Beruflich Dokumente
Kultur Dokumente
Def
Anlisis estratgico
Planificacin estratgica
Define qu es y qu debera ser nuestra empresa
Analiza la organizacin en el largo plazo
Proporciona un direccin comn a toda la organizacin
Sirve como elemento general para evaluar las decisiones a todo nivel con un enfoque ms amplio
Tareas de la direccin estratgica
Desarrollo de una Misin/Visin
o Visin: proyeccin del desarrollo del entorno de un sector a largo plazo
o Misin: definicin de nuestra organizacin en ese entorno
o Objetivos: definir quines somos, que hacemos, hacia dnde vamos. Proveer direccin a largo
plazo. Generar sentido de propsito y una fuerte identidad.
Establecer objetivos: Son cuantificables, con fecha lmite y no ambiguos
Formular una estrategia:
o Definir el cmo luchar por la misin, lograr los objetivos y, alcanzar y mantener los resultados.
o Niveles
Estrategia corporativa: Nivel de direccin y altos ejecutivos
Estrategias de negocio: Gerencia o direccin de unidad de negocio
Estrategias funcionales: Gerencias departamentales
Estrategias operativas: Jefaturas de reas
o Instrumentos de anlisis
Anlisis de la estructura del sector
Estrategias genricas
Cadena de valor
Implantar la estrategia
Evaluar los resultados y ajustar
Estrategia competitiva: comprende una accin ofensiva o defensiva para crear una posicin ventajosa a largo
plazo desde la cual enfrentar las cinco fuerzas competitivas para lograr un rendimiento superior.
5 fuerzas de Porter: permiten analizar el sector industrial
Precio - Costo = Ganancia
Disminuye precio
o Sustitutos
o Nuevos competidores
o Compradores
o Rivalidad
Aumenta costo
o Rivalidad
o Proveedores
el proveedor puede plantear una real amenaza de integracin hacia adelante (ej.: Apple abri
tiendas minoristas)
5. Rivalidad entre competidores
Suele ser la fuerza ms importante, est determinada por como los competidores usan las armas
competitivas para obtener una mejor posicin y una ventaja sobre sus rivales. Ej: Coca-Cola vs Pepsi
Pueden crearse costos de cambio, loyalties, o bajarse para atraer a clientes del rival (ej.: Apple
permitiendo Windows en las Mac)
Es ms fuerte cuando
o gran nmero de competidores o igualmente equilibrados
o El crecimiento del sector industrial es lento (para mejorar preciso robarle al otro)
o Hay costos fijos o de almacenamiento altos (presin a operar a plena capacidad, ej.: hoteles y
vuelos)
o Falta de diferenciacin o costos de cambio
o Hay diversidad de competidores y esto dificulta acordar reglas de juego
o Incrementos importantes en la capacidad (determinadas por las economas de escala) alteran el
equilibrio oferta/demanda, si baja la demanda debo robarle clientes a los otros (ej.: iPhone se, ya
no ms gente puede comprar los caros por eso sacan uno ms barato para otro segmento del
mercado y aumentar la cantidad de usuarios)
o Hay intereses estratgicos elevados, gane o no quiero estar en el mercado, al no buscar ganar
distorsiona. Ej.: google drive, bajo el precio, esto mato a la competencia que tena precios altos y
solo tena ese producto
Kindle barato porque gana en libros, dificulta a los que buscan vender solo lectores.
Google: primero trafico/clientes y despus vemos como obtener ganancias
Barreras de salida: factores econmicos, emocionales o estratgicos que llevan a las empresas a seguir
compitiendo an con rendimientos bajos o negativos.
o Activos altamente especializados (poco valor de liquidacin)
o Costos fijos de salida (contratos laborales, costos de reinstalacin)
o Interrelaciones estratgicas (imagen, instalaciones compartidas)
o Barreras emocionales (identificacin con el negocio, orgullo)
o Restricciones sociales o gubernamentales (prdida de empleo)
Entre competidores existentes: buscan abarcar todo lo que hacen los otros, dejan de ser productos y
pasad a ser ecosistemas/productos complementarios. De esta forma los productos se potencias, ganan
cuando se usa el producto y no cuando se vende.
Atractivo de un sector industrial
Peor = aerolneas, baja entrada, alta salida y bajo costo de
cambio
Adems solo compiten en precio.
Mejor = software, baja entrada, baja salida y alto costo de
cambio
1.
2.
3.
4.
Estrategias genricas
"All happy companies are different, and all unhappy companies are alike"
Liderazgo de costo: Producir a menor costo (distinto a menor precio) respecto a todos los
competidores y poder establecer precios que garanticen la rentabilidad
Requerimientos
o Alta participacin en el mercado
o Acceso favorable a materia prima
o Diseo del producto para facilitar su produccin y distribucin de bajo costo
o Tecnologa
o Organizacin altamente estructurada que lleve un rgido control en costos
Riesgos
o Cambio tecnolgico nulifique experiencia o aprendizaje
o Nuevos competidores aprenden ms rpido
o Un celo excesivo en costos no nos deje ver cambios requeridos
o Una variacin de costos bsicos acerque los mrgenes
Diferenciacin: Producir un producto percibido en el mercado como nico de forma de aislarse
de la rivalidad competitiva y generar lealtad en el cliente que est dispuesto a pagar ms por esa
diferencia.
Requerimientos
o Creatividad e innovacin en cuanto al producto y servicios asociados (atencin al
cliente, distribucin, etc.).
o Fuerte habilidad en comercializacin
o Personal capacitado y que participe activamente
Riesgos
o Se vuelve demasiado costoso
o Desinters del comprador por factor diferenciante (ej: blackberry con sus telfonos
con teclado)
o Rpida imitacin de competidores.
Enfoque o nicho: enfoca toda la estrategia sobre un grupo de compradores en particular de
forma tal de conseguir un producto superior para ese sector a menor costo.
Requerimientos: dependen de si es un enfoque a costos o diferenciacin y coinciden con
los de las estrategias mencionadas.
