Conceptos Clave en Tecnología de la Información y Ciberseguridad

Ingeniería del software, , ,

Software

Parte lógica e inmaterial de un ordenador. Son los programas necesarios para la realización de los tratamientos deseados.

Recursos de la Red

Tipos de Conmutación

  • Conmutación de circuitos (más eficaz): Se caracteriza porque existe una reserva permanente de los recursos (circuitos) por parte de emisor y receptor durante el tiempo que dura la comunicación (redes telefónicas originales).
  • Conmutación de paquetes (más eficiente): Divide los datos en paquetes que se enrutan a través de una red compartida.

Señalización (circuitos), enrutamiento (paquetes).

Tipos de Redes

Las redes de telecomunicación evolucionan hacia un entorno convergente, donde LAN, MAN y WAN tienden a estar cada vez más integradas.

  • LAN (hogares): Local Area Network, cubren un rango de 1-5 km.
  • MAN (edificio): Metropolitan Area Network, cubren un rango de 50-60 km.
  • WAN (nacional): Wide Area Network, cubren un rango de 100-1000 km.

Cloud Computing

El cloud computing es un modelo de pago por uso que permite acceso en red y bajo demanda a un conjunto compartido y configurable de recursos de computación (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser desplegados con rapidez y mínima interacción de un tercer operador.

La nube está en manos de 3 empresas principales: Amazon, Microsoft y Google. El cloud facilita el desarrollo y la innovación sin una inversión previa:

  • Permite adecuar los servicios a las nuevas demandas y perfiles de uso de los clientes, así como la mejora de la experiencia de usuario.
  • Las empresas reducen sus tiempos de desarrollo de nuevos productos, pudiendo testar su éxito entre los usuarios.

Modelo Tradicional vs. Modelo Cloud

En el modelo tradicional, todos los servicios (datos, servicio, red…) se tienen en la oficina, y se utilizaba internet para acceder a la información.

El cloud computing está compuesto por servidores, sistemas de almacenamiento y ordenadores conectados en red en los cuales se copia toda la información del usuario, lo que permite que la misma esté siempre disponible.

Con el cloud computing, la empresa puede adquirir nuevos servicios o prescindir de algunos de ellos sin que esto implique una nueva inversión en software o infraestructura. En el hosting tradicional, el crecimiento de la empresa implica un aumento en los costes, lo que puede generar inconvenientes financieros o afectar a la toma de decisiones que impidan la expansión empresarial.

Aspectos Clave de un ERP

  • Integración: Permite integrar la información.
  • Modularidad: El ERP se divide en módulos y la empresa decide cuál escoge.
  • Estandarización: Una única plataforma tecnológica.
  • Globalidad: Atiende todas las necesidades de información de cualquier área.
  • Multinivel: Se pueden gestionar permisos en base al nivel de responsabilidad.
  • Flexible y abierto.
  • Sincronización en tiempo real.

Big Data y Business Analytics

Conceptos

  • BI (Business Intelligence) trabaja sobre datos estructurados para analizar el pasado.
  • Big Data aporta tecnología para incorporar datos estructurados y no estructurados de múltiples fuentes. Su principal objetivo es almacenar y ordenar cantidades masivas de datos para su análisis (se orienta a predicciones futuras).
  • BA (Business Analytics) permite desarrollar modelos predictivos para la toma de decisiones (futuro).

Para utilizar BA se requiere de BI y Big Data.

El BI busca corregir errores operativos con criterios de inmediatez y el BA trabaja para reducir exponencialmente los riesgos futuros.

Evolución hacia Big Data

Tecnológicamente llegamos al Big Data por tres evoluciones principales:

  • Disponibilidad de datos: Cada unidad informativa genera una gran cantidad de datos.
  • Capacidad de almacenamiento: Capacidad infinita en la nube.
  • Capacidad de procesamiento (nube) y comunicación (infraestructuras).

Evolución de la Inteligencia Artificial (IA)

La evolución de la IA se ha basado en la resolución de tres grandes temas:

  1. Resolución de problemas y búsqueda de soluciones (PLANTEAMIENTO): Plantear el problema para buscar formas de resolución y poderlo resolver. Alcanzar análisis racional.
  2. Representación del conocimiento (CÓMO ESTABLEZCO EL NÚCLEO DE CONOCIMIENTO): Los sistemas de inteligencia artificial se apoyan en la incorporación y adquisición de conocimiento del dominio de aplicación (por ejemplo, en jurisprudencia, medicina, ingeniería, …) para poder resolver los problemas.
  3. Aprendizaje automático (CÓMO ENTRENO EL MODELO): Modelos que buscan incrementar el rendimiento del sistema, porque el programa aprende de la actividad realizada y de sus propios errores.

