Capítulo 11: Administración del conocimiento

Capítulo 11: Administración del conocimiento

     La administración del conocimiento se ha convertido en un asunto primordial en muchas empresas grandes a medida que los gerentes se han percatado de que una parte importante del valor de sus empresas depende de la capacidad de las mismas para crear y administrar el conocimiento.

El panorama de administración del conocimiento

Dimensiones importantes del conocimiento
     Los datos son un flujo de eventos o transacciones captados por los sistemas de una organización que, por sí mismos, tan sólo son útiles para realizar transacciones.

     Para transformar la información en conocimiento se debe invertir recursos adicionales para descubrir patrones, reglas y contextos donde funcione el conocimiento. Por último, se considera que la sabiduría consiste en la experiencia colectiva e individual de aplicar el conocimiento a la solución de problemas. Ésta incluye el dónde, cuándo y cómo aplicar el conocimiento.

     El conocimiento es un atributo tanto individual como colectivo de la empresa. El conocimiento que reside en la mente de los empleados y que no se ha documentado se denomina conocimiento tácito, en tanto que el conocimiento que ya ha sido documentado es el conocimiento explícito.

     Con conocimiento las empresas llegan a ser más eficientes y eficaces en el uso de sus recursos escasos.

Aprendizaje organizacional
     A través de la recopilación de datos, una cuidadosa medición de las actividades planeadas, métodos de prueba y error, y retroalimentación de los clientes y del entorno en general, las organizaciones obtienen experiencia. Las organizaciones que aprenden, ajustan su comportamiento por medio de la creación de nuevos procesos de negocios y cambiando sus patrones de toma de decisiones administrativas. A este proceso de cambio se le llama aprendizaje organizacional. Las organizaciones que pueden percibir y responder rápidamente a sus entornos sobrevivirán por más tiempo.

La cadena de valor de la administración del conocimiento
     La administración del conocimiento se refiere al conjunto de procesos de negocios desarrollado en una organización para crear, almacenar, transferir y aplicar el conocimiento. Esto incrementa la capacidad de la organización para aprender de su entorno y para incorporar el conocimiento en sus procesos de negocios.

     En el caso de la administración del conocimiento, se deben construir valores, estructuras y patrones de comportamiento que ofrezcan apoyo para maximizar el retorno de la inversión en los proyectos de administración del conocimiento.

    Los cinco pasos para agregar valor en la cadena de valor de la administración del conocimiento son:

1. Adquisición del conocimiento: Los primeros sistemas de administración del conocimiento buscaban construir repositorios de documentos, informes, presentaciones y mejores prácticas. Esto se ha ampliado para incluir documentos no estructurados. En otros casos, las organizaciones adquieren conocimiento al desarrollar redes de expertos en línea con el propósito de que en la empresa los empleados “encuentre al experto” que posea el conocimiento.

2. Almacenamiento del conocimiento: implica la creación de una base de datos. Los sistemas expertos ayudan a las corporaciones a preservar el conocimiento adquirido incorporándolo en los procesos y la cultura de la organización.

3. Diseminación del conocimiento: La tecnología contemporánea ha creado una gran cantidad de información y conocimiento. Los programas de capacitación, las redes informales y la experiencia compartida en administración a través de la cultura de apoyo ayudan a los gerentes a enfocar su atención en el conocimiento y la información que son importantes.

4. Aplicación del conocimiento: El conocimiento que no se comparte ni se aplica a los problemas que en la práctica enfrentan las empresas y los gerentes no agrega valor de negocios.

     El conocimiento organizacional debe convertirse en una parte sistemática de la toma de decisiones administrativas e integrarse en los sistemas de apoyo a la toma de decisiones.

Construcción del capital organizacional

     Los gerentes pueden colaborar desarrollando nuevos roles y responsabilidades organizacionales para la adquisición de conocimiento.

     El director del conocimiento es el ejecutivo responsable del programa de administración del conocimiento de la empresa. Éste ayuda a diseñar programas y sistemas para concentrar nuevas fuentes de conocimiento o para usar de mejor manera el conocimiento existente en los procesos organizacionales y administrativos.

     Las comunidades de práctica son redes sociales informales de profesionales y empleados, tanto dentro como fuera de la empresa, que tienen actividades e intereses similares relacionados con el trabajo. Estas pueden facilitar la reutilización del conocimiento al orientar a los miembros de la comunidad hacia documentos útiles, crear repositorios de documentos y filtrar información para los recién ingresados. Los miembros de la comunidad fungen como facilitadores, promoviendo las contribuciones y la discusión. La comunidades pueden reducir la curva de aprendizaje de empleados nuevos al proporcionar contactos con expertos en la materia y acceso a los métodos y herramientas establecidos de una comunidad. Las comunidades pueden ser terreno fértil para la generación de nuevas ideas, técnicas y toma de decisiones.

