene un principio y un final.
    • Iterativo
    • Estructurado
    • Incremental
    • Orientado a objetos
    • Diseño
    • Especificación
    • Análisis
    • Administración

1.2.4. Métodos para examinar las necesidades de información

Cuestionarios

Se entiende por cuestionario al conjunto de preguntas, preparadas cuidadosamente, sobre hechos y aspectos que interesan en una investigación, para su contestación por la población general o una muestra a la que se extiende el estudio emprendido.

16. El modelo gráfico clave de los requisitos de los sistemas utilizados con el análisis estructurado es el...
    • Diagrama de flujo
    • Diagrama de flujo de datos (DFD)
    • Diagrama de clase
    • Tabla de evaluación de proyectos y técnica de revisión (PERT)

Observación

El uso de técnicas de observación también se ha mostrado eficaz para las investigaciones del papel que la información juega en el desarrollo de las actividades de los usuarios, y de los hábitos desarrollados en la búsqueda de información.

18. La programación "..." divide los programas más complejos en una jerarquía de módulos de programa.
    • Incremental
    • Iterativa
    • Orientada a objetos
    • De arriba hacia abajo
19. La programación "..." divide los programas complejos en clases.
    • Incremental
    • Iterativa
    • Orientada a objetos
    • De arriba hacia abajo

Técnica del incidente crítico

La técnica del incidente crítico consiste en una serie de procedimientos puestos en marcha con el fin de recoger información directa sobre la conducta de los individuos, de modo que sus resultados puedan utilizarse para solucionar problemas de índole práctica y para el desarrollo de principios psicológicos.

• Incidente es aquel evento que provoca problemas pero nadie sale dañado, ni sistema, ni hardware, ni software, ni personas, ni la información, ni operaciones, etc.; no hay consecuencias de daños. El accidente si genera daños.

19. La técnica "..." fue desarrollada para proporcionar algunas pautas para decidir cuál debería ser el conjunto de programas, qué debería lograr cada programa y cómo debería organizarse el programa en una jerarquía.
    • Programación extrema (XP)
    • Orientado a objetos
    • Diseño estructurado
    • Carta de estructura

Métodos de consenso

Su propósito genérico es conseguir acuerdos entre un conjunto de expertos sobre aspectos controvertidos. Dentro del método de consenso podemos encontrar dos tipos diferenciados de técnicas: la técnica Delphy y la del focus group.

La técnica Delphy. Es un proceso de grupo desarrollado originalmente por Dalley y sus colaboradores en la Rand Corporation como instrumento de ayuda para planificar el modo de alcanzar objetivos y predecir algunos cambios tecnológicos.

La técnica del focus-group (grupos orientados). Se basa en la realización de reuniones, donde se intenta aplicar un procedimiento estructurado para obtener de los participantes su opinión sobre el problema objeto de debate.

20. Un concepto clae en el enfoque del modelo "..." es el enfoque. en el riesgo
    • Espiral
    • Programación extrema (XP)
    • Riesgo
    • Ágil

• El modelo ágil integra el riesgo al ciclo de desarrollo.

Análisis de documentos

Se trata de un método indirecto que, sin consultar a los usuarios, permite conocer sus hábitos, necesidades y usos de información.

Se realiza a partir de los documentos que producen o publican los usuarios o a partir de aquellos que solicitan para sus investigaciones.

Tipos de análisis de documentos: análisis de referencias citadas; análisis de peticiones de documentos.