Riesgos
o Acercamiento excesivo de competidores globales
o Lneas especficas de competidores globales
o Creacin de su sub-segmentos dentro del segmento por competencia
Cadena de valor
Def: habla del valor total que un consumidor est dispuesto a pagar por un producto o servicio
dividiendo esto en actividades de valor que desempea la empresa y el margen que esta obtiene
para poder ser lucrativa.
Es un instrumento que describe qu actividades se realizan para entregar valor al cliente, y
ayuda al mejoramiento de estas. Para ello es necesario subdividirlas en actividades ms
pequeas y categorizarlas de forma de centrarme en aquellas de mayor importancia.
Debo realizar diferentes actividades que la competencia o hacerlas de forma distinta, debo elegir
que actividades hago y como, no siempre es lo mejor hacer todas.
Ejemplo: Zara vs. GAP
Desde el punto de vista del cliente hacen lo mismo, pero hacen tareas diferentes. Si GAP quisiera
convertirse a Zara debera reorganizar la empresa.
Zara: integracin vertical (son en un 40% sus propios proveedores, fabrican menos stock,
ms rpido y lo que quiere el cliente, disean basados en datos)
GAP: depende de los proveedores y disea segn la intuicin,.
Actividades primarias
Logstica interna: Actividades asociadas con recibo, almacenamiento y diseminacin de
insumos del producto.
Operaciones: Actividades asociadas a la transformacin de los insumos del producto en el
producto final.
Logstica externa: Es la lgica aplicada a la distribucin del producto.
Marketing y ventas: Actividades que permitan acercar, inducir y comercializar el
producto.
Servicio: Actividades relacionadas a la posventa del producto
Actividades de apoyo
Infraestructura de la Empresa: Actividades de administracin general, planeacin,
finanzas, contabilidad, etc.
Administracin de Recursos Humanos: Actividades de bsqueda, contratacin,
capacitacin y compensaciones al personal. Abarca toda la cadena de valor.
Desarrollo de tecnologa: Actividades que consisten en mejorar el producto y el proceso.
Abastecimiento: provee todos los insumos necesarios para que la empresa funcione,
incide en toda la cadena de valor y puede ayudar a reducir los costos.
Margen = valor total costo colectivo de realizar las actividades de valor
Sistema de valor
Envuelve las cadenas de valor de todos los productos/servicios de la empresa y las de los
proveedores y clientes.
Puede ser de la empresa o
una por cada unidad de
negocio que la componen.
Tipos de actividades: hay actividades de estos tres tipos entre las primarias y de apoyo (ej.:
inversin y desarrollo de nuevos productos = directa y de apoyo)
Directas: participan directamente la creacin de valor para el comprador.
permiten realizar las actividades directas en forma continua. (ej.:
Indirectas:
mantenimiento)
Seguro de calidad: aseguran la calidad de otras actividades
Identificar y focalizar esfuerzos en actividades con
Economa diferente
Potencial para lograr diferenciacin
Representan una parte importante de los costos
Eslabones: son las relaciones entre la manera cmo se desempea una actividad y la influencia
que ello tiene en el costo o desempeo de otra.
Para obtener una ventaja competitiva deben explotarse los eslabones mediante la optimizacin
de actividades y la coordinacin entre actividades, ambos requieren de informacin.
Eslabones verticales: Son eslabones en el sistema de valor, es decir entre proveedores y
compradores. Los beneficios que se obtienen de explotar estos eslabones depende de la
relacin de poder entre empresas y requiere disear sistemas de informacin modernos.
Ej: sistema de trackeo de paquetes disponible para los clientes
Cadena de valor del comprador final
Es difcil de construir porque no conocemos su vida privada pero existen tcnicas de
investigacin de mercado que permiten inferirla. Es muy til si se busca la diferenciacin.
El panorama competitivo y la cadena de valor
Hay cuatro dimensiones que afectan a la cadena de valor
1. Panorama del segmento: indica las variedades existentes del producto y de los
consumidores. Las diferencias en las necesidades llevan a estrategias competitivas de
diferente enfoque.
2. Grado de integracin: permite ver que actividades son realizada por la empresa y cuales
por terceros, permitiendo encontrar posibilidades de integracin o desintegracin que
lleven a baja de costos o diferenciacin.
3. Panorama geogrfico: alcance geogrfico en que una empresa compite, como se adapta
al rea geogrfica o trabaja con empresas mejor ubicadas en el rea puede ser una ventaja
competitiva.
4. Panorama industrial: sectores industriales relacionados, permite ver relaciones
estratgicas con otras empresas o unidades de negocios de la misma empresa pero en
otros sectores.
Caractersticas de los SI
Sistema: conjunto de cosas ordenadas entre s que contribuyen a un determinado objetivo
Def: Es el conjunto formal de procesos que, operando sobre una coleccin de datos estructurada de acuerdo con
las necesidades de una empresa, recopila, elabora y distribuye parte de la informacin necesaria para la operacin
de dicha empresa y para las actividades de direccin y control correspondientes, apoyando, al menos en parte,
los procesos de toma de decisiones necesarios para desempear las funciones de negocio de la empresa de
acuerdo con su estrategia.
Def mejor: coordinan los flujos de informacin para llevar a cabo las funciones de la empresa de acuerdo con su
planteamiento o estrategia de negocio. Puede desarrollarse a partir de la estrategia o en conjunto con la
estrategia de forma de aprovechar las tecnologas al mximo en lugar de buscar tecnologas que nos ayuden a
cumplir lo estrategia.
Objetivos
Lograr excelencia operativa
Mejorar la toma de decisiones
Nuevos productos/servicios
Supervivencia
Obtener una ventaja competitiva
Valor de un SI: depende de su eficacia extensin, costo, calidad de la informacin que produce, aceptacin (la
percepcin de utilidad y la facilidad de uso determinan si el usuario aceptar una tecnologa)
Elementos
Procedimientos y prcticas habituales de trabajo de un sector/empresa , suelen no estar especificadas
formalmente pero son conocidas por todos los trabajadores del sector/empresa
Informacin
Usuarios
Equipo de soporte para la comunicacin, procesamiento y almacenamiento de informacin
Caractersticas
Es una actividad de infraestructura. Todas las actividades en la cadena de calor necesitan y generan
informacin, los SI la distribuyen.
