ali asociacion de ingenieros e ingenieros tecnicos en...

ALI® ASOCIACION DE INGENIEROS E INGENIEROS TECNICOS EN INFORMATICA • Nº 43 • 2008

ALI

04 cubierta 43 v4.qxd:cubierta 2006 -41 6/6/08 09:07 Página 2

director iohttp: / /www.al i .es

SECRETARÍA TÉCNICAMayor 4, 6° • 28013 Madrid • Tel.: 91 523 86 20 - Fax: 91 523 86 21

Correo electrónico: [email protected]

DELEGACIONES

COLEGIOS OFICIALESColegio Oficial de Ingenieros en Informática de la Región de Murcia www.cii-murcia.esColegio Oficial de Ingenieros en Informática de la Comunidad Valenciana www.coiicv.orgColegio Oficial de Ingenieros en Informática del País Vasco www.coiie.orgColegio Oficial de Ingeniería en Informática de Cataluña www.coeic.orgColegio Oficial de Ingeniería Técnica en Informática de Cataluña www,coetic.orgColegio Oficial de Ingenieros en Informática del Principado de Asturias www.coiipa.orgColegio Oficial de Ingenieros Técnicos en Informática del Principado de Asturias www.citipa.orgColegio Oficial de Ingenieros Técnicos en Informática de Castilla – La Mancha www.coiticlm.orgColegio Oficial de Ingenieros en Informática de Castilla – La Mancha www.coiiclm.orgColegio Profesional de Ingenieros en Informática de Castilla Y León www.cpiicyl.orgColegio Oficial de Ingenieros en Informática de las Islas Baleares www.coeiib.orgColegio Oficial de Ingenieros Técnicos en Informática de las Islas Baleares www.coetiib.orgColegio Profesional de Ingenieros en Informática de Andalucía www.cpiia.orgColegio Profesional de Ingenieros Técnicos en Informática de Andalucía www.cpitia.orgColegio Oficial de Ingenieros Técnicos en Informática de la Comunidad Valenciana www.coiticv.orgColegio Profesional de Ingenieros Técnicos en Informática de CanariasColegio Profesional de Ingenieros en Informática de Extremadura www.cpiiex.esColegio Oficial de Ingenieros en Informática de Galicia www.cpeig.orgColegio Oficial de Ingenieros Técnicos en Informática de Galicia www.cpetig.org

AndalucíaCorreo electrónico: [email protected]ónCorreo electrónico: [email protected] electrónico: [email protected] electrónico: [email protected] electrónico: [email protected] electrónico: [email protected] – La ManchaCorreo electrónico: [email protected] LeónCorreo electrónico: [email protected]ñaCorreo electrónico: [email protected]

ExtremaduraCorreo electrónico: [email protected] electrónico: [email protected] electrónico: [email protected] RiojaCorreo electrónico: [email protected] electrónico: [email protected] electrónico: [email protected]ís VascoCorreo electrónico: [email protected] electrónico: [email protected]


ed

ito

ria

lActividades, competencias y atribuciones profesionales

En este momento actual con la próxima implantación del Espacio Europeo de Enseñanza Superior (EEES), dondeaparecen frecuentemente los conceptos de actividad, competencia y atribución profesional, es nuestra intenciónintentar clarificar los citados conceptos para que podamos entender su diferenciación.

Actividad. Conjunto de operaciones o tareas que son ejecutadas por una persona como par te de una funciónasignada.

Entre las actividades profesionales propias de los ingenieros e ingenieros técnicos en informática podríamos des-tacar dirección del departamento de informática, dirección de desarrollo, organización de proyectos informáticos,optimización de métodos, concepción de proyectos y aplicaciones para su posterior análisis y ejecución, arquitectura,análisis y diseño de sistemas informáticos, técnica de sistemas, consultoría técnica, auditoria informática, peritaciones,investigación, formación, docencia, etc.

Competencia. Conjunto de conocimientos, habilidades, disposiciones y conductas que posee una persona,que le permiten la realización exitosa de una actividad. Es decir, hace que la persona sea competente para realizarun trabajo o una actividad y tener éxito en la misma.

Las competencias profesionales de los ingenieros e ingenieros técnicos en informática son las definidas en sus res-pectivos planes de estudio. Serán competencias, entre otras: concebir, diseñar, desarrollar sistemas y/o arquitecturasinformáticas (hardware, redes, software, etc.) centralizadas y distribuidas en entornos reales y redes de ordenadores,gestión de proyectos, auditar redes, sistemas, etc.

Atribución. Conjunto regulado de actividades profesionales que una persona puede desempeñar en su ámbito laboral.

No es lo mismo el concepto de competencia y atribución. En el ámbito profesional se suelen utilizan indistinta-mente pero tienen un significado diferente. La persona adquiere una competencia, pero para lograr una atribuciónno sólo es necesario el conocimiento, además hace falta una ley otorgada por el Estado que le acredite que puedehacer uso de esa destreza.

En el caso de los Ingenieros Técnicos en Informática es la ley 12/86. de 1 de abril, sobre regulación de las atribu-ciones profesionales de los arquitectos e ingenieros técnicos.

Si nos fijamos en la citada ley 12/86, las atribuciones profesionales de los ingenieros técnicos en informática serían: ARTICULO SEGUNDO 1. Corresponden a los ingenieros técnicos, dentro de su respectiva especialidad, las

siguientes atribuciones profesionales:a) la redacción y firma de proyectos que tengan por objeto la construcción, reforma, reparación, conservación,

demolición, fabricación, instalación, montaje o explotación de bienes muebles o inmuebles, en sus respectivos casos,tanto con carácter principal como accesorio, siempre que quede comprendidos por su naturaleza y característicasen la técnica propia de cada titulación.

b) la dirección de las actividades objeto de los proyectos a que se refiere el apar tado anterior, incluso cuando losproyectos hubieren sido elaborados por un tercero.

c) la realización de mediciones, cálculos, valoraciones, tasaciones, peritaciones, estudios, informes, planos de labo-res y otros trabajos análogos.

d) el ejercicio de la docencia en sus diversos grados en los casos y términos previstos en la normativa correspon-diente y, en particular, conforme a lo dispuesto en la ley orgánica 11/1983, de 25 de agosto, de reforma universitaria.

e) la dirección de toda clase de industrias o explotaciones y el ejercicio, en general respecto de ellas, de las acti-vidades a que se refieren los apar tados anteriores.