Tipos de sistemas de administración del conocimiento
Son tres los principales tipos de sistemas de administración del conocimiento:

Sistemas de administración del conocimiento a nivel empresarial

     Estos sistemas incluyen capacidades para almacenar datos estructurados y no estructurados; herramientas para localizar empleados expertos dentro de la empresa, y capacidades para obtener datos e información de sistemas de transacciones clave, como aplicaciones empresariales, y de sitio Web. Incluyen tecnologías de apoyo como portales, motores de búsqueda y herramientas de colaboración para ayudar a los empleados a buscar en la base del conocimiento corporativa, comunicarse y colaborar con otros tanto dentro como fuera de la empresa, y aplicar el conocimiento almacenado a nuevas situaciones.

Veamos cada uno de los tres subsistemas
• Sistema de conocimiento estructurado: el principal problema al manejar el conocimiento estructurado es crear un esquema de clasificación adecuado para organizar la información en categorías significativas, en una base de datos del conocimiento que sea más fácil el acceso para los empleados. Luego cada documento tiene que etiquetarse para que los motores de búsqueda lo puedan recuperar y se mejore la calidad de los resultados de búsqueda. Estos sistemas realizan la función de implementar el etiquetado, estableciendo una interfaz con las bases de datos corporativas donde se almacenan los documentos y creando un entorno de portal empresarial para que lo utilicen los empleados cuando busquen conocimiento corporativo.

• Sistema de conocimiento semiestructurado: la información semiestructurada consta de toda la información digital de una empresa que no se encuentra como documento formal o informe formal. Las empresas cada vez están más obligadas a administrar y dar seguimiento a este contenido para cumplir con la ley Sarbanes-Oxley y con otras legislaciones gubernamentales, y a administrar sus activos de información de una manera más eficiente.

• Sistemas de redes de conocimiento: solucionan el problema que se presenta cuando el conocimiento apropiado es conocimiento tácito que reside en la memoria de individuos expertos de la empresa. Los sistemas de redes de conocimiento ofrecen un directorio en línea de expertos corporativos en dominios del conocimiento bien definidos y utilizan tecnologías de comunicaciones para facilitar que los empleados encuentren el experto apropiado en una empresa. Algunos sistemas van más allá, sistematizando las soluciones desarrolladas por los expertos y las almacenan en una base de datos de conocimiento en forma de repositorios de mejores prácticas o de preguntas más frecuentes.

Sistemas de trabajo del conocimiento

     Las empresas también cuentan con sistemas especializados para ayudar a los trabajadores del conocimiento a crear nuevo conocimiento y para garantizar que este conocimiento se integre apropiadamente en el negocio.

     Los trabajadores del conocimiento abarcan a los investigadores, diseñadores, arquitectos, científicos e ingenieros que emplean principalmente conocimiento e información para la organización. Desempeñan tres roles que son críticos para la organización y para los gerentes de la misma:

♣ Mantienen actualizado el conocimiento de la organización a medida que éste se desarrolla en el mundo externo.

♣ Fungen como consultores internos en las áreas de su conocimiento, en los cambios que se susciten y en las oportunidades que se presenten.

♣ Actúan como agentes de cambio, evaluando, iniciando y promoviendo proyectos de cambio.

Técnicas inteligentes

      Los sistemas expertos, el razonamiento basado en casos y la lógica difusa se utilizan para captar el conocimiento tácito. Las redes neuronales y la minería de datos se emplean para el descubrimiento del conocimiento. Estas técnicas pueden descubrir patrones, categorías y comportamientos subyacentes en grandes conjuntos de datos que los gerentes por sí solos no podrían descubrir ni a través de la simple experiencia. Los algoritmos genéticos se utilizan para generar soluciones a problemas demasiado grandes y complejos para que los individuos los analicen en forma personal. Los agentes inteligentes pueden automatizar tareas de rutina para ayudar a las empresas a buscar y filtrar información útil para el comercio electrónico, la administración de la cadena de suministro y otras actividades.

♣Sistemas expertos: son una técnica inteligente para captar el conocimiento tácito de un dominio muy específico y limitado del conocimiento práctico humano. Estos sistemas captan el conocimiento de empleados habilidosos en forma de un conjunto de reglas en un sistema de software que pueda ser utilizado por otros miembros de la organización. El conjunto de reglas del sistema experto se agrega a la memoria o aprendizaje almacenado, de la empresa.

     La estrategia utilizada para realizar búsquedas a través de la base del conocimiento se llama motor de inferencia. Por lo común se utilizan dos estrategias:

a. Encadenamiento hacia adelante: el motor de inferencia inicia con la información introducida por el usuario y busca en la base del conocimiento para llegar a una conclusión. La estrategia es encender, la acción de la regla cuando una condición es verdadera.

b. Encadenamiento hacia atrás: la estrategia para buscar en la base del conocimiento inicia con una hipótesis y prosigue haciendo preguntas al usuario sobre hechos seleccionados hasta que se apruebe o desapruebe la hipótesis.

     Los sistemas expertos proporcionan a las organizaciones diversos beneficios, como mejora en la toma de decisiones, errores reducidos, tiempo de capacitación reducido y altos niveles de calidad y servicio.