Tendr interfaces con los subsistemas de las dems actividades
Cualquier cambio en la infraestructura provoca un cambio en el SI.
Es un servicio ms de la empresa y contribuye a poner en practica la estrategia
Tecnologas de la informacin: son el instrumento utilizado para hacer eficientes los SI, ha evolucionado mucho
y se requiere de un equipo multidisciplinario para aplicarse en una empresa. Es una parte de los SI, no son
sinnimos.
Porque fracasan los SI?
Expectativas de los usuarios poco reales
Quienes lo desarrollan no conocen el contexto donde se aplica
Se adquieren TI sin saber para que se usa ni.
Modelo de Nolan: muestra la madurez de una empresa con
respecto a la utilizacin de sistemas de informacin.
Se pasa de sistemas utilizados por pocos hasta que con el
tiempo se consigue integrar los sistemas abarcando todas
las actividades de la cadena de valor.
Planificacin de SI/TI
Histricamente o segn el grado de madurez de las empresas distinguimos 4 fases:
1. Intro de la informtica a la empresa
Histricamente: '60 a '80, supercomputadoras
Objetivo: reducir costos de procesamiento de informacin (se consigui el objetivo)
No hay planes, los objetivos de la empresa no se tienen en cuenta, se crean sistemas por demanda de parte
de los usuarios.
El rea depende de una divisin administrativa como Contadura o Gerencia Financiera ya que son
considerados solamente un gasto necesario.
Los informticos estn aislados, generndose una falta de comunicacin con el gerente general/directores.
2. Expansin anrquica de las aplicaciones
La asignacin de recursos y prioridades no va de la mano con los objetivos de la empresa, los criterios
pueden ser: facilidad, es interesante, costos, etc.
Se generan sistemas que no se usan, se generan sistemas o partes de sistemas que ya existen
No hay integridad de datos, reportes sobre lo mismo muestran inconsistencia
Eventualmente la fase se vuelve insostenible
o Costoso mantener instalaciones en muchos casos obsoletas
o Los usuarios se quejan y los informticos estn desmotivados
o La culpa de todos los problemas de la empresa son debido a los sistemas
3. Coordinacin de las SI/TI con los objetivos de la empresa
La direccin toma 3 acciones (=no ms subjetividad)
o Controlar la asignacin de recursos
o Establecer un procedimiento formal de planificacin
o Definir necesidades de informacin coherentes con los objetivos de la empresa
Esto hace que las barreras de comunicacin se derrumben por imposicin, esto es una fuente de conflicto.
Se alinean los objetivos de la empresa con el desarrollo de sistemas
4. Las SI/TI participando proactivamente de la estrategia de la empresa
Al consolidarse la fase 3, se hace visible la oportunidad de obtener ventajas competitivas sostenibles a
travs de SI/TI integrndolas a la estrategia de la empresa cuando esta es formulada
Encontrar una tecnologa nueva o que no se usa en el sector y que puede ser una ventaja competitiva sobre
la cual desarrollar una estrategia. Desarrollo entonces la estrategia de mano de la tecnologa en lugar de
utilizarla como apoyo. Retroalimentacin estrategia-tecnologa.
Lograr el xito en las ltimas dos fases precisa que:
o La cultura de la organizacin perciba el potencial de la tecnologa de informacin, que se entienda
que es un transformador y no un apoyo.
o El departamento de SI se compenetre con los objetivos de la empresa
No es necesario llegar a esta fase para obtener ventajas, pero me pierdo de encontrar nuevas ventajas
La tecnologa evoluciono de forma natural cubriendo primero las necesidades ms bsicas y construyendo a partir
de ellas. Se consigue finalmente que la informacin sea trasladada de abajo hacia arriba de la pirmide
organizacional pero sin ruidos ni rebotes. Antes se intua que pasaba en los niveles inferiores, ahora se sabe.
Se desarrollan en este orden
1. Procesamiento de datos (DP): automatizo el procesamiento de informacin, esto da eficiencia, se procesa
ms rpido.
2. Sistemas de informacin gerencial (MIS): utilizo los resultados obtenidos gracias a DP para tomar mejores
decisiones gerenciales, esto da eficacia, se toman las decisiones correctas.
3. Sistemas estratgicos de informacin (SIS): a partir de los resultados obtenidos debido a las decisiones
gerenciales tomo decisiones estratgicas de forma de aumentar la competitividad de la empresa.
Planificacin de SI/TI
Busca identificar SI que sirvan para cumplir con la estrategia del equipo
Elementos mnimos
Evaluacin exhaustiva de la situacin actual de los SI (tcnica y de negocio)
Lista ordenada de proyectos a desarrollar a mediano y largo plazo
Detalle exhaustivo de los recursos necesarios para los proyectos del 1er ao
Mtodos de evaluacin de los proyectos desde la perspectiva de negocio
Lista de actividades donde la SI/TI puede ofrecer ventajas
Organizacin
El proceso de planificacin debe involucrar a toda la empresa para evitar problemas de compromiso y que los
resultados sean tiles.
Comit de SI/TI
o Integrantes: Direccin de la empresa, gerentes de reas funcionales y responsable de SI. Son los que
deciden y tienen el conocimiento sobre la empresa.
o Funciones: supervisar el desarrollo del plan, explicitar compromiso de la organizacin, fijar criterios
para determinar prioridades y aprobar el plan
Equipo de trabajo
o Integrantes: Responsable de SI, director operativo (puede ser el Responsable), personal del rea de
SI y reas funcionales. Son los que hacen el trabajo operativo.
o Funcin: elaborar el plan
Grupo base
o Integrantes: responsable de SI, director operativo de SI y consultores externos. Sirven de conexin
entre los otros dos grupos, los consultores resuelven los problemas que surjan desde una posicin
neutra.
o Funcin: dirigir y apoyar al equipo de trabajo, asegurar consistencia del plan con objetivos
estratgicos y facilitar la negociacin con los usuarios.