Dirección

Asociación de Ingenieros

e Ingenieros Técnicos

en Informática

Consejo de Redacción

Joaquín González Casal

José Manuel Ferrer Server

Emilio del Moral Serrano

Ángel Juarros Hortigüela

Coordinador

Andrés Gasch Miño

Comité Técnico

Gregorio Ambrosio Cestero

José Mª de la Heras Montes

Redactor Jefe

Gregorio Ambrosio Cestero

Fotografía

Seridec photoimágenes

Maquetación y Diseño

Web y media diseñadores s.l.

[email protected]

Impresión

Loft Producción Gráfica s.l.

Dep. Legal: M-14025-1985

ISSN: 1135-0695

ALI®; y sus colaboradores no se solidarizan, necesariamente, con la opinión expresada por los autores de los artículos.

© Reservados todos los derechos, y prohibida la reproducción total o parcial de textos e imágenes publicados

en la Revista, sin citar la fuente.

• Secretaría Técnica: C/ Mayor 4, 6º • 28013 Madrid • Telf.: 91 523 86 20 Fax: 91 523 86 21 [email protected]

• Web de ALI®: http://www.ali.es

ALI

ALI®

2 ALIbase

1

4

6

10

14

18

A c t i v i d a d e s p r o f e s i o n a l e s

d e l a I n g e n i e r í a I n f o r m á t i c a

2008 número 43

Editorial

Actividades, competencias y atribuciones profesionales

Acto de Entrega de Títulos

Quinta Edición de los Master en Auditoría y Seguridad en Informática

¿Está nuestra organización preparada para quedarse sin servicioinformático durante semanas? ¿Estamos poniendo en marcha buenas prácticas tipo ITIL?Manuel Monterrubio

Salidas profesionales del Ingeniero e Ingeniero Técnico en Informática en la EducaciónDaniel Pons Betrián

Delitos InformáticosCarmen Fernández Fernández

Perfiles en Informática

sum

ario

30

36

42

50

54

58

62

80

76

Colexio Profesional de Enxeñaría en Informática de GaliciaFernando Suárez

Informática forense: un enfoque preventivoPablo Román Ramírez Giménez

Seguridad y Control en los “Information Systems” Realidad – Mercado – FormaciónJosé Mª de la Heras Montes

¿Por qué fallan los Proyectos Informáticos?Benjamín Rupérez Pérez

La responsabilidad legal del Ingeniero e Ingeniero Técnico en InformáticaMiguel Ángel Davara Fernández de Marcos

Ocultando información en los archivos ejecutables: la labor de esteganálisisMiguel Ángel Orellana Quirós

Nuevas Redes y Accesos de Banda Ancha para el Tercer MilenioRicardo Plensa Nebot

El Mercado Laboral en Informática

Servicios al Asociado

El pasado 15 de enero se celebró el tradicional acto de entrega de Títulos de la V edición de los Master deAuditoria y Seguridad Informática en el Salón de Actos de la Facultad de Informática de la UniversidadPolitécnica de Madrid. El Acto estuvo presidido por el Ilustrísimo Decano de la Facultad de Informática donJavier Segovia, al que acompañaban en la Mesa el Presidente de ALI, don Joaquín González Casal, el Directordel departamento de Lenguajes, Sistemas Informáticos e Ingeniería del Software, don José Luis Morant Ramón,el Director académico de los Master, don José Carrillo Verdún, el Coordinador de los Master don Emilio delMoral Serrano, los representantes de las empresas patrocinadoras, doña Olga Ramírez, Directora de Marketingde la Empresa GMV, don Manuel Ribera Director de RRHH de la Empresa ATOS ORIGIN y don MarcoAntonio Garcia Prieto, Presidente de la Asociación de Antiguos Alumnos.

Después de saludar y dar bienvenida a los asistentes por parte del Decano de la Facultad de Informática,los demás miembros de la Mesa enviaron sus mensajes de enhorabuena y felicitación por el esfuerzo realizadoa los alumnos que en este acto fueron a recoger su título. Se les recomendó involucrarse en los temas quehan estudiado y sacar el máximo provecho para progresar en su entorno laboral y profesional. Se hizo mencióna la recién creada Asociación de Antiguos Alumnos, organización con miras a establecer contactos y relacionesentre los alumnos que han finalizado el master en algunas de sus ediciones, proyectar la Auditoria y SeguridadA

CTO

DE

ENT

REG

A D

E T

ÍTU

LOS

4 ALIbase

UPMUniversidad Politécnica de Madrid

ALIALI®

Asociación de Ingenieros e Ingenieros Técnicosen Informática

a la empresa y sociedad, actualizar los conocimientos y proponer ideas y actividades relacionadas con laAuditoria y Seguridad, estudiando su viabilidad y puesta en práctica en aquellos casos que sea posible.

Don José Carrillo, director académico de los master, realizó una exposición de sus contenidos,indicando las novedades académicas introducidas en esta nueva edición, tanto en profesores como encontenidos.

A continuación se hizo entrega del título a los alumnos de la V edición. Una vez finalizada ésta, el decanode la Facultad, inauguró la VII edición, correspondiente al año 2008, dirig iendo nuevamente unas palabrasde reconocimiento a la labor realizada por los componentes de la organización en unos masterplenamente consolidados, dejando patente su disposición para ayudar en lo posible en su continuidad, yque estos master se conviertan, si no los son ya, en referencia en cuanto a las disciplinas cursadas,animándoles a ir evolucionando estos estudios de acuerdo con la demanda y necesidades de la empresay sociedad en estos entornos.