Redes neuronales
     Las redes neuronales se utilizan para resolver problemas complejos, deficientemente comprendidos, de los cuales se ha recopilado una gran cantidad de datos. Estas redes encuentran patrones y relaciones en vastas concentraciones de datos. Las redes neuronales descubren este conocimiento por medio de hardware y software que imitan los patrones de procesamiento del cerebro humano. Las redes neuronales “aprenden” patrones a partir de grandes cantidades de datos, filtrando los datos en busca de relaciones, construyendo modelos y corrigiendo una y otra vez los errores del modelo.

     Los diseñadores de redes neuronales buscan poner inteligencia dentro del hardware en forma de una capacidad generalizada para aprender.

Algoritmos genéticos
     Los algoritmos genéticos son útiles para encontrar la mejor solución a un problema específico a través del análisis de una gran cantidad de soluciones posibles para ese problema.

     Una cantidad de problemas de negocios requieren optimización. Si estas situaciones son muy dinámicas y complejas, e implican a cientos o miles de variables o fórmulas, los algoritmos genéticos pueden agilizar la solución porque pueden evaluar rápidamente grandes volúmenes y diferentes alternativas de solución para encontrar la mejor.

Sistemas híbridos
     Los algoritmos genéticos, la lógica difusa, las redes neuronales y los sistemas expertos se pueden integrar en una única aplicación para aprovechar las mejores características de estas tecnologías. A dichos sistemas se les llama sistemas híbridos.

Agentes inteligentes
     Los agentes inteligentes son programas de software que trabajan en segundo plano sin intervención directa de personas para realizar tareas específicas, repetitivas y predecibles, para un usuario individual, un proceso de negocios o una aplicación de software. El agente usa una base del conocimiento integrada o aprendida para cumplir tareas o tomar decisiones en beneficio del usuario, como para borrar correo electrónico basura, programar citas o viajar a través de redes interconectadas para encontrar la tarifa aérea más barata.

     Por ejemplo, los asistentes incorporados en las herramientas de software de Office tienen capacidades integradas para mostrar al usuario la manera de realizar diversas tareas.

     Se han desarrollado aplicaciones de modelado basado en agentes para modelar el comportamiento de consumidores, mercados accionarios y cadenas de suministro, así como para pronosticar la propagación de epidemias.

Cap 9 Obtención de la excelencia Operacional e intimidad con el cliente: aplicaciones empresariales

Capítulo 9: Obtención de la excelencia Operacional e intimidad con el cliente: aplicaciones empresariales

¿Qué son los sistemas empresariales?

El sistema de planificación de recursos empresariales (ERP), que se basan en una suite de sistema de módulos de software integrados y una base de datos central común.

Los sistemas empresariales cuentan con un conjunto de módulos de software integrados y una base de datos central que permite compartir datos entre muchos procesos de negocios y áreas funcionales diferentes en toda la empresa.

Software empresarial

El software empresarial se basa en los miles de procesos de negocios predefinidos que reflejan las mejores prácticas.

Los principales distribuidores de software empresarial son SAP, Oracle (con su adquisición de PeopleSoft), Infor Global Solutions y Microsoft.

Sistemas de administración de la cadena de suministro

La cadena de suministro de una firma es una red de organizaciones y procesos de negocios para adquirir materias primas, transformar estos materiales en productos intermedios y terminados y distribuir los productos terminados a los clientes.

La porción ascendente de la cadena de suministro está conformada por los proveedores de la compañía, los proveedores de esos proveedores y los procesos para administrar las relaciones con ellos. La porción descendente consiste en las organizaciones y procesos para distribuir y ofrecer productos a los clientes finales.

Sistemas de información y administración de la cadena de suministro

Las ineficiencias en la cadena de suministro, como la escasez de piezas, la capacidad sin utilizar de las plantas, el inventario en exceso de productos terminados o los costos elevados de transporte, se deben a una información imprecisa o inoportuna.

La reserva de seguridad actúa como un almacén de reserva para compensar la falta de flexibilidad en la cadena de suministro. Un problema recurrente en la administración de la cadena de suministro es el efecto látigo, en donde la información sobre la demanda de un producto se distorsiona a medida que pasa de una entidad a la otra en la cadena de suministro.

Software de administración de la cadena de suministro

El software de la cadena de suministro se clasifica como software para ayudar a las empresas a planear sus cadenas de suministro (planificación de la cadena de suministro) o como software para ayudarles a ejecutar los pasos de la cadena de suministro (ejecución de la cadena de suministro). Los sistemas de planificación de la cadena de suministro permiten a la firma modelar su cadena de suministro existente, generar pronósticos de la demanda de los productos y desarrollar planes óptimos de abastecimiento y fabricación.

El software de planificación de la cadena de suministro se encarga de hacer los ajustes necesarios a los planes de producción y distribución. La planificación de la demanda, la cual determina la cantidad de producto que necesita fabricar una empresa para satisfacer todas las demandas de sus clientes.

