Entregable previo 1 - Javier Mendoza (1)

Vista previa del material en texto

INDICE.
1. Introducción…………………………………………………………………2 
2. Desarrollo…………………………………………………………………….3
 2.1. Cuadro Sinóptico………………………………………………………3
 2.2. Ensayo……………………………………………………………………..4
3. Conclusiones………………………………………………………………..8
4. Bibliografía…………………………………………………………………..8
1. Introducción 
La seguridad de la información (SI) hace referencia a todas las medidas tanto preventivas como reactivas que permiten proteger la información de una organización, se entiende como la integración de las TI, los usuarios y los procesos de negocio en donde se concibe a la información como un activo fundamental de la organización. Es una parte fundamental en los procesos realizados en una organización, debido a que la información que manejan es de suma importancia para el correcto funcionamiento de los procesos, por ello se debe analizar y encontrar las soluciones de las amenazas que afectan a la organización. Pero termina siendo una limitante para el negocio cuando se define sin un orden o un criterio como proceso facilitador y enriquecedor de las expectativas del negocio, generando un valor agregado en los procesos del negocio
La SI tiene cuatro características fundamentales, estas son la disponibilidad, confidencialidad, integridad y autenticación. La disponibilidad hace referencia a que en todo momento se pueda acceder a la información, la confidencialidad nos indica que solo personal autorizado puede acceder a esta, la integridad corresponde a que la información permanezca completa y sin modificaciones no autorizadas, finalmente la autenticación nos indica que las personas que acceden a la información son usuarios verificados.
La Arquitectura de Seguridad se define como el proceso de diseñar y construir técnicas mediante las cuales se pueda salvaguardar, proteger, resguardar documentos digitales e impresos, es un marco que establece las directrices en un esquema de acción estratégico para los diferentes procesos de una organización, debe de estar impulsada por políticas que indiquen las expectativas, plan de implementación y el proceso de cumplimiento, esta formada por los siguientes componentes:
- Dirección en el área de respuesta a incidentes.
- Gestión de identidad.
- Orden de incluir o excluir diferentes sujetos al dominio de la arquitectura de seguridad.
- Control de acceso y limitaciones.
- Validación y adecuación.
- Capacitación de personal.
El proceso de arquitectura de seguridad cuenta con las siguientes fases: Evaluación de Riesgos, en donde se analizan riesgos y consecuencias de las vulnerabilidades, así como también las amenazas de seguridad a la organización. Arquitectura y diseño de seguridad, en esta fase se encuentra estructurada la arquitectura para la protección de los activos de la organización. Implementación, la arquitectura esta diseñada para que las políticas y estándares de seguridad sean implementados íntegra y efectivamente por mucho tiempo. Operación y Monitoreo, en esta fase se realiza la administración de vulnerabilidades y amenazas, además de la supervisión del estado operativo. (DocuSign,2021)
2. Desarrollo
 2.1. Cuadro Sinóptico 
- Alineación estratégica
- Administración del Riesgo
- Entrega de Valor
- Administración de Recursos
- Medición de Desempeño
- integración 
INTENCIONES DE LA ALTA GERENCIA SEGÚN EL GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN
- Organización de la seguridad e Infraestructura 
- Políticas, Estándares y Procedimientos
- Líneas Base de Seguridad y Valoración del Riesgo
- Capacitación de Usuarios
- Cumplimiento 
MODELO DE JAN KILLMEYER
- Estructuras (Información, Estrategia del Negocio, Fundamentos de SI y Administración de Riesgos)
- Procesos (Implementación de Buenas Prácticas)
- Acuerdos entre Alta Gerencia y Área de SI 
 
MODELO DE JEIMY CANO
ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN 
- Dominio Procesos (Procedimientos Herramientas y Reglas)
- Dominio información y Conocimiento (Transformación de Datos)
- Dominio Infraestructura (Plataforma tecnológica y de comunicación)
- Dominio Organización (Definición de roles y responsabilidades)
 
MODELO ARQUITECTURA EMPRESARIAL POR IBM
- Fase 1. Realización de Evaluaciones (Encontrar vulnerabilidades)
- Fase 2. Formulación del Diseño (Definición de objetivos de ASI)
- Fase 3. Construcción de Políticas y Procedimientos
- Fase 4. Implementación del Diseño
- Fase 5: Integración de las prácticas de seguridad
MODELO POR SANS INSTITUTE
- Negocio (Alineación de objetivos organizacionales con SI)
- Normativa (definición de directrices regulatorias)
- Gestión de la ASI (Adaptación de metodología a la estrategia de negocio)
- Acuerdos (Alinear esfuerzos operacionales, tácticos y estratégicos)
- Infraestructura de Seguridad (Defensa en Profundidad)
MODELO DE ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN (MASI)
 2.2. Ensayo
En este trabajo se abordará el tema de Modelo conceptual, este representa una idea de forma general, simplificando el entendimiento de lo que se desea expresar por lo que es de gran ayuda en empresa para el correcto funcionamiento de su proceso productivo, de este tipo de modelos se tratara el Modelo de Dirección Estratégica de Fred R. David y el Modelo de Planeación Corporativa Sistemática de George Steiner.