Por último los asistentes pasaron a la sala anexa dónde compartieron un Vino Español, pudiendointercambiar impresiones. ❉

ALIbase 5

Quinta Edición de los Master en Auditoría y Seguridad en Informática

6 ALIbase

Un plan de seguridad es critico para la solidez yla protección ante desastres del departamentode Tecnologías de Información y por tanto, parala continuidad del negocio de la empresa.

La utilización de las redes como canal de inter-cambio de datos, (comunicación con el ciudadano enel caso tanto de instituciones o entre empresas) esya más que importante, es CRÍTICA en las organiza-ciones españolas.

Cada vez son más los usuarios que se atreven aintercambiar información comercial y datos críticos.El incremento en la velocidad de acceso ha hechoproliferar las posibilidades de los intrusos en suintento por adquirir valiosa información y tambiénpor destruirla. Hemos de poner en práctica, si aúnno lo tenemos, Planes de Seguridad Corporativa yPlanes de Recuperación ante Desastres. Tenemosque poner en orden nuestros sistemas y routers yorganizar toda la información de cómo está la red ylos sistemas según esquemas de buenas prácticastipo ITIL. Si no lo hacemos, tarde o temprano secaerá el servicio informático que prestamos y sinquerer ser agorero, “alguno” a lo mejor deja de ser elresponsable del mismo.

¿Está nuestra organización preparada para quedarse sin servicio informático

durante semanas? ¿Estamos poniendo en marcha

buenas prácticas tipo ITIL?

Visión del Ingeniero en Informática director del Departamento de Sistemas de Información.

Manuel MonterrubioSocio Director de ITIL View

Experto en Disaster Recovery

ALI® UPM

Asociación de Ingenieros e Ingenieros Técnicos en Informática

Universidad Politécnica de Madrid

ALI

Master en Auditoría Informática

Master en Seguridad Informática

Titulación otorgada por la Universidad Politécnica de Madrid

Comienzo: Enero 2009Finalización Clases Presenciales: Diciembre 2009Finalización Proyecto Fin del Master: Marzo 2010

Duración de las clases y actividades:60 Créditos ECTS (European Credits transfer System)

Compatible con actividad profesional

V I I I ED IC IÓN

Info

rmac

ión

e in

scri

pció

nC/

May

or 4,

6º •

2801

3 Mad

ridTe

l.: 91

523 8

6 20 F

ax: 9

1 523

86 21

• C

orre

o elec

tróni

co: s

ecre

tec@a

li.es

wwww

ww..

aall

ii..

eess

Con el patrocinio de:

8 ALIbase

mos confiar en dejar puertas abier tas a nuestra red y a menudoexisten… y muchas.

En este sentido, lo mínimo que una empresa o institución decualquier tipo (ayuntamiento, diputación, organismo autonómicoo estatal) debería plantearse es la protección de su informacióncrítica. Esta información debe estar a salvo tanto de la pérdida porcausa de fallos de sistemas como de todo tipo de desastres comode intrusos.

La seguridad perimetral “lógica”Un buen sistema y plan de seguridad perimetral lógico al

menos debe contemplar : la protección ante intrusiones externase internas, la máxima protección de la información privada y laprotección contra virus.

Hoy día cualquier responsable de informática conoce sistemasde encriptación VPN que permiten garantizar la privacidad de lascomunicaciones, firewalls y productos antivirus potentes. En elmercado existen dispositivos que incorporan además buena par tede estas tecnologías, asegurando la integridad de la red a precioscompetitivos.

Asimismo, existen en España varias compañías que ayudan aelaborar un completo plan de seguridad perimetral “lógico” igualque existen empresas de seguridad “tradicional” que vallarían unasinstalaciones físicas, podrían cámaras infrarrojas, alarmas, perrosguardianes e incluso haciendo uso de la hipérbole, electrificaríanel perímetro.

El mercado de la seguridad está muy diversificado, con múlti-

ples áreas y productos. Es un sector que demanda de los prove-

edores de servicios y de los fabricantes unas capacidades cada

vez más avanzadas y acordes a las exigencias de los clientes, sin

incrementar los recursos dedicados. En el caso de la seguridad

informática nos encontramos al menos con dos tipos de prove-

edores: por un lado, los que se encargan de asegurar la red y de

mantener los intrusos a distancia, y, por otro, los que ponen

todos los medios necesarios para evitar los ataques contra los

contenidos (provenientes la mayoría de las veces de virus y

códigos maliciosos).

Por su par te, las empresas e instituciones son conscientes de

que la Web es uno de los medios más utilizados por los usuarios

para la demanda de productos y servicios de todo tipo, convir-

tiéndose en una par te estratégica de la sociedad. Por tal motivo,

para cualquier entidad es de vital importancia contar con aplica-

ciones que protejan la seguridad de su entorno informático.

En los últimos años, las acciones básicas que los responsables

de informática han puesto en marcha, han venido dadas por

la protección antivirus dado el miedo a la destrucción de la

información pero, a menudo se infravalora la habilidad de posi-

bles atacantes.

Igual que nadie dejaría en un polígono industrial una nave

abier ta durante toda la noche y el fin de semana, tampoco debe

ALIALI®


– Hoja de inscripción (solicitud en la secretaría técnica).

– Perfil profesional.

– Fotocopia del título o de su solicitud (justificante de haber

acabado la carrera).

– Los socios estudiantes deben de indicar la Universidad en la que

cursan sus estudios y adjuntar fotocopia de la matricula vigente

al realizar la solicitud.

Inscripción de nuevos socios

www.ali.esLas Cuotas están vigentes conforme a las decisiones tomadas en la Asamblea Anual de Asociados.

c/ Mayor 4, 6º • 28013 Madrid • Tel.: 91 523 86 20 • Fax: 91 523 86 21

Correo electrónico: [email protected]

ALIbase 9

La ley de protección de datos,ataque a ayuntamientos, pinchar teléfonos

Realmente, las grandes empresas y los grandesorganismos del Estado son conscientes de laimportancia de mantener la integridad y privaci-dad de los sistemas pero las instituciones detamaño medio y las pymes tienen más dificultadpara “identificar” la importancia de estos sistemas.