Alineamiento estratgico: busca que las prioridades, capacidades, decisiones y acciones de los SI den apoyo a
las de toda la empresa. Si no le sirve a la empresa no tiene sentido.
Anlisis costo/beneficio
Se realiza en dos fases
Costo por el personal de SI
Beneficio para los usuarios, beneficios desde el punto de vista estratgico
Fases
de trabajo.
o Plantear a toda la organizacin que el Plan de
SI/TI es un objetivo de toda la empresa.
o Es necesario el compromiso fuerte de la ms
alta direccin para minimizar boicots de los
empleados disconformes con los cambios.
o Este compromiso facilita el trabajo del
desarrollador de los SI que no precisar
"robar" informacin.
Fase II: Descripcin del sistema actual
o Funciones del negocio
o Los sistemas actuales, permiten aprender
sobre el negocio
Fase III: Elaboracin del Plan de SI/TI
o Se documentan las necesidades de
informacin descritas en la FASE II, sobre
todo aquellas que no estn cubiertas o son
insatisfactorias, ya que es donde
seguramente se encuentren ms ventajas.
o Se establecen costos aproximados
o Se somete el Plan de SI/TI a aprobacin del
Comit de SI/TI
Fase IV: Programacin de las actividades
o Se detallan las acciones especficas del
primer ao de vigencia del Plan de SI/TI
ITSGAs
Information Technology Strategic Generic Actions: Son acciones estratgicas genricas
basadas en TI, orientadas a obtener ventajas competitivas sostenibles. Provienen del anlisis de
ejemplos concretos de los cuales se abstrae una accin genrica.
Puede surgir a partir de algo que se usa en otra industria o otras empresas del mismo sector.
Son 26.
Categoras
Relacionadas con el producto
o Incrementar el contenido de informacin del producto
o Personalizar el producto
o Dar informacin particularmente solicitada por el cliente en el propio producto
o Crear nuevos productos
o Combinar productos
Relacionadas con el cliente
o Trabajar para el cliente
o Conseguir que el cliente trabaje para nosotros
o Seleccionar clientes potenciales para determinados productos
o Incrementar los costos de cambio de proveedor por parte de nuestros clientes
o Facilitar a los clientes el acceso a nuestros sistemas de transaccionales
o Acceder al sistema de transacciones de nuestros clientes
Relacionadas con los canales de distribucin
o Controlar el canal de distribucin
o Desarrollar nuevos canales de distribucin
o Utilizar canales existentes para otros propsitos
Relacionadas con los proveedores
o Incrementar la efectividad de nuestras relaciones con proveedores
o Facilitar a los proveedores acceso a nuestros sistemas de transaccionales
o Conseguir que el proveedor trabaje para nosotros
o Acceder a los sistemas de transaccionales de nuestros proveedores
Relacionadas a las actividades de la cadena de valor
o Incrementar eficiencia de actividades
o Coordinar actividades
o Descentralizar decisiones
o Recoger la informacin donde se produce
o Tratar recursos dispersos geogrficamente como si fueran uno solo
o Reestructurar la cadena de valor
De carcter general
o Cambiar la estructura del sector aplicando nuevas prcticas
o Considerar los sistemas transaccionales como fuentes de ventajas competitivas
FODA
FODA = fortalezas, oportunidades, debilidades y amenazas
Es una herramienta de anlisis para ver la situacin de un individuo, organizacin o producto en
un momento determinado, me dice la situacin actual del mismo.
En nuestro caso, en el obligatorio, las FODAs surgen desde el anlisis de las 5 fuerzas de Porter.
Fortalezas y debilidades: son internas, es posible actuar sobre ellas
Oportunidades y amenazas: son externas, con respecto al sector industrial
Matriz: a partir de cruzar todo con todo surgen 4 estrategias FO (max-max), DO (min-max), FA
(max-min) y DA (min-min)
Seguridad en los SI
Introduccin
La seguridad es la prevencin de ciertos tipos de acciones intencionales que ocurren en un sistema. Estas
acciones potenciales son amenazas, si se llevan a cabo, son ataques que son llevados a cabo por un atacante
cuyo objetivo son los activos.
Al momento de invertir en seguridad se debe tener en cuenta el valor de la informacin a proteger y el
riesgo.
Riesgo informtico: La probabilidad de que una amenaza se materialice de acuerdo al nivel de
vulnerabilidad existente de un activo, generando un impacto especfico.
Amenazas: Acciones que pueden ocasionar consecuencias negativas en la plataforma informtica
disponible: fallas, ingresos no autorizados a las reas de computo, uso inadecuado de activos
informticos, desastres naturales, fallas elctricas, etc.
Vulnerabilidad: Condiciones inherentes que facilitan que las amenazas se materialicen.
Impacto: Consecuencias de la ocurrencia de las distintas amenazas.
Aspectos de seguridad en los SI
Los aspectos de seguridad son la excepcin y son considerados de forma secundaria. No forman parte de
nuestras tareas de rutina, generalmente surgen a partir de eventos de excepcin.
En general, nuestro trabajo se mueve en base a relaciones de confianza (esto lo usa mi empleado, no va a
hacer nada malo) Sin embargo, existen amenazas que no conocamos que van a aparecer despus.
El software puede ser correcto sin ser seguro, ya que los defectos de seguridad en la construccin
no salen a la luz hasta que el mismo se empieza a utilizar en el entorno real.
Al vender software genrico a veces funcionalidades extra son un riesgo ya que pueden crear
vulnerabilidades al no ser probadas por el usuario ya que nosotros las "ocultamos" y no
documentamos una parte del sistema.
Estas conductas no previstas son llamadas efectos laterales.