El proceso de planeación estratégica de Fred R. David se divide en tres etapas: la formulación, implantación y evaluación de una estrategia. En la primera etapa se crea la misión, visión, se identifican fortalezas y debilidades de la organización, la identificación de oportunidades y amenazas externas, además del establecimiento de objetivos a largo plazo. En esta etapa se realiza la toma de decisiones sobre el negocio y la división de recursos, así como la elección de una posible fusión con otra empresa o la expansión internacional. En la segunda etapa se establecen los objetivos anuales, diseñan políticas y se distribuyen los recursos para la ejecución de las estrategias, esta etapa se desarrolla una cultura de apoyo a las estrategias planteadas en la etapa de formulación, se realiza la preparación de presupuestos, además de la creación y uso de los sistemas de información. Finalmente, en la tercera etapa se realiza la evaluación de la estrategia por los directivos esto implica la medición del rendimiento y la revisión de factores externos e internos que afectan la estrategia planteada.
En el modelo establecido por Fred R. David indica que en la etapa inicial se establece la misión y visión de la empresa, para posteriormente en la segunda etapa realizar una auditoría externa con el objetivo de crear una lista de oportunidades que podrían beneficiar a la empresa y de amenazas que deben de evitarse. Estas auditorias se realizan con base en cinco fuerzas externas clave que afectan al proceso, estas son:
- Fuerza económica
- Fuerza social, cultural, demográfica y ambiental
- Fuerza política gubernamental y legal
- Fuerza tecnológica 
- Fuerza competitiva 
En la tercera etapa se realiza una auditoría interna con el objetivo de identificar fortalezas y debilidades en las áreas funcionales de la empresa, las fortalezas identificadas que otros competidores no pueden imitar se les denomina capacidades distintivas, lo que proporciona una ventaja competitiva en el mercado.
En la cuarta etapa se establecen los objetivos a largo plazo, generalmente mayores a un año, los objetivos deben de ser cuantitativos, cuantificables, realistas y congruentes con la situación de la empresa estos se generalmente se establecen como indicadores de rentabilidad, crecimiento, participación en el mercado, ganancias, etc. 
En la quinta etapa se generan, evalúan y seleccionan estrategias, lo que implica tomar decisiones subjetivas a partir de información objetiva, estas estrategias pueden incluir la expansión geográfica, diversificación, desarrollo de nuevos productos, reducción de costos, etc.
Para la sexta etapa se implantan las estrategias y se establecen los objetivos anuales, estos representan la base para la distribución de los recursos, además de ser de gran utilidadpara evaluar el rendimiento de los gerentes. En esta etapa se implementan políticas para facilitar la solución de problemas recurrentes, estas son la base para el desarrollo de métodos, procedimientos y reglas para fomentar el cumplimiento de las metas establecidas. Durante esta etapa se realiza la distribución de recursos de acuerdo con las prioridades establecidas en los objetivos, otras actividades que también son ejecutadas en esta etapa son la modificación en la estructura de la empresa, vinculación del desempeño, remuneración y la creación de una cultura organizacional de apoyo a las estrategias.
En la octava y ultima etapa de este modelo se mide y evalúa el rendimiento de la estrategia establecida, las actividades de evaluación de la estrategia deben de ser de tipo económicos para una mayor facilidad de uso de la información. Con la planeación estratégica se facilita la toma y ejecución de decisiones, así como la ejecución de medidas correctivas para asegurar el éxito.
En el Modelo de Planeación Corporativa Sistemática de George Steiner establece que la planificación estratégica consiste en la identificación de oportunidades y peligros que puedan suceder en el futuro, esta es un proceso que se inicia con el establecimiento metas organizacionales, y la definición de estrategias y políticas para cumplirlas. Un sistema de planeación estratégica une tres tipos de planes, los planes estratégicos, programas de mediano plazo, presupuestos a corto plazo y planes operativos.
Este modelo esta dividido en tres secciones, las premisas, formulación de planes y la implantación y revisión. A la información generada en las premisas se le conoce como análisis de situación, en donde se identifican los elementos de gran importancia para el crecimiento de la organización. Las premisas se dividen en cuatro partes, las expectativas de los intereses externos, las expectativas de los intereses internos, la base de datos y la evaluación de ambiente y compañía en donde se identifican las oportunidades, peligros, debilidades y potencialidades en la planeación, a este análisis se le conoce como FODA.