Todos conocemos casos de “falta notable deseguridad”. Conocimos el famoso incendio de laTorre Windsor en 2005 donde la continuidad delos negocios que allí había se puso muy en entre-dicho. A lo largo de 2006 conocimos ataques aayuntamientos en los que desaparecían ordena-dores con toda la información del municipio.

Aunque este ejemplo es de ataque físico, dejapatente la importancia de las medidas de seguri-dad (en este caso seguridad perimetral “tradicio-nal”, evidentemente tan importante como la “lógica”).

Hace unas semanas, ya en 2008 se difundió lanoticia de que una gran operadora había per-dido un DVD con datos de centenas de miles deabonados. ¡ Esto parece un despropósito en elsiglo XXI y en tamaña empresa! Apar te de supo-ner un problema grave para la empresa, contra-viene lógicamente las normas básicas de seguri-dad que exige las leyes de protección de datos.

En resumen generalmente, se adoptan siste-mas básicos de protección (casi siempre antivi-rus y firewalls personales), aunque cada vez sonmás las organizaciones que apuestan por incluirtambién dispositivos más avanzados, pero pocasveces nos tomamos suficientemente en serio la seguridad.

Además, con la introducción de los serviciosconvergentes de la VoIP, en los que las comunica-ciones de voz se han transformado en datos, lasempresas necesitan disponer de soluciones quegaranticen la integridad de la red, de los datos,de las conversaciones que circulan por ella, etc.Pinchar una conversación hoy día puede ser“muy fácil” para determinados técnicos.

ITIL. A mayor protección y más orden, menos amenazas y menores desastres

En los últimos años la conciencia de la necesi-dad de medidas de seguridad ha aumentado bas-tante pero aún queda mucho por hacer. Tambiéngracias a que las organizaciones están poniendoen marcha las buenas practicas recomendadasen ITIL se está poniendo un poco de orden en lavisión “ingenieril” del depar tamento de Sistemasde Información. Esperemos que los ConsejerosDelegados de las empresas comiencen a reco-nocer a los Ingenieros responsables de los equi-pos de IT como tales ingenieros y a responder alas solicitudes de presupuesto para poner enmarcha dichas buenas prácticas.

De esta forma, para cualquier organización,de cualquier tamaño, podrá contar con un Plande Seguridad Corporativo – e integral - queayude a la toma de decisiones y que contempleal menos una serie de puntos básicos como laseguridad física; los sistemas y redes; el acceso ausuarios y passwords; las aplicaciones; los datos;la detección de intrusiones y la respuesta a inci-dentes. Así nos aseguraremos de que todos losaspectos de la organización están bajo control,tanto por amenazas externas, como internas.

Si se produce un ataque, y dependiendo deltamaño del organismo ante el que nos encontre-mos, el servicio de informática puede que estéparado semanas. ¿Esta preparada la organización?

Por ello también es importantísimo disponerde un Plan de Recuperación ante Desastres deSistemas de Información que se englobe dentrodel Plan de Continuidad de Negocio. ¿Qué ocu-rre si han destruido (física o lógicamente) nues-tros servidores? ¿Cuánto tiempo tardaremos enrecuperarnos? Diseñar un sencillo plan de recu-peración ante desastres puede no llevar dema-siada carga de trabajo adicional a la que llevaríaplanificar todo para “hacer bien las cosas” y comodice un buen consultor de nuestra compañía: “esmejor tener un plan de recuperación de desas-tres que tener un desastre de recuperación”. ❉

Cualquier organización,

de cualquier tamaño, podrá

contar con un Plan

de Seguridad Corporativo

–e integral-

que ayude a la toma

de decisiones y que contemple

al menos una serie de puntos

básicos como la seguridad física.

10 ALIbase

Salidas profesionalesExisten dos vías de acceso al mundo laboral en la educación,

por un lado la función pública y por otro el sector privado.En cuanto a la opción de acceder a un puesto de trabajo en la

enseñanza privada, es en este caso, el director el máximo respon-sable en la contratación.

En referencia al acceso a la enseñanza pública, no depende deldirector, sino de un concurso-oposición convocado por laAdministración para contratar al personal que va a trabajar en lasinstituciones públicas, el cual tiene lugar cada dos años entre losmeses de junio y julio.

El procedimiento de convocatoria consta de varios pasos, ini-ciándose aproximadamente en febrero y terminando a finales de

junio: cuyas fechas aproximadas son las siguientes:• Se publica en cada Comunidad Autónoma la Resolución de la

convocatoria al concurso-oposición. Suele ocurrir que todaslas Comunidades celebran el examen en el mismo día.

• Publicación de la lista provisional y definitiva de admitidos alconcurso-oposición.

• Publicación de la baremación provisional y definitiva de méri-tos de los aspirantes.

• Realización de la prueba.• Publicación de resultados.

Centrándonos en las opciones de los ingenieros e IngenierosTécnicos en informática, existen dos opciones para presentarse alas oposiciones:

Salidas profesionales del Ingeniero e Ingeniero Técnico en Informática

en la Educación

La Educación es una de las profesiones que podríamos calificar de indispensables, ya que es la base para que el desarrollo del futuro del país se sostenga social y económicamente.

De ahí que el profesorado deba poseer las mejores cualidades en conocimientos y en capacidades didácticas para garantizar una educación de calidad. Debido a la estructura de “sociedad tecnológica” donde vivimos,

el profesorado de Informática se convier te en pieza clave.

Daniel Pons BetriánIngeniero en Informática

Profesor Técnico de Formación Profesional

• Cuerpo de Profesores Técnicos deFormación Profesional, especialidadSistemas y Aplicaciones Informáticas.La docencia se imparte en los CiclosFormativos de Grado Medio y Superior.

• Cuerpo de Profesores de EducaciónSecundaria, especialidad Informática. Ladocencia se imparte dentro de la EducaciónSecundaria Obligatoria, el Bachillerato y losCiclos Formativos de Grado Medio ySuperior. El salario es mayor que el delcuerpo de Profesores Técnicos.Los exámenes para ambos cuerpos son con-

vocados en el mismo día, por lo tanto el primerpaso es decidir a qué cuerpo presentarse, y enqué Comunidad Autónoma.