21. El enfoque "..." es un enfoque de SDLC que asume que las diversas fases de un proyecto se pueden completar de manera totalmente secuencial.
    • Cascada
    • Artefacto
    • Prototipo
    • Modelo espiral
22. La gestión del proyecto implica la planificación, el monitoreo y el control de las personas, los procesos y los eventos que ocurren a medida que el software evoluciona desde un concepto preliminar hasta una implementación operativa.
    • Verdadero
    • Falso
23. PM-CMM significa
    • Modelo de madurez de la capacidad de gestión de personas
    • Modelo de madurez de la capacidad de gestión de procesos
    • Modelo de madurez de la capacidad de gestión de producto
    • Modelo de madurez de la capacidad de gestión de proyectos
24. ¿Quién define los problemas de negocios que a menudo tienen una influencia significativa en el proyecto?
    • Practicantes
    • Gerentes de proyectos
    • Altos directivos
    • Ninguna de las mencionadas
25. Los programas de computadora que hacen posible que diferentes marcas de computadoras se transfieran datos entre sí se llaman:
    • Software del centro de mensajes
    • Software de base de datos
    • Software de comunicación
    • Todas las anteriores

1.3. Propuestas de solución

2.1. Planeación y viabilidad del proyecto informático

2.2. Ejecución del proyecto informático

2.3. Control y cierre del proyecto informático

3.1. Características de sistemas de información

Hay tres actividades en un sistema de información que producen la información que esas organizaciones necesitan para tomar decisiones, controlar operaciones, analizar problemas y crear nuevos productos o servicios.

De acuerdo a Andreu, Ricart y Valor (1991), definen a un Sistema de Información como:
"conjunto formal de procesos que, operando sobre una colección de datos estructurada de acuerdo a las necesidades de la empresa, recopila, elabora y distribuyen selectivamente la información necesaria para la operación de dicha empresa y para las actividades de dirección y control correspondientes, apoyando, al menos en parte, los procesos de toma de decisiones necesarios para desempeñar funciones de negocio de la empresa de acuerdo con su estrategia"

3.2. Conceptos de programación

3.3. Bases de datos

3.4. Implementación de aplicaciones informáticas

4.1. Gestión de la función informática

La función informática son todas aquellas actividades, tareas, procesos, que se deben hacer para que funcione el área informática de la organización.

4.2. Auditoría informática

La auditoría y seguridad en informática es un proceso que se presenta ante la necesidad de garantizar la seguridad en el uso de tecnología, asimismo de controlar y dirigir los recursos humanos, mateirales o técnicos y financieros; así como recursos de software, hardware y redes de comunicación, que se requieran para la realización de las metas trazadas al día o desde el principio de una organización garantizando la seguridad de los datos y la información (Varona, 2022).

• La auditoría y la seguridad es una necesidad.

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, etc.; ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas (Chicano, 2015). Los objetivos que se buscan con la auditoría informática son:

• Verificar el control interno de la función informática.
• Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes.
• Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos.
• Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos.
• Análisis de la eficiencia de los sistemas informáticos.
• La verificación del cumplimiento de la normativa en ese ámbito.
• La revisión de la eficaz gestión de los recursos informáticos.

El primer paso de la auditoría es recolectar evidencia con la cual evaluar la manera en que se llevan a cabo los procesos, en función de buenas prácticas, manuales, marcos de referencia, ISOs, estándares, normas, etc. Luego de recogidas las evidencias, son agrupadas por productos, i. e. sistemas de información, procesos, infraestructura, comunicación, etc. Después se empiezan a evaluar contra lo que se está entregando, p. ej., si hay manuales se revisa cómo debe realizarse el proceso contra lo que se está entregando de evidencia para evaluar el grado de coincidencia como indicador de eficacia del proceso.

• Se recogen, p. ej., correos electrónicos, evidencias de trabajos realizados, pruebas realizadas al software, resultado del funcionamiento de un sistema, de una base de datos, etc.

Dentro de la auditoría informática se pueden identificar diferentes tipos:

Tipo de Auditoría	Alcance
Auditoría de la gestión	La contratación de bienes y servicios, documentación de los programas, etc.
Auditoría legal del reglamento de protección de datos	Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos
Auditoría de los datos	Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas
Auditoría de las bases de datos	Controles de acceso, de actualización, de integridad y calidad de los datos
Auditoría de la seguridad	Referidos a datos e información verificando disponibilidad, integridad, confidencialidad autenticación y no repudio
Auditoría de la seguridad física	Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno
Auditoría de la seguridad lógica	Comprende los métodos de autenticación de los sistemas de información
Auditoría de las comunicaciones	Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación
Auditoría de la seguridad en producción	Frente a errores, accidentes y fraudes

• La seguridad física es quizá la primera que se audita.