Los sistemas de ejecución de la cadena de suministro administran el flujo de productos por medio de los cuentos de distribución y almacenes para asegurar que los productos se entreguen en las ubicaciones correctas y en la forma más eficiente.

Cadenas de suministro globales e internet

Las cadenas de suministro globales abarcan distancias geográficas y diferencias de tiempo mayores que las cadenas de suministro nacionales, además de tener participantes de varios países distintos.

Internet ayuda a las compañías a administrar muchos aspectos de sus cadenas de suministro globales, como lo son: el abastecimiento, el transporte, las comunicaciones y las finanzas internacionales.

Cadenas de suministro orientadas a la demanda: de la manufactura de inserción (push) a la extracción (pull) y la respuesta eficiente a los clientes

Un modelo basado en inserción (push), los programas maestros de producción se basa en pronósticos o en las mejores suposiciones de la demanda de los productos, los cuales se ofrecen a los clientes sin que éstos los soliciten.

Un modelo basado en extracción (pull), también conocido como modelo orientado a la demanda o de fabricación bajo pedido (build-to-order), los pedidos o las compras reales de los clientes desencadenan eventos en la cadena de suministro.

Sistemas de administración de relaciones con el cliente

¿Qué es la administración de relaciones con el cliente?

Los sistemas de administración de relaciones con el cliente (CRM) capturan e integran los datos de los clientes de todas partes de la organización, los consolidan, los analizan y después distribuyen los resultados a varios sistemas y puntos de contacto con los clientes en toda la empresa.

Un punto de contacto es un método de interacción con el cliente, como el teléfono o correo electrónico.

Los sistemas CRM examinan a los clientes desde una perspectiva multifacética. Estos sistemas usan un conjunto de aplicaciones integradas para lidiar con todos los aspectos de la relación con el cliente, que implica servicio al cliente, ventas y marketing.

Software de administración de relaciones con el cliente

Los paquetes CRM más completos contienen módulos para la administración de relaciones con los socios (PRM) y la administración de relaciones con los empleados (ERM)

La PRM utiliza muchos de los mismos datos, herramientas y sistemas que la administración de las relaciones con el cliente para mejorar la colaboración entre una compañía y sus socios de ventas.

El software ERM se encarga de los aspectos de los empleados que están muy relacionados con el software CRM, como el establecimiento de objetivos, la administración de desempeño de los empleados, la compensación basada en el desempeño y la capacitación de los empleados.

Los sistemas de administración de relaciones con el cliente ofrecen software y herramientas en línea para ventas, servicio al cliente marketing.

Automatización de la fuerza de ventas (SFA)

Los módulos de automatización de la fuerza de ventas en los sistemas CRM ayudan al personal de ventas a incrementar su productividad, al enfocar los esfuerzos de ventas en los clientes más rentables, aquellos que son buenos candidatos para ventas y servicios.

Servicio al cliente

Los módulos de servicio al cliente en los sistemas CRM proveen información y herramientas para incrementar la eficiencia de los centros de llamadas, los departamentos de soporte técnico y el personal de soporte al cliente.

Marketing

Para soportar las campañas de marketing directo, los sistemas CRM cuentan con herramientas para capturar los datos de prospectos y clientes, para proveer información de productos y servicios, para clasificar las iniciativas para el marketing dirigido y para programar y rastrear los correos de marketing directo o el correo electrónico.

La venta cruzada es la comercialización de productos complementarios para los clientes. Las herramientas CRM también ayudan a las firmas a administrar y ejecutar las campañas de marketing en todas las etapas, desde la planificación hasta la determinación de la tasa de éxito para cada campaña.

CRM operacional y analítico

El CRM operacional integra las aplicaciones que interactúan de manera directa con el cliente, como las herramientas para la automatización de la fuerza de ventas. El CRM analítico tiene aplicaciones que analizan los datos de los clientes generados por las aplicaciones CRM operacionales, para proveer información que ayude a mejorar el desempeño de la empresa.

Otro resultado importante de CRM analítico es el valor del tiempo de vida del cliente (CLTV), el cual se basa en la relación entre los ingresos producidos por un cliente específico, los gastos incurridos en adquirir y dar servicio a ese cliente y la vida esperada de la relación entre el cliente y la compañía.

Valor de negocios de los sistemas de administración de relaciones con el cliente

Las compañías con sistemas de administración de relaciones con el cliente logran muchos beneficios, como aumentar la satisfacción de los clientes, reducir los costos de marketing directo, un marketing más efectivo y menos costos en cuanto a la adquisición y retención de los clientes.

La tasa de cancelación mide la cantidad de clientes que dejan de usar o comprar productos o servicios de una compañía. Es un indicador importante del crecimiento o la reducción de la base de clientes de una firma.

Plataformas de servicio

Otra manera de extender las aplicaciones empresariales es utilizarlas en la creación de plataformas de servicio para procesos de negocios nuevos o mejorados que integren la información proveniente de varias áreas funcionales. Una plataforma de servicio integra varias aplicaciones provenientes de diversas funciones unidades o socios de negocios para ofrecer una experiencia uniforme al cliente, empleado, gerente o socio de negocios.