En la segunda sección de este modelo se realiza la formulación de estrategias maestras conformadas por la misión, propósitos, objetivos y políticas básicas, por otra parte, están los programas que se refiere a la adquisición y uso de recursos. En la programación a mediano plazo se preparan planes específicos para lograr los objetivos, misiones y propósitos a largo plazo de la organización, este periodo por lo general es de cinco años.
En la tercera sección se realiza la implementación y revisión de las estrategias, además de la evaluación de la directiva y los procesos de control, los planes deben de ser revisados y evaluados para que sean efectivos. En todo proceso de planeación es necesario aplicar normas de decisión y evaluación, estas normas pueden ser cualitativas o cuantitativas.
Las Estrategias Genéricas de Michael Porter establecen que las estrategias permiten a las empresas obtener una ventaja competitiva en liderazgo en costo, diferenciación y enfoque. En la estrategia de liderazgo en costo destaca la importancia de la fabricación de productos estandarizados a un costo por unidad menor, el propósito de esta estrategia es tener precios inferiores a la competencia y así ganar participación en el mercado, esta estrategia es eficaz cuando el mercado está conformado por compradores sensibles al precio, cuando hay pocas diferencias entre productos o cuando hay compradores con un poder de negociación significativo. Para asegurar el éxito debe mantenerse los gastos generales bajos, prestaciones limitadas, eficiencia elevada y reducción del desperdicio. Aplicar esta estrategia tiene el riesgo de que la competencia la imite lo que reduciría las utilidades en la industria
La estrategia de diferenciación tiene por objetivo la elaboración de productos y servicios únicos en la industria, en donde los clientes son poco sensibles al precio, esta estrategia no es recomendable en productos estandarizados o si existe la posibilidad de que la competencia los pueda imitar con facilidad, esta estrategia se puede considerar como exitosa cuando se obtienen menores costos, mejor servicio y menor mantenimiento. Esta estrategia es aplicable después de hacer un estudio de necesidades y preferencias de los clientes para determinar la viabilidad. Los beneficios obtenidos al aplicar esta estrategia es poder cobrar un precio mas alto y generar lealtad por alguna característica diferenciadora. Por el contrario, existe el riesgo de que los clientes no valoren lo suficiente estas características e igualmente que los competidores puedan imitar fácilmente esta característica.
La estrategia de enfoque tiene como propósito la elaboración de productos y servicios que satisfagan las necesidades de grupos pequeños, esta estrategia es útil cuando el segmento de la industria es muy pequeño, como en las anteriores estrategias el riesgo mas importante es que la competencia identifique que es una estrategia exitosa y la imiten.
El Análisis Competitivo se refiere a la relación que existe entre las empresas y su entorno para entender la naturaleza y el éxito de los cambios que puede adoptar el competidor, así como la probable respuesta a los cambios que puedan iniciar otras empresas considerando los recursos y limites con los que cuenta.
El pensamiento estratégico consiste en el planteamiento de las siguientes preguntas, ¿Cuál es la estructura de la industria en la que se encuentra y su posible evolución en el tiempo? Y ¿Cuál es la posición de la compañía dentro de la industria?
El Análisis de las cinco fuerzas busca darles respuesta a estas preguntas, ya que la planeación que realiza la organización se fundamenta en el conocimiento que tiene de si misma, de la primera pregunta le permite identificar si el segmento de la industria es atractivo y la segunda le permite conocer si tiene una posición de fortaleza o debilidad en esta. Las cinco fuerzas que se contemplan son las siguientes: Rivalidad ente competidores, esta puede ser caballerosa en donde se centra en la imagen y el servicio, por lo que la industria se vuelve mas rentable, por el contrario si la rivalidad es guerrera algún competidor estará atacando la posición de la organización y la industria será menos rentable.
La Amenaza de fácil entrada para nuevos competidores se refiere a la facilidad con la que nuevos competidores pueden entrar a la industria agregando nuevas características y afectando los precios, lo cual trae como consecuencia la reducción de las utilidades de la empresa.
La Amenaza de productos o servicios sustitutos, nos indica la facilidad con la que los clientes pueden satisfacer sus necesidades con otros productos o servicios y esto dependerá de la cantidad de alternativas de las cuales dispongan, afectando a la rentabilidad del producto.
El Poder de negociación de proveedores se refiere a la capacidad que tienen los proveedores de modificar el precio de sus productos, esto dependerá del tipo de productos que ofrezcan y la competencia que tengan los proveedores, dándoles mayor control a los proveedores de productos especiales o de difícil obtención y en el caso de los productos básicos cuentan con una capacidad de negociación muy inferior.