Seguridad y riesgo
No existe la seguridad absoluta, solo podemos administrar el riesgo y convivir con el
Administracin de riesgos: Es el costo total de identificar, controlar y minimizar el impacto de
eventos inciertos.
Metas de la seguridad:
o Prevencin: Evitar que los atacantes violen la poltica de seguridad.
o Deteccin: Detectar la violacin de la poltica de seguridad.
o Recuperacin: Detener el ataque, evaluar y reparar los daos.
o Supervivencia: Seguir funcionando correctamente incluso si el ataque tuvo xito.
Evaluacin de riesgos: El riesgo se evala mediante la medicin de los dos parmetros que lo
determinan
o La magnitud de la prdida o dao posible.
o La probabilidad de que dicha prdida o dao llegue a ocurrir.
Proteccin de riesgos:
o Evitar el riesgo: Suprimir el proceso que contiene el riesgo.
o Reduccin del riesgo: Reduccin o mitigacin del riesgo.
o Compartir el riesgo: Comprar un seguro, tercerizar un servicio, etc.
o Retener el riesgo: No hacer nada.
o Negar el riesgo: Desconocer el riesgo.
Online existen tres tipos de ataque que no existen en el mundo fsico y son ms dainos
1. Automatizacin: realizar procesos masivos inviables en el mundo fsico (ej.: des encriptar a fuerza
bruta)
2. Accin a distancia: el atacante puede estar en otro lugar, esto hace que sea dificultoso atraparlo
(debido a las diferencias legales entre pases y tiene que ser posible extraditarlo)
3. Capacidad de programacin: no es necesario saber mucho para realizar un ataque a gran escala, este
se propaga muy rpido y no es posible hacer nada, por eso se debe buscar prevenir (pro-acciones)
Tipos de ataques
Fraude
Vigilancia
Ataques legales
Negacin de servicio
Destruccin de informacin
Violacin de privacidad
Anlisis de trafico
Los delitos son los mismos que en el mundo real pero son ms fciles de hacer (puede realizarlo una persona
sin conocimiento tcnico siguiendo un tutorial), difciles de detectar y las consecuencias pueden ser peores.
Requisitos de seguridad
Debe decidirse que informacin vale la pena proteger dada la relacin entre la inversin necesaria para
hacerlo, el riesgo de un ataque y el valor de la informacin.
CIA (confidencialidad, integridad y disponibilidad): caractersticas de la informacin que quiere proteger
cuando esta est quieta
Bsicos
Autenticacin: que los participantes sean los que deben ser y no impostores, puede ser basado en
algo conocido (Password), posedo (llave) o una caracterstica fsica (voz)
Integridad: la informacin que ambos intercambian no pueda ser alterada por un tercero.
Privacidad: la informacin intercambiada no pueda ser vista u obtenida por terceras partes.
No repudio: no se pueda negar haber enviado informacin.
Control de acceso
o Autorizacin: Determinar cules sujetos tienen derecho a acceder a cuales objetos
o Determinar los derechos de acceso (que puede hacer)
o Hacer cumplir los derechos de acceso
Complejo
Control de Acceso:
Consiste en tres tarea:
o Autorizacin: Determinar cules sujetos tienen derecho a acceder a cuales objetos
o Determinar los derechos de acceso
o Hacer cumplir los derechos de acceso
Los controles mandatorios son utilizados en conjuncin con los discrecionales, sirviendo como una
restriccin adicional y fuerte al control de acceso.
Direccional (DAC): es ms flexible, basado en la identidad del usuario, las propiedades de los
objetos y la delegacin de permisos. El dueo de un objeto puede delegar permisos a otros.
Desventajas:
Se
utiliza
cuando:
Ventajas:
Basado en roles (RBAC): est basado en roles, los usuarios son categorizados en roles a los
cuales se les asigna permisos (ej.: lectura, escritura, etc.)
Seguridad multinivel
Todo objeto o sujeto posee una clasificacin compuesta por un nivel de seguridad y una categora.
Puedo leer de mi nivel para abajo y puedo escribir de mi nivel hacia arriba.
Problema: no hay control de integridad, puedo escribir por encima de algo que est en un nivel
superior al mo sin saberlo porque no tengo permiso de lectura para dicho nivel.
Modelo de Seguridad de Bell & La Padula
Se basa en hacer cumplir las siguientes propiedades:
o Propiedad Simple: puedo leer de mi nivel hacia abajo
o Propiedad de Confinamiento: puedo escribir de mi nivel hacia arriba
o Propiedad de Tranquilidad: El nivel de seguridad de un objeto no puede ser cambiado mientras
este est siendo procesado por un sistema de computacin
Busca dar confidencialidad pero no tiene control de disponibilidad (puedo escribir en un nivel
superior al correcto) ni integridad (puedo sobre-escribir)
Auditora
Permite controlar que un ataque a la seguridad fue exitoso o no, pero no lo previene es dificultosa
en computadoras ya que:
o Los archivos (pistas) de auditoria pueden ser borrados o modificados.
o Los diseadores de los sistemas no piensan en la auditoria en tiempo de construccin del
sistema.
o Algunas principios o prcticas de auditoria no son implementadas en el medio electrnico
Criptografa
Durante una transaccin debo proteger
Autentificacin: que los participantes sean los que deben ser y no impostores
Integridad: que la informacin que ambos intercambian no pueda ser alterada por alguien
Privacidad: que la informacin intercambiada no sea vista por terceras partes
No repudio: que no pueda ser negado l envi de informacin a posteriori
Permite proteger la informacin en "movimiento", es un equivalente al control de acceso pero
para cuando la informacin se est moviendo.
No oculto la informacin, sino que oculto su significado = oscurezco el mensaje pero todos
pueden ver que las partes se estn comunicando
Los mensajes pueden estar en texto
Claro, entendible
Cifrado, no entendible
Hay dos movimientos, dos tcnicas que permiten oscurecer el mensaje
Transposicin: cambio de lugar, los caracteres del mensaje se redistribuyen sin
modificarlos segn unas reglas
Sustitucin: un carcter o letra se sustituye por otro elemento
Ataques criptogrficos
Ciphertext-only: Si un atacante puede tomar el texto cifrado y obtener texto claro(ya no
ocurre en la actualidad)
Known-plaintext: El atacante puede tener el texto claro y el texto cifrado correspondiente
y trata de obtener la clave.