Aplicaciones Empresariales: Nuevas Oportunidades Y Retos
Las aplicaciones empresariales involucran piezas complejas de software cuya adquisición e implementación son muy costosas. El costo total de la implementación de un sistema grande, podría exceder 4 o 5 veces el precio inicial de la compra del software.

Las aplicaciones empresariales requieren cambios fundamentales en la manera en que funciona el negocio. Los empleados deben aceptar nuevas funciones y responsabilidades en sus puestos. Deben aprender cómo realizar un nuevo conjunto de actividades laborales y comprender la manera en que la información que ingresan al sistema puede afectar otras partes de la empresa. Esto requiere un nuevo aprendizaje organizacional.

Los sistemas de administración de la cadena de suministro requieren que múltiples organizaciones compartan información y procesos de negocios.

En conclusión, se necesita mucho trabajo para hacer que las aplicaciones empresariales funcionen de manera apropiada. Todos los integrantes de la organización deben participar.

Expansión del software empresarial
En la actualidad, muchas empresas experimentadas están buscando formas de obtener más valor de sus aplicaciones empresariales. Una forma es hacerlas más flexibles, habilitadas para la Web y capaces de integrarse con otros sistemas.

Plataforma de servicio
Otra forma de reforzar las inversiones en aplicaciones empresariales es utilizarlas para crear plataformas de servicio para procesos de negocios nuevos o mejorados que integren la información procedente de múltiples áreas funcionales. Una plataforma de servicio integra una gran variedad de aplicaciones de múltiples funciones de negocios, unidades de negocios o socios de negocios para ofrecer una experiencia uniforme del cliente, empleado, gerente o socio de negocios.

Los fabricantes de aplicaciones empresariales proporcionan middleware y herramientas que utilizan XML y servicios Web para integrar sus aplicaciones empresariales con las aplicaciones y los sistemas heredados y más viejos de otros fabricantes.

Estos nuevos servicios serán entregados cada vez más a través de portales. Los productos para portales actuales ofrecen estructuras para construir nuevos servicios compuestos. El software para portales puede integrar información de aplicaciones empresariales y de diferentes sistemas heredados hechos de manera interna, y presentarla a los usuarios por medio de una interfaz Web para que se vea como sí proviniera de una sola fuente.

Cap 8 Seguridad en los sistemas de información

Capítulo 8: Seguridad en los sistemas de información

Vulnerabilidad y abuso de los sistemas

Los sistemas de información concentran los datos en archivos de computadoras a los que podrían tener fácil acceso un gran número de personas y grupos externos a la organización. Por ello, los datos automatizados son más susceptibles a destrucción, fraude, error y abuso. Cuando los sistemas de computación fallan o no funciona como es debido, las compañías que dependen mucho de ellos experimentan una perdida grave de su capacidad para operar.

Las amenazas pueden derivarse de factores técnicos, organizacionales y del entorno combinados con decisiones administrativas deficientes. En el entorno de computación cliente/servidor multicapa existen vulnerabilidades en cada capa y en las comunicaciones que tienen lugar entre las capas. Los usuarios en la capa del cliente pueden causar daño al introducir errores, acceder al sistema sin autorización, o descargar spyware y virus sin darse cuenta.

Sin fuertes medidas de seguridad, los datos valiosos se pueden perder o destruir, o caer en manos equivocadas y revelar secretos comerciales importantes oinformación que viole la privacidad personal.

Vulnerabilidades de internet
Es más vulnerable que las redes internas porque están abiertas a todo el mundo. Cuando las redes corporativas se enlazan a internet, los sistemas de información son vulnerables a ataques de extraños.

La mayor parte del tráfico de voz sobre IP en internet no está encriptado, por lo que los hackers pueden escuchar potencialmente las conversaciones en un gran número de puntos desde el modem de la red de área local (LAN) hasta los servidores vecinos.

El correo electrónico podría contener archivos adjuntos que sirven como trampolín para el software malicioso o acceso no autorizado a los sistemas corporativos internos.

Desafíos de seguridad de inalámbrica
No es seguro conectarse a una red de puntos activos Wi-Fi, porque estas redes están abiertas y no aseguradas, lo que significa que cualquiera puede acceder a ellas, y la comunicación entre su computadora portátil y el servidor inalámbrico no está encriptado.

La tecnología de trasmisión Wi-Fi fue diseñada para facilitar que las estaciones se encontraran y escucharan entre sí. Los identificadores de conjuntos de servicios (SSIDs) que identifican los puntos de acceso en una red Wi-Fi se difunden múltiples veces y pueden ser detectados con mucha facilidad por los programas husmeadores de los intrusos. Guerra móvil es aquello donde los espías conducen cerca de los edificios e intentan interceptar el tráfico de una red inalámbrica.