No hay que olvidar que actualmente, paraacceder al Cuerpo de Profesores de EnseñanzaSecundaria, se requiere adicionalmente estar enposesión del título de Especialización Didácticao del cer tificado de Aptitud Pedagógica. En unfuturo cercano, este requisito también será apli-cable para acceder al Cuerpo de Profesores deFormación Profesional.

Una vez superado el proceso de concurso-oposición, los Profesores Técnicos podrán traba-jar en Institutos de Educación Secundaria (IES)que impartan algunos de los Ciclos Formativosde la especialidad de Informática. Hasta obteneruna plaza definitiva, también pueden solicitar pla-zas en educación de adultos. Los Profesores deSecundaria podrán trabajar en cualquier IES,aunque no imparta ciclos de FormaciónProfesional, lo que proporciona un mayor aba-nico de posibilidades para elegir centro.

Actualmente, el Instituto de las Cualifi ca -ciones Profesionales está definiendo una nuevaestructura para los Ciclos Formativos deFormación Profesional, por lo que es previsibleque a cor to plazo se generen numerosas plazaspara profesores de Formación Profesional.

En los centros educativos existe la figura delCoordinador TIC, encargado de supervisar eladecuado funcionamiento y dinamizar la integra-ción de los recursos TIC, asesorar al profesoradoen su uso, etc., a cambio de una reducción hora-ria de la carga de trabajo lectiva. La designación

del Coordinador TIC la realiza el director delcentro entre el claustro de profesores, valo-rando la experiencia, capacitación y conocimien-tos al respecto, pero actualmente no hay ningúnrequisito que exija poseer una titulación queacredite sus conocimientos. Por ello, convieneque existan cada vez más profesores titulados enIngeniería Informática para que acaben ocu-pando naturalmente este cargo.

Proceso de Concurso-OposiciónEl proceso de selección a la función pública

consta de dos fases: oposición y concurso, queserán tenidas en cuenta para obtener el resul-tado final:

Fase de Oposición, con un 60% depeso ponderado:

La oposición consta de dos par tes. La pri-mera par te consiste en el desarrollo escrito deun tema, y de un ejercicio práctico (este ejerciciopráctico estará exento de realizarse hasta laimplantación de la LOE en su totalidad). Lasegunda par te consiste en la defensa de unaprogramación didáctica y la exposición de unaunidad didáctica.

Esta primera fase es eliminatoria, necesitandoobtener más de un 5 para pasar a la fase de con-curso.

Fase de Concurso, con un 40% de pesoponderado:

Se valorará la experiencia previa, la formaciónacadémica y permanente y otros méritos deter-minados en el baremo de la convocatoria.

Resultados de las pruebas de acceso:Habiendo superado la oposición, a la nota

obtenida se le suman ponderadamente los pun-tos obtenidos en la fase de Concurso, generán-dose una lista de aspirantes, y de acuerdo a lasplazas disponibles se les asigna un destino por laAutoridad Educativa, pasando el aspirante a lacondición de Funcionario en Prácticas. Poste -riormente una vez superado el periodo de prác-ticas se alcanza tras un año lectivo la condiciónde Funcionario de Carrera. No obstante, en fun-ción del puesto alcanzado, si ha quedadoexcluido del nombramiento de funcionario enprácticas por no existir plazas suficientes, el aspi-

ALIbase 11

El tribunal de selección

está compuesto de profesores

de la especialidad, pero tampoco

se exige que posean

una titulación adecuada.

Hay que lograr que los

Ingenieros e Ingenieros Técnicos

en Informática se presenten

a las oposiciones para trabajar

en el mundo de la enseñanza.

rante podrá ser llamado a una plaza deFuncionario Interino, en función de las necesida-des de las Autoridades Educativas.

ImportanciaEs un hecho que la Educación Pública carece

de profesores de Informática con titulacióncorrespondiente, y esta situación nos plantea unanecesidad de cambio. Es muy importante que deaquí en adelante, sólo los Ingenieros e IngenierosTécnicos en Informática obtengan plazas de pro-fesores de Informática en la Educación Pública

Aunque el acceso al concurso oposición estáabier to a otras titulaciones, lo cual supone unmayor número de opositores, somos losIngenieros e Ingenieros Técnicos en Informáticaquienes par timos con ventaja, ya que tenemoslos conocimientos más precisos para afrontar lapar te específica de la oposición referente a loscontenidos de Informática.

El tribunal de selección está compuesto deprofesores de la especialidad, pero tampoco seexige que posean una titulación. Por lo tanto,estamos ante un círculo cerrado, la única formade cambiarlo es consiguiendo que los Ingenierose Ingenieros Técnicos en Informática se presen-ten a las oposiciones para trabajar en el mundode la enseñanza.

Ventajas e inconvenientesLas ventajas más destacadas por presentarse

a la oposición y trabajar como funcionariodocente son:

• Contrato laboral con gran estabilidad.• Sistema de selección objetivo de acuerdo a

los principios de igualdad, mérito y capacidad.• Horario de trabajo y periodos de vacaciones.• Existe la posibilidad de movilidad geográfica,

tanto dentro de una misma Comunidadcomo a nivel nacional.Por otro lado, también hay desventajas a

tener en cuenta:• Dificultad de acceso. Sin embargo, en caso de

no obtener una plaza, hay más posibilidadesde trabajar como interino, y tener unas bue-nas perspectivas laborales.

• Largos periodos de tiempo entre las convo-catorias de concurso-oposición.

• Los salarios son bajos comparados con una media de las retribuciones de la empresaprivada.

ConclusionesLa salida laboral como profesor no es una de

las más elegidas por los recién titulados, y estohace que otros opositores encuentren una víafácil para conseguir trabajo como profesores deInformática. La vía más directa y efectiva de cam-biar esta situación es promoviendo que losIngenieros e Ingenieros Técnicos en Informáticase presenten al concurso-oposición de profeso-rado. Las expectativas de obtener una plaza noson descar tables, y todavía mayores de obtenerun trabajo de profesor interino, que a largoplazo se puede materializar en funcionario de carrera. ❉

12 ALIbase

Referencias

[1] Ley Orgánica 2/2006, de 3 de mayo, de Educación, que establece el nuevo marco y estructura del sistema educativo español, en el que tenemos cabida los Doctores, Licenciados, Diplomados, Ingenieros e Ingenieros Técnicos en Informática.