Al igual que en el punto anterior existe el Poder de negociación, pero en este caso de compradores el poder de los compradores dependerá del tamaño de la empresa que comprara el producto pudiendo exigir precios mas bajos y mejores características o valores añadidos, ocasionando que la empresa tenga que absorber estos sobrecostes.
Los anteriores escenarios generan que en empresas pequeñas al no poder cambiar la estructura de la industria se vean obligadas a ubicarse en posiciones basadas en ventajas competitivas sostenibles en el tiempo para su subsistencia, estas ventajas pueden ser de dos tipos, la primera se basa en mantener costos inferiores a sus competidores, pero con buenos niveles de calidad en sus productos o servicios y lasegunda en la inclusión de características diferenciales a sus productos o servicios. 
Existen dos variables a considerar cuando una empresa adopta una posición estratégica, la primera es la del alcance competitivo, que se refiere a la cantidad de clientes y zonas geográficas que atiende una empresa, cuando una empresa tiene una amplia gama de productos para cada sector de la industria y estos se comercializan en una gran cantidad de zonas geográficas se dice que esta empresa tiene un alcance competitivo amplio, de forma opuesta cuando una empresa cuenta con un portafolio reducido de productos y se comercializa pocas zonas se dice que la empresa tiene una alcance competitivo restringido. La focalización es una variable que consiste en reducir la meta estratégica, segmentando el mercado y enfocándose en satisfacer las necesidades de sus clientes meta.
Con el uso de este análisis para desarrollar una estrategia ocurren cinco errores típicos, estos son: interpretación errónea del atractivo de la industria, no poseer ninguna ventaja competitiva real, perseguir una ventaja competitiva no sustentable, cambiar de estrategia para crecer mas rápido, no comunicar ni hacer explicitas las estrategias con los empleados
El Análisis FODA es una herramienta muy útil para observar las variables que afectaran el tema de estudio, en este caso la elaboración de estrategia y enfocar los recursos en lo más importante, este análisis consiste en una matriz que evalúa dos factores fundamentales en la empresa, como lo es el factor interno y el factor externo. El análisis interno se obtiene mediante la realización de una auditoría interna y se consideran las fortalezas y debilidades de las áreas funcionales de la empresa, este análisis pretende identificar capacidades distintivas de la empresa como fortalezas que otros competidores no pueden imitar. El análisis externo se obtiene mediante la realización de una auditoría externa con el fin de crear una lista de oportunidades que puede aprovechar la empresa y amenazas que debe evitar, a partir de las siguientes fuerzas clave: económicas, sociales, culturales, demográficas, ambientales, políticas, gubernamentales, legales, tecnológicas y competitivas. 
3. Conclusiones
Con el presente trabajo puedo concluir que para contar con una arquitectura de seguridad confiable es necesario tomar en cuenta cada uno de los que tratamos en este documento, ya que cada uno posee ciertas características diferenciales que pueden ser de gran ayuda en la implementación de una arquitectura de seguridad, tomando en cuenta los distintos factores que la rodean, debido a que los modelos presentados fueron creados en ambientes específicos y pueden no ser compatibles en todas las organizaciones, y ahí es en donde entran las herramientas que se trataron en el ensayo, estas no pueden ser de gran utilidad para poder conocer en profundidad la situación en la que se encuentra nuestra organización e identificar que aspectos de ella requieren de mayor atención o son de mayor impacto en nuestro proceso, en uso del análisis FODA no se encuentra únicamente ligado al uso en la planificación estratégica en el ámbito empresarial, ya que esta herramienta puede ser de gran ayuda para muchas otras actividades como el desarrollo de proyectos académicos y el comportamiento personal de cada individuo al poder identificar sus principales Fortalezas, Oportunidades, Debilidades y Amenazas, esto puede ser también de gran ayuda para la toma de decisiones importantes como lo será la elección de una carrera universitaria, al poder conocerte mejor e identificar cual seria la opción mas idónea de acuerdo a tu perfil.
4. Bibliografía.
DocuSign. (2021, 18 mayo). ¿Qué es la arquitectura de seguridad de la información y por qué es relevante para las PYMES? https://www.docusign.mx/blog/arquitectura-de-seguridad
Soluciones Informáticas TECON. (2020, 28 enero). La Seguridad de la Información. Tecon. https://www.tecon.es/la-seguridad-de-la-informacion/
Parada, J. D., Calvo, J. A., & Flórez, A. (2010). Modelo de arquitectura de seguridad de la información – MASI, International Institute of Informatics and Systemics.
Figueroa, M. C. (2010). Propuesta de Estrategias para una Empresa Mexicana Integradora De Sistemas Electrónicos De Seguridad. Instituto Politécnico Nacional.
2