WEP Privacidad Equivalente Alámbrica básica requiere que un punto de acceso y todos sus usuarios compartan la misma contraseña encriptado de 40 bits, la cual puede ser fácilmente descifrada por los hackers a partir de una pequeña cantidad de tráfico.

Software malicioso
Los programas de software malicioso se conocen como malware e incluyen una diversidad e amenazas como virus de computación, gusanos y troyanos.

            Virus de computadora es un programa de software malintencionado al que se adjunta a sí mismo a otros programas de software o archivos de datos con el propósito de ejecutarse, sin conocimiento o permiso del usuario. La mayoría de los virus trasmiten una carga útil, que podría ser benigna o sumamente destructiva. Por lo general, los virus se esparcen de pc a pc cuando los usuarios realizan una acción.

            Gusanos son programas de computadora independientes que se copian a si mismos de una computadora a otras de una red. Funcionan por si mismos sin adjuntarse a otros archivos de programas de computadora y dependen menos de los actos humanos para esparcirse. Estos destruyen datos y programas, así como alteran o incluso detienen el funcionamiento de las redes de computadoras.

            Caballo de Troya es un programa de software que aparenta ser benigno pero que hace algo distinto a lo esperado. Constituye una manera para que los virus y otro código malicioso sean introducidos en un sistema de cómputo.

Algunos tipos de spyware actúan como software malicioso. Estos programas se instalan subrepticiamente a si mismos en las computadoras para vigilar las actividades de navegación del usuario en la web y presentar publicidad.

            Registradores de claves registran cada tecleo ingresado en una computadora para robar números seriales de software, para lanzar ataques por internet. Otros programas de spyware cambian las páginas de inicio del navegador web, redirigen las solicitudes de búsqueda o disminuyen el desempeño de la computadora al apoderarse de mucha memoria.

Hackers y los delitos computacionales
Hacker es la persona que accede sin autorización a una red de computadoras, para lucrar, causar danos, o por placer personal.

Cracker es un hacker con intenciones criminales.
Cibervandalismo es la alteración intencional, destrozo o incluso la destrucción de un sitio Web o un sistema de información corporativo.
Spoofing puede involucrar la redirección de un enlace web a una dirección diferente de la que se pretende, con el sitio camuflado como la dirección pretendida y así poder recopilar y procesar pedidos, robando información empresarial así como información delicada de los clientes del sitio verdadero.

Sniffing es un tipo de programa que vigila la información que viaja a través de una red. Cuando se utilizan de manera legal, los sniffer ayudan a identificar puntos potencialmente problemáticos en la red o actividades delictivas en las redes, pero cuando se emplean con propósitos criminales, pueden ser perjudiciales y muy difíciles de detectar.

Ataques de negación de servicios (Denial of Service) los hacker inundan un servidor de red o de Web con muchos miles de comunicaciones o solicitudes de servicios falsas para que la red deje de funcionar. La red recibe tantas consultas que no pueden atenderlas todas y en consecuencia queda fuera de servicio para atender las solicitudes legitimas. Ocasionan que sobresature un sitio web imposibilitando a los usuarios legítimos el acceso.

Delito informático y ciberterrorismo
La mayor parte de las actividades de un hacker son delitos penales, y las vulnerabilidades de los sistemas los convierten en objetivos de otros tipos de delitos informáticos. Un delito informático es cualquier violación al código penal que involucre un conocimiento de tecnología de cómputo para su perpetración, investigación o prosecución.

Robo de identidad: es un delito en el cual el impostor obtiene fracciones de información personal clave, como N° de tarjetas de crédito, con el propósito de hacerse pasar por alguien más.

Phishing implica el establecimiento de sitios web falso o el envío de mensajes de correo electrónico semejantes a los de las empresas auténticas para solicitar a los usuarios datos personales confidenciales. El mensaje de correo electrónico da instrucciones a los receptores para que actualicen o confirmen registros suministrando N° “claves”, ya sea respondiendo al mensaje de correo electrónico, ingresando la información en un sitio web falso o llamando a un N° telefónico.

Fraude del clic ocurre cuando un individuo o un programa de computadora hacen clic de manera fraudulenta en un anuncio en línea sin la intención de conocer más sobre el anunciante o de realizar una compra.

Ciberterrorismo y ciberarmamento Las vulnerabilidades de internet y de otras redes pueden ser aprovechadas por terroristas, servicios de inteligencia extranjeros u otros grupos para crear disturbios y danos generalizados. Se cree que algunos países están desarrollando capacidades de ciberarmamento ofensivo y defensivo.

Amenazas internas: Los empleados

Los empleados de una empresa plantean serios problemas deseguridad, dado que tienen acceso a información privilegiada, y si existen procedimientos de seguridad ineficientes, pueden tener la oportunidad de escudriñar en todos los sistemas de la organización sin dejar huellas

Por lo general, el software comercial contiene defectos que no solo producen vulnerabilidades de desempeño sino de seguridad que dan acceso a las redes para los intrusos. Estas vulnerabilidades dan al malware la oportunidad de superar las defensas de los antivirus.