Chosen-plaintext: El atacante introduce un texto claro para obtener el texto cifrado
correspondiente y trata de obtener la clave.
Cifrado de Cesar
Consiste en mover tres lugares hacia las derecha el alfabeto y sustituir los caracteres del mensaje
por la nueva letra, para des-encriptar se hace lo mismo moviendo el alfabeto a la izquierda.
Es fcil de des-encriptar analizando la frecuencia en la que aparecen las letras y contrastndola
con la frecuencia en que aparecen las letras originales en el idioma del mensaje
Clave: la existencia de una clave permite que varias personas utilicen el mismo algoritmo varias
veces de forma independiente
Criptografa simtrica
Logro: privacidad
El que enva y el que recibe comparten una misma clave para cifrar como para descifrar, se
utilizan la transposicin y sustitucin para encriptar todo el mensaje.
El problema es la distribucin de la clave de forma segura (el algoritmo que se utiliza es pblico
por lo que no es un problema).
Hashing (MAC)
Logro: autenticacin, integridad
Es simtrico porque ambos tienen la misma clave, pero solo encripto una parte
Caractersticas
Fcil de usar, rpido de encriptar y ms liviano para pasarlo
One way: difcil de invertir
Para cualquier tamao de entrada, la salida tiene un tamao fijo constante
Colision free: dos entradas distintas no producen la misma salida, para ello debe tener un
largo mnimo
Criptografa asimtrica (clave pblica)
Logro: privacidad, autenticacin e integridad (poco eficientemente), no repudio
Cada persona tiene un par de claves, una pblica y otra privada.
Caractersticas
Mucho ms lentos
Se basan en la complejidad de operaciones matemticas y claves de gran tamao
Dos usos
Diffie-Hellman - asimtrico
Intercambio de clave de sesin
Condicin inicial:
g y n enteros grandes
definidos (no son secretos)
n primo
g cualquiera
Final
X = privado
Y = publica
Luego del intercambio puedo comunicarme mediante un algoritmo simtrico con la Ks.
Garantizo:
Autenticidad: firmando hash con clave privada
Privacidad: encriptando todo con Ks privada
Integridad: comparando hashes
No repudio: igual que autenticidad
De los mtodos vistos utilizo los siguientes para obtener las cualidades deseadas
Privacidad = criptografa simtrica
Integridad = MAC hash
Autenticacin = MAC hash
No repudio = criptografa asimtrica
Establecer clave = hibrida
Gestin de los SI
El problema es que en la vida real se hace sin planificar,
una vez que aparecen los problemas se ve cmo se
solucionan, incluso si se trataba de cambios previsibles.
Este modelo de gestin sirve para evitar esto.
Objetivos
Alinear los servicios TI con las necesidades del negocio
Mejorar la calidad de entrega de los servicios TI
Crear nuevas oportunidades tratando de reducir el
TCO (total cost ownership/costo total de propiedad=
mide costos directos e indirectos, as como los
beneficios, relacionados con la compra de equipos o
programas informticos)
Para alcanzarlos se precisa un cambio en el modelo de gestin:
Beneficios
o Incremento de la satisfaccin de usuarios y clientes
o Mejora de la disponibilidad del servicio = ms ingresos
o Ahorro financiero, reduciendo re trabajo y prdidas de tiempo
o Mejora en el "Time to market" (=tiempo desde que el prod es concebido hasta que
sale al mercado) para nuevos prod y servicios
o Mejora en la toma de decisin y optimizacin de riesgos
ITIL v2
mircoles, 16 de marzo de 2016
19:59
-Gestin de incidentes
Incidente: cualquier evento que no es parte de la operacin normal de un servicio, y que causa o puede
causar una interrupcin o reduccin de la calidad del servicio. Paso a llamarlo problema cuando debo
encontrar la causa y la misma queda dentro de los lmites de lo que la empresa debe solucionar.
Requerimiento de servicio: requerimiento de soporte, entrega, informacin, asesoramiento o
documentacin, no siendo una falla en la infraestructura de TI. (ej.: dar de alta un empleado nuevo, no es
parte de la operativa diaria pero no surge a partir de un error)
Objetivos:
Resolver el incidente reestableciendo el servicio tan pronto como sea posible minimizando el impacto
adverso sobre las operaciones de negocio.
Mantener viva la comunicacin entre la organizacin de TI y el cliente sobre el status del incidente.
Evaluar el incidente determinando la probabilidad de que vuelva a ocurrir, se transforme en algo ms
grave, etc. y comunicarlo a Gestin de Problemas.
Ciclo de vida
Son recibidos por el Service Desk que lo localiza,
registra, categoriza, determina su prioridad y
colecta informacin til sobre el mismo.
Debe consultarse la CMDB para obtener
informacin sobre el servicios.
Lo deriva al grupo de soporte o a gestin de
problemas (si no est claro cul grupo es el
encargado)
Prioridad = impacto x urgencia
Impacto: Evidencia del efecto en las
actividades del negocio y/o peligro de
incumplimiento de los Niveles de Servicio
Urgencia: Evidencia del efecto en los
tiempos objetivos del negocio
Mtricas e informes
Nmero total de incidentes
Nueva seccin 1 pgina 2
Gestin de Capacidad del Negocio: se centra en los requisitos de negocio actuales y futuros
Mtricas e informes
Informes de la certeza obtenida en el pronstico de recursos.
Umbrales que cuando se alcanzan implican incorporacin adicional de capacidad.
Informes de implementacin de TI nueva alineada al negocio (tiempos, costos, funcionalidades).
Reduccin de incidentes por baja performance.
Reduccin de costos inherentes a capacidad inadecuada.