Ciclo de Vida del Desarrollo de un Sistema de Información

  1. Análisis

    (Qué debe realizar el sistema)

    1. Estudio de viabilidad: Evalúa las posibilidades técnicas, financieras y organizativas.
    2. Análisis de requerimientos: Establece el alcance, los objetivos y los requisitos del sistema.
    3. Análisis funcional: Especificación estructurada de lo que debe hacer el sistema para dar solución a los requerimientos del sistema.

    Objetivos del Análisis:

    • Identificar necesidades de usuarios.
    • Especificar solución y requerimientos.
    • Evaluar viabilidad del proyecto.
    • Asignar funciones al SW, HW, RRHH.
    • Establecer restricciones de tiempo y coste.

  2. Diseño

    (Se especifica cómo tiene que trabajar el sistema)

    Transformar las descripciones lógicas de los modelos en descripciones detalladas de los procesos. Puede haber diferentes diseños para un mismo análisis.

  3. Construcción

    (Desarrollo, prueba e integración)

    Establecer un plan de pruebas sistemático y ordenado.

    Decisión del modelo de desarrollo:

    • Paquetes comerciales de aplicaciones.
    • Desarrollo a medida: Innovación y procesos complejos.
    • Subcontratación del desarrollo (outsourcing).

  4. Puesta en Marcha

    (Implantación)

    Pruebas de aceptación y conformidad.

    Estrategia de implantación:

    • Rodaje en paralelo: Sistemas poco críticos.
    • Sistema piloto.
    • Conversión gradual.
    • Reemplazamiento directo (aviación): Sistemas muy críticos, más riesgo.

  5. Mantenimiento

    Su objetivo es hacer que el sistema se mantenga vivo y funcional en todo momento, y permite conocer debilidades del sistema.

Tipos de Mantenimiento

  • Correctivo: Consiste en reparar la avería una vez que se ha producido.
  • Preventivo: Tareas de mantenimiento que tienen como objetivo la reducción de riesgos.
  • Evolutivo: Evolución del software añadiendo mejoras.

Planificación Estratégica de los Sistemas de Información

Deberá ir acompañada de un análisis coste-beneficio y de un análisis de riesgos.

Participantes en el Desarrollo de Sistemas

Personas que intervienen en los proyectos de desarrollo de sistemas:

  • Directivos.
  • Directivos especialistas (Jefes de Proyecto, responsables funcionales).
  • Consultores.
  • Personal técnico y de desarrollo (Analistas, diseñadores y programadores).
  • Usuarios.

Enfoques y Metodologías de Desarrollo

Las metodologías de desarrollo son conjuntos de técnicas, modelos y métodos que permiten planificar y controlar proyectos de creación de sistemas de información y desarrollos de software.

Principios que cumplen:

  • Flexibilidad.
  • Integración.
  • Comunicación.
  • Eficiencia.
  • Auditabilidad.

Enfoque Clásico (Waterfall)

Ciclo de vida en cascada:

Desarrollo de sistemas muy grandes y complejos que no pueden fallar, que requieren mucha formalización y cuyos requerimientos son reconocibles. Los fallos más comunes se detectan al comienzo, mientras que los más graves suelen darse en la fase de implantación, teniendo que volver a iniciar todo el proceso. El problema es que es lento (ejemplos: central nuclear, satélites).

Enfoque Estructurado (Agile)

Basado en prototipos:

Se hace un prototipo inicial con todos los requerimientos pero no todas las funcionalidades, y a partir de ese prototipo, este se va mejorando y perfeccionando.

Es para sistemas con un alto grado de incertidumbre en los requerimientos (ejemplo: redes sociales).

Riesgo: Tentación de finalizar el proceso antes de tiempo.

Metodologías Agile

La metodología Agile tiene como origen una nueva forma de trabajar y organizarse, buscando mayor rapidez y flexibilidad en el desarrollo de proyectos.