Para corregir los defectos del software una vez que se han identificados, el fabricante del software crea pequeñas piezas de software conocidas como parches para reparar los defectos sin alterar el funcionamiento adecuado del software.

A los usuarios les toca detectar estas vulnerabilidades, probarlas y aplicar todos los parches.
Valor del negocio en relación con la seguridad y el control
Las empresas tienen activos de información muy valiosos que deben proteger. Si estos se perdieran, destruyeran o cayeran en manos equivocadas podrían tener repercusiones devastadoras.

La seguridad y control inadecuados también pueden dar lugar a serios problemas de responsabilidad legal. Las empresas deben proteger no solo sus propios activos de información, sino también los de sus clientes, empleados, socios de negocios. En caso contrario, la empresa podría verse involucrada en costosos litigios por exposición o robo de datos. En consecuencia, una sólida estructura de seguridad y control que proteja los activos de información del negocio pueden generar un alto rendimiento de la inversión.

Requerimientos legales y regulatorios para la administración deregistros electrónicos

La administración de registros electrónicos consta de políticas, procedimientos y herramientas para manejar la conservación, destrucción y almacenamiento de registros electrónicos.

Puesto que los sistemas de información se utilizan para generar, almacenar y transportar este tipo de datos, la legislación obliga a las empresas a que consideren la seguridad de los sistemas de información y otros controles necesarios para garantizar la integridad, confidencialidad y exactitud de sus datos. Cada una de las aplicaciones de sistemas que maneje datos críticos para la elaboración de informes financieros requiere controles para proteger la red corporativa, prevenir el acceso no autorizado a los sistemas y los datos, y garantizar la integridad y disponibilidad de los datos en el caso de un desastre o de otra interrupción del servicio.

Evidencia electrónica y análisis forense de sistemas
La seguridad, el control y la administración de registros electrónicos se han vuelto esenciales para responder en situaciones legales. En la actualidad, los juicios se apoyan cada vez más, en información de páginas impresas o escritas a máquina, en pruebas en forma de datos digitales almacenados en discos flexibles, CDs y discos duros de computadoras, así como en correo electrónico, mensajes instantáneos y transacciones de comercio electrónico a través de Internet.

El cómputo forense consiste en la recopilación, examen, autenticación, preservación y análisis de los datos contenidos o recuperados de los medios de almacenamiento de una computadora en forma tal que la información se pueda utilizar como prueba en un tribunal de justicia, como:

Recuperación de datos de las computadoras, conservando la integridad de la prueba.
Almacenar y manejar de manera segura los datos electrónicos recuperados.
Encontrar información significativa en grandes volúmenes de datos electrónicos Presentar la información a un tribunal de justicia

Controles de los Sistemas de Información

La protección de los recursos de información requiere una sólida política de seguridad y un conjunto de controles. ISO 17799 proporciona lineamientos útiles. Especifica mejores prácticas en seguridad y control de sistemas de información, incluyendo política de seguridad, planeación de continuidad del negocio, seguridad física, control de acceso, conformidad y creación de una función de seguridad dentro de la organización.

Evaluación del riesgo
Determina el nivel de peligro para la empresa si una actividad o un proceso no están debidamente controlados. Se pueden determinar el valor de los activos de información, los puntos de vulnerabilidad, la frecuencia probable de un problema y los daños potenciales.

Una vez que se han evaluado los riesgos, los desarrolladores de sistemas se concentraran en los puntos de control que tengan la mayor vulnerabilidad y potencial de pérdidas. En este caso, los controles deben enfocarse en buscar normas de minimizar el riesgo de fallas de energía y errores del usuario.

Política de seguridad
Consta de enunciados que clasifican los riesgos de seguridad, identifican los objetivos de seguridad aceptables y determinan los mecanismos para alcanzar estos objetivos. La administración debe calcular cuánto costara alcanzar este nivel de riesgo aceptable.

En empresas grandes el grupo de seguridad instruye y capacita a los usuarios, mantiene la administración al tanto de las amenazas y fallas de seguridad, y da mantenimiento a las herramientas elegidas para implementar la seguridad. El director de seguridad es el responsable de aplicar la política de seguridad. Las políticas de autorización determinan diferentes niveles de acceso a los activos de información para los distintos niveles de usuarios.

Planificación de Recuperación de desastres y planificación de la continuidad de los negocios
Aseguramiento de la continuidad del negocio
En el proceso de transacciones en línea, la computadora procesa inmediatamente las transacciones que se ingresen en línea. A cada instante se realizan enormes cantidades de cambios a bases de datos, elaboración de informes y solicitudes de información.

Las computadoras tolerantes a fallas utilizan rutinas de software especiales o lógica de auto verificación integrada en su sistema de circuitos para detectar fallas de hardware y cambiar automáticamente a un dispositivo de respaldo. Algunas partes de esas computadoras se pueden quitar y reparar sin interrumpir el funcionamiento del sistema de cómputo.