[2] Real Decreto 276/2007, de 23 de febrero, por el que se aprueba el Reglamento de ingreso, accesos y adquisición de nuevasespecialidades en los cuerpos docentes a que se refiere la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y se regula el régimentransitorio de ingreso a que se refiere la disposición transitoria decimoséptima de la citada ley.

[3] Resolución 664 de 10 de febrero de 2006, del 21 de febrero, del Boletín Oficial de la Comunidad de Madrid, en la que seconvoca al proceso selectivo para acceder a los cuerpos funcionarios de Profesor de Enseñanza Secundaria, Profesor Técnico de Formación Profesional, Profesor de Escuelas Oficiales de Idiomas y Profesor de Música y Artes Escénicas.

[4] Cuaderno de Orientación. Bachillerato y Ciclos Formativos de Grado Superior. APOCLAM. 2007-2008.[5] IV Congreso EducaRed. Madrid. 2007.

La Educación Pública carece

de profesores de Informática

con titulación de Ingeniero

o Ingeniero Técnico

en Informática.

Sólo los Ingenieros e Ingenieros

Técnicos en Informática

deberían obtener plazas

de profesores de Informática

en la Educación Pública.

ALIbase 15

En la era de la información, en la que las tecnologías avanzan a paso de gigante, nos encon-tramos con profesionales capacitados y de gran utilidad en la resolución de problemas informáticos.Han existido desde los comienzos de la implantación de las Tecnologías Informáticas, pero no hansido reconocidos en muchos ámbitos de nuestra sociedad y sin embargo son de gran utilidad.Hablamos de la figura del Perito Informático.

El perito, inicialmente, es una persona ajena al proceso generado en un contencioso y portanto imparcial, que ha de cumplir con un código ético y deontológico. Deberá aportar objetividad ysaber técnico y científico, que el juez precisa para la correcta apreciación de los hechos a enjuiciar.

En el Código Civil, viene regulada su actuación y la finalidad de la misma, siendo la Ley deEnjuiciamiento Civil (LEC) la que se encarga de su regulación, en el ámbito de lo Civil.

En la actualidad se precisa en muchos casos la presencia de la figura del perito, ya que hoy en díalos ataques a través de la red, dirigidos a los Sistemas Informáticos, son cada vez más sofisticados debidoa la facilidad de acceso a la información técnica que los Hacker tienen, en ocasiones utilizando Internet.

Todo usuario debe tomar las medidas de seguridad adecuadas antes de navegar por la red,teniendo en cuenta que al realizar una transacción electrónica, debe existir seguridad tanto en laidentificación como en la autenticación de ambas par tes. La criptografía, la firma digital, y los cer tifi-cados digitales son algunas de las medidas de seguridad más destacables hoy en día.

Uno de los motivos que está parando el crecimiento del comercio electrónico es la descon-fianza debido a la inseguridad de los consumidores que no se “fían” de utilizar la red para realizar lascompras de una forma más cómoda, como puede ser desde casa sin tener que desplazarse, hablamosde la seguridad técnica en el pago electrónico.

El dinero electrónico, el cheque electrónico, el pago a través del móvil, las transferencias elec-trónicas y tarjetas electrónicas, son algunos medios con determinadas medidas de seguridad quepodemos encontrar para realizar un pago electrónico.

El comercio electrónico se rige por la LSSICE (Ley de Servicios de la Sociedad de Informaciónde Comercio Electrónico), Ley 34/2002, de 11 de julio, que se aplica al Comercio Electrónico y aotros servicios de Internet cuando sean par te de una actividad económica, además de otras leyescomo la de Firma Electrónica, o la de Telecomunicaciones.

El perito informático, al igual que el perito de otras especialidades es deseable que posea unatitulación universitaria de acuerdo a su especialidad y, en su caso, estar colegiado.

Un perito, para cumplir con su deber, tendrá que cumplir los ar tículos 335, 347, y 292 de laLEC, por los cuales debe decir la verdad y actuar con objetividad ( Art. 335 LEC) y comparecer a losllamamientos y vistas (Art. 347 y 292 LEC).

Carmen Fernández FernándezIngeniera Técnica en Informática Colegiada COITICV

Delitos Informáticos

El trabajo del perito es el de dar respuesta a las cuestionesy preguntas presentadas por el Juez y las par tes litigantes, relacio-nadas con la causa que ha producido el litigio y presentar un dic-tamen pericial que deberá defender en el juzgado en caso de queasí sea solicitado.

El peritaje podrá ser extrajudicial o judicial. En el caso deser contratado por una de las par tes para realizar un dictamenpericial estaríamos hablando de un peritaje extrajudicial, en el quecada par te buscará y pagará los honorarios a su perito o peritos.En el caso de que el peritaje sea judicial, es el propio juzgadoquien designa un perito, siendo elegido utilizando un listado deperitos de todas las especialidades que cada año reciben en losdistintos decanatos de las Administraciones de Justicia.

La profesión de perito informático pasa muy desapercibidaen el mundo universitario, apenas se nombra en alguna asignaturade la carrera. Y desde mi punto de vista debería ser tratada másampliamente por ser considerada como una salida profesional enel mundo de la informática.

Desde el Colegio Oficial de Ingenieros Técnicos enInformática de la Comunidad Valenciana, se impulsa la figura delperito, prestando servicios mediante el listado de peritos quehemos comentado en el párrafo anterior.

Los informes o dictámenes periciales se presentan porescrito y pueden ir acompañados de documentos o material queel perito considere necesario para exponer el parecer del mismo

sobre el objeto de la pericia realizada. Además de la documenta-ción presentada, el perito deberá defender mediante exposiciónoral, de forma clara y concisa su dictamen en la vista. La finalidades que en la vista, se expongan los argumentos técnicos, de formaque dichos conocimientos no tengan necesariamente que serexplicados de forma compleja, sino de forma entendible portodos los presentes en la vista.