-Gestin de disponibilidad
Objetivo: Optimizar la capacidad de la infraestructura de TI y la organizacin de soporte para la entrega de
un nivel sostenido de disponibilidad del servicio.
Para ello:
Todos los servicios deben estar soportados por CIs confiables, suficientes y mantenidos.
Acordar con proveedores cuando los CIs no son soportados internamente
Proponer los cambios necesario para prevenir la prdida de disponibilidad del servicio en un futuro.
Elementos a conseguir
Confiabilidad: habilidad de entregar la funcionalidad deseada durante un periodo y ciertas
circunstancias
Recuperabilidad: habilidad de recuperarse ante un fallo
Sostenibilidad: habilidad de conservar o restaurar un estado en el cual se pueden realizar las
funciones
Resistencia a fallos: habilidad de continuar funcionando con uno o ms componentes fallando
Serviciabilidad: termino contractual que define el soporte a recibir de un proveedor externo
Service level agreement (SLA): Acuerdo de Niveles de Servicio que se establece con los Clientes
Operational level agreement (OLA): Acuerdo de Niveles Operacionales que se establece con
departamentos internos de TI.
Underpinning contract (UC): Contratos de soporte con proveedores externos
Actividades:
Determinar los requerimientos de Disponibilidad en trminos del negocio.
Definir objetivos de Disponibilidad, Confiabilidad y Recuperabilidad para los componentes y servicios
de TI, as como la forma de medicin y monitoreo y acordarlos mediante los SLA, OLA y UC.
Monitorear y analizar el rendimiento de los componentes y servicios para determinar tendencias de la
Disponibilidad, Confiabilidad y Recuperabilidad.
Realizar un Anlisis de Riesgos determinando el impacto en la Indisponibilidad de los Servicios
involucrados, las Amenazas y las Vulnerabilidades.
Gestionar el Riesgo estableciendo Contramedidas, Planes ante Interrupciones y gestionar las
Interrupciones.
Desarrollar y mantener un Plan de Disponibilidad
Tiempos
Ocurrencia del incidente: momento en el que se detecta una falla
Deteccin del incidente (Detection Time): tiempo que se demora en informar al proveedor de la falla
Diagnstico del incidente (Response Time): tiempo que se demora en realizar el diagnostico
(encontrar causa)
Reparacin (Repair Time): tiempo que lleva reparar la falla
Recuperacin o Restauracin (Recovery Time): tiempo necesario para que el servicio vuelva a
funcionar
Resolucin (Resolution Time): tiempo de diagnstico + reparacin + recuperacin
Mtricas
Mean Time To Repair (MTTR): tiempo promedio entre la ocurrencia de una falla y la recuperacin del
servicio (downtime). Deteccin + Resolucin. Mide Sostenibilidad y Serviciabilidad
Mean Time Between Failures (MTBF): tiempo promedio entre la recuperacin de un incidente y la
ocurrencia del prximo (uptime).
Mide la Disponibilidad =
Mean Time Between System Incidents (MTBSI): tiempo promedio entre la ocurrencia de dos
incidentes consecutivos. MTTR + MTBF. Mide la Confiabilidad
Ciclo de vida de los incidentes
Nueva seccin 1 pgina 5
-Gestin de la continuidad
Objetivo: Asegurar que la infraestructura y servicios de TI requerida puedan ser restaurados en un tiempo
lmite especificado despus de la ocurrencia de un desastre.
Desastre: evento que afecta un servicio o sistema tal que se requiere un esfuerzo significativo para
restaurar el nivel original de performance. Es una interrupcion del negocio, peor que un incidente.
Funciones
Evaluar el impacto de un desastre
Identificar servicios crticos para el negocio
Definir perodos en los cuales el servicio debe restaurase
Tomar medidas que prevengan, detecten y preparen a la organizacin para mitigar los efectos de un
desastre
Definir la forma en que se restaurarn los servicios
Desarrollar, probar y mantener actualizado un plan de Contingencia (recuperacin) que pueda ser
usado para sobrevivir a un desastre y restaurar los servicios en el tiempo definido.
Etapas
1. Alcance: define polticas, reas y alcance, destinando
recursos y definiendo un proyecto.
2. Anlisis de Impacto en el Negocio: diferenciar entre
servicios vitales (deben prevenirse problemas) y no
vitales (deben restaurarse en el tiempo determinado).
3. Evaluacin de riesgos: ranking de amenazas,
vulnerabilidades y activos a proteger segn su
importancia.
4. Estrategia de continuidad: establecer medidas de
prevencin y recuperacin segn corresponda.
5. Organizacin e implementacin del plan: implementa
el proceso de gestin, definiendo individuos/equipos
encargados.
6. Prevencin y recuperacin: llevar a cabo las medidas
del paso 4.
7. Desarrollo de planes y procedimientos de
recuperacin
8. Prueba inicial: calendario de pruebas, registro de
resultados.
9.
10.
11.
12.
13.
Mtricas e informes
Nmero de defectos identificados en los planes de recuperacin
Nueva seccin 1 pgina 6
ITIL v3
Diferencias con v2
En v3 se busca adaptar los servicios a las necesidades estratgicas y los objetivos de negocio de
la empresa, rompe la barrera entre la direccin de la empresa y los encargados de los sistemas
(de la misma forma que se hizo en la planificacin de los sistemas). Veo la aplicacin de TI como
un negocio en s mismo.
Se agregan funciones y procesos
Se introduce el concepto de ciclo de vida del servicio
Muchos procesos abarcan ms de una fase del ciclo de vida
Se refina la terminologa y las definiciones
Se asignan roles y responsables de mejor manera
Se busca que TI sea un socio estratgico del negocio, para ello mira los servicios desde el
punto de vista estratgico, no solo un facilitador (en v2 buscaba brindar apoyo a los
procesos)
Conceptos nuevos: Estrategia, Valor, Activos del servicio y el cliente, Portafolio de
servicios, Service Knowledge Management System (SKMS), ROI, consideraciones
organizacionales, etc.