La computación de alta disponibilidad requiere servidores de respaldo, distribución del procesamiento entre múltiples servidores, almacenamiento de alta capacidad y buenos planes para la recuperación de desastres y para la continuidad del negocio. La plataforma de cómputo de la empresa debe ser sumamente robusta, con potencia de procesamiento, almacenamiento y ancho de banda escalables.

Planeación para la recuperación de desastres y la continuidad del negocio
Concibe planes para la restauración de los servicios de cómputo y comunicaciones después de que han sido interrumpidos por algún suceso. Estos planes se enfocan en los aspectos técnicos involucrados en mantener los sistemas en funcionamiento, como cuales archivos se deben respaldar, y en el mantenimiento de los sistemas de cómputo de respaldo o los servicios de recuperación de desastres.

Subcontratación de seguridad muchas empresas pueden subcontratar una variedad de funciones de seguridad a proveedores de servicios de seguridad administrados que vigilan la actividad de la red y realizan pruebas de vulnerabilidad y detección de intrusiones.

La Función de la auditoría

Una auditoria de MIS examina el entorno de seguridad general de la empresa así como los controles que rigen los sistemas de información individuales. El auditor debe rastrear el flujo de transacciones de muestra a través del sistema y realizar pruebas, utilizando, si es necesario, software de auditoria automatizado.

Las auditorias de seguridad revisan tecnologías, procedimientos, documentación, capacitación y personal. Una auditoria completa simulara incluso un ataque o un desastre para probar la respuesta de la tecnología, el personal de sistemas de información y los empleados de la empresa.

La auditoría enlista y clasifica todas las debilidades de control y calcula la probabilidad de que sucedan, luego evalúa el impacto financiero y organizacional de cada amenaza. Para finalizar, notificando tales debilidades a la administración para que esta de una respuesta, a través de un plan para contrarrestar las debilidades significativas de los controles.

Tecnologías y herramientas para proteger los recursos de la información

La seguridad Control de acceso consiste en todas las políticas y procedimientos de que se vale una empresa para prevenir el acceso inapropiado a los sistemas por parte de los usuarios internos y externos no autorizados. Para tener acceso un usuario debe estar autorizado y autenticado. La autenticación se refiere a la capacidad de saber que una persona es quien afirma ser.

Un firewalls es una combinación de hardware y software que controla el flujo del tráfico que entra y sale de una red. Por lo general, se coloca entre las redes internas privadas de una organización y las redes externas poco confiables, como internet, aunque los firewalls se pueden utilizar para proteger una parte de la red de una empresa del resto de la red

Los firewalls no impiden completamente la penetración de la red por parte de los usuarios externos y se deben considerar como un elemento de un plan de seguridad global.

Sistema de detección de intrusiones contienen herramientas de vigilancia de tiempo completo que se colocan en los puntos más vulnerables de las redes corporativas para detectar y disuadir a los intrusos. El sistema genera una alarma si encuentra un suceso sospechoso o anómalo.

Cifrado e Infraestructura de clave pública

La encriptación es el proceso de transformar textos o datos comunes en texto cifrado que no puede ser leído por nadie más que por el emisor y el receptor al que va destinado.

El Protocolo de Capa de Conexión Segura (SSL) y Seguridad de la Capa de Transporte (TLS) permiten a las computadoras cliente y servidor manejar las actividades de encriptación y des encriptación a medida que se comunican entre si durante una sesión segura en la Web.

El Protocolo de Transferencia de Hipertexto (S-HTTP) es un protocolo que se utiliza para encriptar los datos que fluyen a través de internet, pero está limitado a mensajes individuales, en tanto que SSL y TLS están diseñados para establecer una conexión segura entre dos computadoras.

Existen dos modos de encriptación alternativos: la encriptación de clave simétrica, donde el emisor y el receptor establecen una sesión segura en internet por medio de la creación de una sola clave de encriptación, que se envía al receptor de tal manera que tanto el emisor como el receptor compartan la misma clave.

La encriptación de clave pública utiliza dos claves: una compartida y otra privada. Las claves están matemáticamente relacionadas, de tal forma que los datos encriptados con una clave solo se pueden des encriptar con la otra clave. Para enviar y recibir mensajes, los comunicadores primero crean pares separados de claves privadas y públicas. La clave pública se conserva en un directorio y la clave privada debe mantenerse en secreto. El emisor encripta un mensaje con la clave pública del receptor. Al recibir el mensaje, el receptor utiliza su clave privada para des encriptarlo.

Las firmas digitales y los certificados apoyan la autenticación. Una firma digital es un mensaje encriptado que solo el emisor puede crear con su clave privada. Se emplea para verificar el origen y el contenido de un mensaje.

El sistema de certificación digital podría permitir, que un usuario de tarjeta de crédito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos.

Aspectos de seguridad para la computación en la nube y la plataforma digital móvil

Seguridad en la nube, la responsabilidad de seguridad recae en la empresa que posee los datos.

La política de seguridad de las compañías debe incluir los dispositivos móviles.