Si el tribunal acordase la presencia en la vista, de los peri-tos que hayan elaborado dictámenes extrajudiciales aportadospor las par tes, o la del perito o peritos designados por el tribunal,se citará a los mismos al acto o vista, con antelación.

Es imprescindible que el dictamen sea emitido y ratificadoante el mismo juez que ordenó la pericia, según dicta el Artículo346 de la LEC (Ley de Enjuiciamiento Civil), que trata de la emi-sión y ratificación del dictamen por el perito que el tribunaldesigne. Dicho perito emitirá por escrito su dictamen, que harállegar al tribunal en el plazo que se le haya señalado. De dicho dic-tamen se dará traslado a las par tes por si consideran necesarioque el perito concurra al juicio o a la vista a los efectos de queaporte las aclaraciones o explicaciones que sean oportunas. El tri-bunal podrá acordar, en todo caso, mediante providencia, queconsidera necesaria la presencia del perito en el juicio o la vistapara comprender y valorar mejor el dictamen realizado.

El dictamen deberá ser entregado a todos los litigantes,con independencia de quién lo haya solicitado, en orden a que el

16 ALIbase

ALIALI®


La editorial RA-MA ofrece a los asociados de ALI un 10% de descuento en las compras de libros de su fondo editorial

Las compras pueden realizarse:

• Por teléfono 91 658 42 80 • Por fax 91 662 81 39

• Por correo ordinario Editorial RA-MA, c/ Jarama 3A,

Polígono Industrial Igarsa, 28860 Paracuellos de Jarama, Madrid

• A través de su página web www.ra-ma.es

(El descuento no será aplicable a las compras realizadas en puntos de venta directa).

Los asociados que deseen obtener el citado descuento deberán acreditarse mediante su carnet de asociado.

Convenio de Colaboración

del uso de los avances tecnológicos que podemos encontrar enla actualidad. Nos encontramos frecuentemente, con una faltade asimilación de las nuevas tecnologías por par te de lasempresas, un uso deficiente de los equipos informáticos, y faltade motivación debido al uso de aplicaciones informáticas obso-letas, y que en vez de facilitar el trabajo lo dificulta debido a lafalta de modernización en nuevas tecnologías. La AuditoriaInformática apor ta soluciones, tanto a grandes empresas comoa PYMES.

Afor tunadamente la empresa se interesa cada vez más portener actualizados y al día sus Sistemas Informáticos y deComunicaciones. Poco a poco se va modernizando tecnológica-mente, confiando en la ayuda del Auditor y Consultor informático,labores muchas veces confundidas. La diferencia se fundamenta enque el Auditor emite una opinión profesional sobre si lo que esta-mos analizando cumple las condiciones que le son atribuidas y/orepresenta adecuadamente la realidad. A diferencia del Consultorque ofrece asesoramiento sobre como hacer o como realizar deforma adecuada una actividad con el fin de obtener el resultadodeseado. ❉

pleno ejercicio del derecho de defensa exige que puedan prepa-rarse con total conocimiento de causa todo lo que puede sucederen el juicio y entre ello lo relativo a la prueba pericial.

Dentro del área de las auditorias informáticas, hay quetener en cuenta que los datos personales que almacenan lasempresas en ficheros, han de cumplir la Ley Orgánica deProtección de Datos (LOPD). Tanto las empresas de la red comoel resto de empresas que tratan datos personales deben cumpliresta ley.

Se pueden identificar, según la LOPD, tres niveles de medi-das de seguridad, básico, medio y alto, en función de los diferentestipos de datos que almacenan las empresas en sus ficheros.

Se establecen una serie de sanciones, leves, graves, o muygraves, a los responsables de aquellos ficheros que no están tra-tando los datos de la manera correcta.

Se ha de garantizar que ninguna persona ajena o sin per-misos, podrá acceder a datos de carácter personal.

Es impor tante dar a conocer la necesidad de las empre-sas de realizar una auditoria informática, no sólo para cumplir laLOPD, sino también para comprobar el beneficio que obtiene

Todos los perfiles están basados en las titulaciones universitarias oficiales de Ingeniero e Ingeniero Técnico enInformática y la titulación oficial de Formación Profesional en Informática.

Los nombres de los perfiles descritos son para establecer una organización de par tida, deben ser trasladados a los utilizados en lasorganizaciones, al objeto de establecer una adecuada estructura de su servicio de informática.

Se han establecido los nombres para que permitan agrupar jerárquicamente el grado de responsabilidad:• Dirección y Gestión: Director de informática, Director de proyectos, etc.• Staff: auditores, peritos, consultores, etc.• Responsabilidad general: jefe de proyecto, ingeniero, etc.• Responsabilidad específica: técnico en microinformática, técnico programación, etc.• etc.

DIRECCIÓNDIRECTOR DE INFORMÁTICA• Participar en el Comité de Dirección.• Poner en marcha la estrategia de la empresa a nivel informático. • Garantizar las relaciones entre los departamentos de la empresa.

Primordial para una buena acogida de las evoluciones delsistema informático.

• Cuidar la coherencia del sistema de información con respecto ala organización de la empresa y a su evolución. En el marco de laimplantación de sistemas integrados (ERP, CRM o de cualquierotra arquitectura que se plantee en el futuro), garantiza la puestaen marcha de los cambios de procesos decididos por laDirección General.

• Definir las políticas, características técnicas y la adecuación de lossistemas hardware y de red, así como las características de lossistemas de comunicaciones.

• Definir el presupuesto y gestionar los medios materiales yhumanos.

• Definir los planes de formación, reciclaje profesional.• Definir la política informática de la empresa a medio y largo plazo. • Establecer el alineamiento de los objetivos informáticos con los

objetivos de la empresa y velar por su cumplimiento.• Evaluar los Riesgos Empresariales asociados a los Sistemas

Informáticos y establece las orientaciones y directrices paramitigarlos.

• Establecer las normativas y criterios de aceptación de losdesarrollos propios y adquiridos.