En si la auditoría informática tiene 2 tipos:

• Auditoría interna: Es aquella que se hace desde dentro de la empresa; sin contratar a personas ajenas, en el cual los empleados que realizan esta auditoría trabajan ya sea para la empresa que fueron contratados o algún afiliado a esta.
• Auditoría externa: Como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoría en su empresa.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos (Chicano, 2015).

En la realización de una auditoría informática, el auditor puede realizar las siguientes pruebas (Chicano, 2015):

• Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
• Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las áreas a auditar donde se puede realizar una auditoría informática pueden ser:

• A toda la entidad
• A un departamento
• A un área
• A una función
• A una sub-función

Las principales herramientas con las que cuenta un auditor informático son:

• Observación
• Realización de cuestionarios
• Entrevistas a auditados y no auditados
• Muestreo estadístico
• Flujogramas
• Listas de chequeo
• Mapas conceptuales

Existen diversas metodologías y todas dependen de lo que se pretenda revisar o analizar, pero como lo menciona Aguilera (2010), se analizarán las cuatro fases básicas de un proceso de revisión:

Proceso de revisión de una Auditoría Informática

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de acitidades. Manuales de política, reglamentos, Entrevistas con los principales funcionarios de la Organización y de la Departamento de Informática.

Revisión y evaluación de controles y seguridades: Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos históricos (backups), revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance y recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

Otro elemento en la auditoría informática son las normas, estándares y metodologías, tales como:

• ITIL (IT Infrastructure Library, biblioteca de infraestructura de TI) = Marco de referencia que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con un enfoque de administración de procesos. Como marco de referencia, ITIL se creó como un modelo para la administración de servicios de TI e incluye información sobre las metas, las actividades generales, las entradas y las salidas de los procesos que se pueden incorporar a las áreas de TI.
• Es una metodología publiacda en 1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información) Orienta a las organizaciones en la implementación, operación y mejora de los procesos de gobernanza y gestión de TI. COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI manteniendo un balance entre la realización de beneficios, la utilización de recursos y los niveles de riesgo asumidos.
• El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia. La estructura del estándar está dividida en cinco componentes:
  1. Ambiente de Control
  2. Evaluación de Riesgos
  3. Actividades de Control
  4. Información y Comunicación
  5. Supervisión
• ISO 27002: Fue desarrollada por la Organización Internacional de Normas Técnicas, la cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
  Está conformada por un total de 39 objetivos de control y 133 controles que se encuentran agrupados en 11 dominios que cubren aspectos específicos de la seguridad de la información.

El objetivo de la identificación del riesgo, de acuerdo con Aguilera (2010), es conocer los sucesos que se pueden producir en la organización y en planteamiento y desarrollo de un proyecto, así como las consecuencias que puedan tener sobre los objetivos del proyecto en caso de producirse.

Según el Project Management Institute (PMI), un plan de respuesta a los riesgos propone una serie de acciones y estrategias para poder dar una solución a cada uno de los riesgos identificados previamente; el plan de riesgos abarca tiempos y cronogramas y una reserva de contingencias.

En la fase de evaluación de riesgos se toman las decisiones sobre las acciones futuras basadas en el conocimiento del riesgo que se ha obtenido durante la fase de análisis.

El monitoreo de riesgos refiere a la etapa de estas pendientes a observar la efectividad a los riesgos respecto a las acciones tomadas.

La Gestión de los Riesgos del Proyecto incluye los procesos relacionales con llevar a cabo la planificación de la gestión, la identificación, el análisis, la planificación de respuesta a los riesgos, así como un monitoreo y control en un proyecto, para ello es necesario generar una matriz de riesgos (PMBOK, 2017).