Servicio: medio de entrega de valor a los clientes facilitndoles la obtencin de los resultados
que ellos quieren alcanzar sin la propiedad de los costos y riesgos especficos.
Al analizar si tiene sentido invertir en un servicio (hacer uno propio o tercerizarlo) se tiene en
cuenta lo siguiente:
Portfolio de servicios: contiene todos los servicios en cualquiera de sus estados en el ciclo de
vida, sirve para gerenciar los procesos de forma de que el conocimiento quede en la empresa y
pueda ser consultado por sus empleados en el futuro.
Ciclo de vida
Los procesos que vimos en v2 se mantienen (algunos se dividen) y abarcan distintas partes del
ciclo de vida de los servicios (la mayora abarcan todos las etapas).
Son 5 etapas:
-Service strategy: Los requerimientos se identifican y acuerdan a travs de un Service Level
Package (SLP). Representa las polticas y objetivos que guan el ciclo de vida del servicio, se
determinan que servicios se deben ofrecer y a quin.
Procesos: cubren todo lo que debo saber para ver, si rinde desde el punto de vista
estrategico, dar un servicio
o Gestin financiera
Cubre los procesos de Presupuestacin, Contabilidad y Cobros.
Objetivos
o Entender todos los servicios, en trminos de resultados esperados (utilidad) y
aseguramiento de estos se alcancen (garanta).
o Establecer polticas formales y un framework que permitan implementar los
requerimientos del servicio.
o Apoyar la transferencia de conocimiento y permitir la reutilizacin del conocimiento
generado al implementar un servicio.
o Reducir los errores y riesgos de la transicin a un cambio en el servicio, o un nuevo
servicio, al entrar este en produccin.
o Valido y pruebo los servicios, los personalizo.
Procesos
o Gestin de cambios
o Gestin de proyectos (planificacin y soporte de la transicin)
o Gestin de ediciones e implementacin
o Gestin de la configuracin
o Gestin del conocimiento
-Service operation: en la cual se pone en produccin. Permite entregar los niveles de servicio
acordados a usuarios y clientes gestionando las aplicaciones, tecnologas e infraestructuras que
soportan los servicios. Aspectos operacionales de procesos de otras fases del ciclo de vida.
Actividades
o Monitoreo y Control: Detecta el estado de los servicios y los Cis tomando acciones
correctivas cuando es necesario.
o Gestin y operacin de consola: Hay un punto central de coordinacin para
monitorear y gestionar los servicios.
Procesos
o Gestin de incidentes, eventos y problemas
o Gestin del acceso
o Gestin de las operaciones de TI (monitoreo y controlo los servicios TI)
o Gestin de las instalaciones/infraestructura de TI
-Continual service improvement: ltima fase que busca oportunidades de mejora a partir de
debilidades o fallas en el servicio. Permite mantener el valor para los clientes a travs de la
evaluacin continua, mejora de la calidad de los servicios y la madurez de la gestin de estos en
todo su ciclo de vida y sus procesos asociados
Procesos
o 7-Step Service Improvement (similar a: Plan-Do-Check-Act)
o
o
Service Measurement
Service Reporting
CMM
martes, 24 de mayo de 2016
8:37
Auditoria
Control interno: plan de organizacin, mtodos y procedimientos que, en forma coordinada se
adoptan para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de la
informacin financiera, promover la eficiencia operacional y provocar adherencia a las polticas
prescritas por la administracin
Auditoria: revisin independiente que realiza un auditor profesional, aplicando tcnicas,
mtodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones,
actividades, tareas y procedimientos de una entidad administrativa, as como dictaminar sobre
el resultado de dicha evaluacin.
Revisin independiente: implica que el auditor usa el libre albedro que le evitar tener
cualquier tipo de obligacin, preferencia, obediencia o algn otro compromiso con la
empresa a la que audita
Auditor profesional: significa que la auditora es una actividad muy especializada que
puede ser ejecutada slo por quienes estn capacitados para ello
Resultado final: un informe, llamado dictamen, donde se da cuenta de todas las
desviaciones y dems aspectos observados durante la evaluacin, para que los
interesados conozcan el estado que guardan las actividades y operaciones de la empresa
o rea auditada
Auditoria de sistemas: evaluacin de los sistemas computacionales, de la administracin del
centro de cmputo, del desarrollo de proyectos informticos, de la seguridad de los sistemas
computacionales y de todo lo relacionado con ellos
Objetivos
o Emitir un dictamen independiente sobre la razonabilidad de las operaciones del
sistema y la gestin administrativa del rea de informtica
o Evaluar el uso de los recursos financieros en las reas del centro de informacin en
cuanto a su destino a los sistemas computacionales, sus equipos perifricos e
instalaciones
o Evaluar el uso y aprovechamiento de los equipos de cmputo, sus perifricos, las
instalaciones y mobiliario del centro de cmputo, as como el uso de sus recursos
tcnicos y materiales para el procesamiento de informacin
o Evaluar el aprovechamiento de las tecnologas de base, sistemas operativos,
lenguajes de programacin, programas y paquetes de aplicacin y desarrollo, as
como el desarrollo e instalacin de nuevos sistemas
o Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y
lineamientos que regulan las funciones y actividades de las reas y de los sistemas
de procesamiento de informacin, as como de su personal y de los usuarios del
centro de informacin
o Evaluar las reas, actividades y funciones de una empresa, contando con el apoyo
de los sistemas computacionales, de los programas especiales para auditora y de
los paquetes que sirven de soporte para el desarrollo de auditoras por medio de la
computadora
Que hay que auditar?
o La organizacin del rea de informtica: objetivos, organizacin, funciones, roles,
presupuesto, etc.
o Las actividades de anlisis, desarrollo e implementacin de sistemas de
informacin: diseo de los sistemas, productividad, uso, etc.
o Las operaciones de los sistemas de informacin: control de licencias, datos,
asignaciones de trabajo, hardware, software, etc.