Esta metodología:

  • Mejora la calidad.
  • Mayor compromiso.
  • Rapidez.
  • Aumento de la productividad.

Agile se basa en el proceso Scrum. Se aplican de manera regular un conjunto de buenas prácticas para trabajar colaborativamente, en equipo, y obtener el mejor resultado posible de un proyecto. Se realizan entregas parciales y regulares del producto final, priorizadas por el beneficio que aportan al receptor del proyecto.

El núcleo central del proceso Scrum es el sprint, que es un mini proyecto de no más de un mes, cuyo objetivo es conseguir un incremento de valor en el producto a entregar.

Metodología de Gestión del Cambio

Fases

  • Inicialización: Se realiza una definición de las bases del plan con la información recogida sobre el cliente, y con ella se procede a concretar la visión y estrategia a seguir en la gestión del cambio.
  • Definición del modelo: En esta fase se incorpora el feedback que se obtiene del plan de involucración y comunicación al diseño del nuevo modelo de negocio.
  • Absorción del impacto: En esta fase se prepara a los individuos para absorber el impacto que va a suponer la implantación.
  • Difusión: Se evalúa el rendimiento del modelo y los beneficios generados en comparación con los objetivos iniciales.

Formas de Subcontratación (Localización)

  • On-site vs. Off-site: La ejecución del servicio se realiza en casa del cliente o en remoto.
  • Nearshore (ubicación cercana) vs. Offshore (ubicación lejana).

Factores a considerar para decidir ubicación:

  • Interacción con usuarios (idioma).
  • Metodología de desarrollo.
  • Integración de aplicaciones.
  • Objetivo de costes.
  • Necesidad de recursos.
  • Definición de requerimientos.

Ciberseguridad

Origen de los Agujeros de Seguridad

  • Fallos de diseño.
  • Errores de configuración.
  • Carencias de procedimientos.

Objetivos de los Cibercriminales

Los objetivos de los cibercriminales son varios:

  • Obtención de datos bancarios, contraseñas, espionaje industrial, etc.
  • Toma de control del equipamiento para generar otros ataques.
  • Minar criptomonedas.
  • Bloqueo de dispositivos y/o información para la obtención de un rescate.

Consecuencias de los Ataques

Las consecuencias se traducen en:

  • Violación de la intimidad en el caso de usuarios, robo de información en el caso de las corporaciones.
  • Impacto económico y de negocio.
  • Deterioro de la reputación de la organización.

Vulnerabilidad del Usuario y Vectores de Ataque

El usuario es el eslabón más débil. Los ataques se realizan mediante ingeniería social y correo electrónico (Gusanos, Troyanos, Ransomware, etc.):

  • Apertura de un fichero adjunto.
  • Webs que instalan software malicioso.
  • Descarga desde fuentes no oficiales.
  • Dispositivos USB de procedencia no contrastada.
  • Habilitación de macros en programas sin validación de la fuente.

Objetivos de Ataques a Corporaciones

Los ataques a las corporaciones pueden dirigirse hacia:

  • La red privada (ordenadores de los empleados).
  • Su infraestructura (servidores, bases de datos y otros).

Amenazas Avanzadas

Las APT (Advanced Persistent Threats) suponen una de las mayores amenazas, dado que implican la combinación en el tiempo de ataques a empleados de las corporaciones (que son el mayor foco de vulnerabilidad) y a su infraestructura.

Uno de los ataques más empleados contra empresas y corporaciones es el DDOS (Distributed Denial of Service), que se basa en colapsar su infraestructura de tecnología (servidores, comunicaciones) desde varios focos, utilizando recursos de bajo coste (botnets).

Medidas de Seguridad

Las medidas de seguridad se estructuran en 3 capas: lógica, organizativa y física.

  • Capa 1: Seguridad Lógica

    Estas salvaguardas tratan de contrarrestar amenazas como el robo de equipo lógico, robo de datos y de información, etc.

  • Capa 2: Seguridad Organizativa

    Incluye formación de los empleados, normas de seguridad, procedimientos y políticas de seguridad.

  • Capa 3: Seguridad Física

    Estas salvaguardas están relacionadas con la seguridad contra incendios, acceso de personal no autorizado y cualquier otra circunstancia que pudiera interrumpir el servicio.

El responsable de la seguridad de SI recibe el nombre de CISO (Chief Information Security Officer).

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.