Una Matriz de riesgos es una de las herramientas más útiles con las que cuentan las compañías para identificar, evaluar y gestionar los riesgos a los que se enfrentan es la matriz de riesgos. Se trata de una herramienta que ayuda al gestor de riesgos de una organización a interpretar, en términos de niveles de riesgos tolerables, las actividades de la empresa.

4.3. Seguridad informática

Seguridad informática: Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de los usuarios autorizados al sistema (Gómez, 2017).

De acuerdo a la norma ISO/IEC 17799 define a la Seguridad de la Información como la preservación de su confidencialidad, su integridad y su disponibilidad (medidas conocidas como acrónimo de "CIA" en inglés "Confidenciality, Integrity, Availability").

El INFOSEC Glossary (NATIONAL INFORMATION SYSTEMS SECURITY) 2000: "Seguridad Informática son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican".

Tipos de Seguridad

La Seguridad Física, de acuerdo con Huerta (2000), consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo". Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica (Huerta, 2000).

Dependiendo del tipo de información que se maneje y de los procesos realizados por una organización, esta podrá conceder más importancia a garantizar la confidencialidad, la integridad o la disponibilidad de sus activos de información; según Huerta (2000), siendo estos conceptos fundamentales para las mejores prácticas:

• Confidencialidad: Los datos solo pueden ser legibles y modificados por personas autorizadas, tanto en el acceso a datos almacenados como también durante la transferencia de ellos.
• Integridad: Los datos están completos, sin modificar y todos los cambios son reproducibles (se conoce el autor y el momento del cambio).
• Disponibilidad: El acceso a los datos debe ser garantizado en el momento necesario. Hay que evitar fallos del sistema y proveer el acceso adecuado.

Políticas de seguridad de la organización

La política de seguridad es un conjunto de documentos, que se encuentran sistematizados e indican las normas, los procedimientos y las actuaciones que se deben cumplir por parte de la organización (Aguilera, 2010).

La política de seguridad es un instrumento que desarrolla todos los objetivos de seguridad de la empresa a largo plazo, analizando el ciclo de vida y debiendo ser la base en la que se centre el diseño del sistema de seguridad.

¿Quién establece la política de seguridad? La alta dirección debe elaborar su propia política de seguridad, que se debe encontrar firmada por el gerente y se establece la obligatoriedad de su cumplimiento. Esto garantiza el compromiso por parte de la empresa, que es el factor clave para conseguir el éxito.

Normas ISO

Las normas ISO de Gestión de la Seguridad de la Información se denominan familia de normas ISO 27000 y son las siguientes:

• ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.
• ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
• ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la información.
• ISO 27006: Específica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
• ISO 270000: Tecnología de la Información. Técnicas de Seguridad. Sistema de Gestión de la Seguridad de la Información (SGSI). Generalidades y vocabulario.
• ISO 27003: Sistema de Gestión de la Seguridad de la Información (SGSI). Guía de implantación.
• ISO 27004: Tecnología de la información. Técnicas de Seguridad. Gestión de la Seguridad de la Información. Métricas.
• ISO 27007: Tecnología de la información. Técnicas de Seguridad. Guía de auditoría de un SGSI. Iniciadas las votaciones al DIS (cinco meses)

Normas UNE

• UNE-EN ISO 27799:2010 Informática sanitaria. Gestión de la seguridad de la información en sanidad utilizando la Norma ISO/IEC 27002 (ISO 27799:2008).

4.4. Evaluación informática

Viabilidad

El estudio de viabilidad es importante y nos servirá para planificar y para poder concluirlo resulta imprescindible llevar a cabo una investigación completa, que conduzca al conocimiento de si realmente el proyecto aportará los beneficios que se esperan de él (Laudon, 2016).

No es una simple formalidad burocrática, sino que es una herramienta necesaria para la toma de decisiones estratégica. Para llevar a cabo este estudio se precisa recopilar información suficiente para:

• Identificar las limitaciones, restricciones y supuestos.
• Detectar las oportunidades.
• Analizar el modo actual de funcionamiento de la organización.
• Definir los requisitos que configuran el proyecto.
• Evaluar las distintas alternativas.
• Llegar a un acuerdo sobre la línea de acción.

Factibilidad

El estudio de factibilidad es un instrumento que sirve para orientar la toma de decisiones en la evaluación de un proyecto y corresponde a la última fase de la etapa pre-operativa o de formulación dentro del ciclo del proyecto.

Se formula con base en información que tiene la mejor incertidumbre posible para medir las posibilidades de éxito o fracaso de un proyecto de inversión, apoyándose en él se tomará la decisión de proceder o no con su implementación.

La medición puede aplicarse al proceso de software con la intención de mejorarlo de manera continua; esto con la finalidad de auxiliar en la estimación, control de calidad, valoración de productividad y control del proyecto. La medición puede ser usada por los ingenieros de software para valorar la calidad de los productos de trabajo y auxiliar en la toma de decisiones (Laudon, 2016).

Establecimiento de un programa de métricas de software

Al trabajar como equipo, la ingeniería del software y los gestores del negocio pueden confeccionar una lista de metas priorizadas del negocio:

1. Mejorar la satisfacción de los clientes con los productos
2. Hacer que los productos sean más fáciles de usar
3. Reducir el tiempo que toma poner un producto en el mercado
4. Simplificar el soporte para los productos
5. Mejorar la obtención global de utilidades

El personal de software desarrolla un conjunto de preguntas relacionadas con características cuantitativas, por ejemplo, tamaño, costo, tiempo de desarrollo, estas preguntas se derivan de sub objetivos relacionadas con las entidades y actividades realizadas como parte del proceso del software (Pressman, 2010).

Técnicas de estimación

Medidas, métricas e indicadores

De acuerdo con Pressman (2010), define las métricas, medidas e indicadores como: Las métricas del software se refieren a un amplio elenco de mediciones para el software de computadora.
La medición se puede aplicar al proceso del software con el intento de mejorarlo sobre una base continua. Se puede utilizar en el proyecto del software para ayudar en la estimación, el control de calidad, la evaluación de productividad y el control de proyectos.
Un indicador proporciona una visión profunda que permite al gestor de proyectos o a los ingenieros de software ajustar el producto, el proyecto o el proceso para que las cosas salgan mejor.
Las métricas técnicas para el software proporcionan una manera sistemática de valorar la calidad basándose en un conjunto de reglas. También proporcionan al ingeniero del software descubrir y corregir problemas potenciales antes de que se conviertan en defectos catastróficos.

Las métricas orientadas el Tamaño: Según Pressman (2010), se relacionan con el tamaño de alguna salida de una actividad. La medida más común son las líneas de código fuente entregadas.

Las métricas orientadas a la función: Se relacionan con la funcionalidad total del software entregado. La productividad se expresa en términos de la cantidad de funcionalidad útil producida en un tiempo dado (Pressman, 2010).

Métricas del Producto: De acuerdo con Pressman (2010), se refiere a las características del software; en general las organizaciones construyen sus bases de datos históricas para relacionar las mediciones obtenidas. Se dividen en dos clases: métricas dinámicas y métricas estáticas.

Métricas del Proceso: Son datos cuantitativos de los procesos del software. Se utilizan para evaluar si la eficiencia de un proceso ha mejorado. Por ejemplo, se puede medir el esfuerzo y tiempo dedicado a las pruebas (Pressman, 2010).

Métricas del Proyecto: Las métricas de calidad del proyecto, de acuerdo con Pressman (2010), van orientadas a cada uno de los procesos que se aplicarán en cada fase.

Métricas del modelo de análisis, diseño, desarrollo, pruebas y mantenimiento