• Establecer las directrices sobre las métricas e indicadores queserán utilizados para permitir a la Dirección de la Empresa laevaluación y el seguimiento de los Sistemas Informáticos.

DIRECTOR DE ORGANIZACIÓN E INFORMÁTICA

Principalmente en las PYMEs o en filiales de grandes grupos.• Garantizar la fiabilidad , la coherencia y la evolución del sistema

informático desde un punto de vista técnico y funcional.• Tomar a su cargo el conjunto de los proyectos informáticos de la

PYME.• Participar en la definición de la estrategia y los objetivos

informáticos.• Organizar el departamento informático tanto a nivel humano

como a nivel material.• Definir y controlar el presupuesto o una parte del mismo en

función de su importancia.• Gestionar las relaciones con otros departamentos de la PYME

para establecer los planes de acción y en ciertos casos, los libroscontables.

• Gestionar las relaciones con los proveedores externos y loseventuales prestadores de servicio.

Pe r f i l e s e n I n f o r má t i c a

La dirección de proyecto puede ser ejecutada por unaúnica persona, independiente de los responsables de lasfases principales, o por un comité integrado o no por dichosmiembros.

JEFE DE PROYECTO• Ejecutar los proyectos informáticos asignados por el Director

de Proyecto, dirigiendo y coordinando el proyecto dedesarrollo y mantenimiento de aplicaciones, supervisando lasfunciones y recursos de análisis funcional, orgánico yprogramación, asegurando la adecuada explotación de lasaplicaciones.

• Capaz de dominar todas las etapas de la vida de un proyecto(análisis de concepción, análisis técnico, programación, pruebas,documentación y formación de usuarios).

• Dirigir el equipo de trabajo compuesto por Analistas Funcionales,Analistas de aplicaciones, Programadores. Gestión de los RRHHde los componentes del proyecto (evaluaciones, desempeño,motivación).

• Control y seguimiento de plazos, indicadores económicos y decalidad.

• Supervisar y coordinar el desarrollo completo de aplicaciones yadministrar la introducción de los sistemas de gestión.

• Controlar las aplicaciones en explotación, minimizando lasconsecuencias negativas sobre las operaciones en producción ydesarrollo de aplicaciones.

• Analizar y recoger nuevas técnicas y herramientas del mercadoestudiando su viabilidad y necesidad. Posibilidad de contratarrecursos externos.

• Control y Gestión del Desarrollo del Proyecto Informático. • Redacción, para la Dirección de Informática y para la Dirección

del Proyecto de los informes que se precisan para elseguimiento del proyecto.

• Responsabilidad de la gestión económica del proyecto.Elaboración de propuestas, relación con el cliente a nivel deproyecto.

• Asegurar una unidad tecnológica y representar una fuerza deapoyo para la Dirección.

DIRECTOR PROYECTO• Gestionar el conjunto de proyectos informáticos asignados por

el Director de Informática, o bien relacionados con funciones denegocio, divisiones organizativas, etc.

• Estudios funcionales y los proyectos específicos. • Concebir las aplicaciones. Controlar y gestionar los proyectos

informáticos.• Pilotar la introducción y los parámetros de los sistemas

integrados (ERP, CRM) o de los sistemas abiertos de arquitecturaempresarial definidos en las políticas informáticas de la empresa(Frameworks, etc.).

• Participar en la elaboración de los esquemas directivos.• Organizar y distribuir el trabajo de los equipos de análisis y de

desarrollo (jefes de proyectos, responsables de aplicación). • Vigilar la coherencia del sistema de Información.• Participar en la elaboración de los esquemas directivos y vigilar la

coherencia del sistema de información. • Tomar a su cargo las relaciones con los prestadores del servicio

y ciertos proveedores externos. • Gestionar la conexión entre los departamentos usuarios. • Vigilar la tecnología y definir las orientaciones técnicas

(metodología, calidad, herramientas de desarrollo…).• Concreción de los Objetivos de cualquier Sistema

Informático. • Planificación del desarrollo de un Proyecto Informático. • Estudio de Rentabilidad de los Sistemas Informáticos. • Estudio de los Riesgos de los Sistemas Informáticos. • Redacción, para la Dirección de la Empresa y la Dirección de

Informática, de los informes que se precisan para el seguimientodel proyecto.

• La coordinación de las fases en las que se ha estructurado elproyecto. Es una labor que requiere experiencia y aplicación deamplios conocimientos de Ingeniería y dirección.

ALIALI®

Asociación de Ingenieros e Ingenieros Técnicos en Informática

JEFE DE SISTEMAS• Planificar, supervisar y coordinar el mantenimiento de sistemas

operativos, software de mercado y propio, básico o de soporte.

• Definir y actualizar software básico.• Actualizar y decidir la alternativa óptima de software de

mercado a adquirir.• Diseñar, en conexión con la Dirección de Informática, la política

de hardware, redes y comunicaciones , respecto a adquisiciones,sustituciones, etc.

• Resolver y coordinar las incidencias de los sistemas.• Dirigir las actividades y recursos, técnicos, materiales y los

equipos de soporte en materia de sistemas operativos, bases dedatos y comunicaciones.

JEFE DE REDES• Dirigir, planificar y coordinar la gestión de la infraestructura de

redes y comunicaciones.• Gerente de la fiabilidad, de la coherencia y de la evolución de la

arquitectura de la Red y de las Telecomunicaciones utilizadas porlos Sistemas Informáticos de la Empresa.

• Gestión de grandes redes corporativas y/o operadores detelecomunicaciones, redes de acceso, redes de transmisión devoz, datos, imágenes, conmutación, gestión de tráfico, así como detodos los aspectos de las redes WAN y las estrategias ligadas aInternet.

• Poner en marcha las redes tanto a nivel material como logístico. • Desarrollar y mantener dichas redes. Elección de los elementos

HW y SW para la optimización de los servicios de redes decomunicaciones.

• Gestionar las relaciones con los proveedores y negociar loscontratos.

• Seguimiento de los presupuestos, los costes y las inversiones. • Mantenimiento y evolución de los sistemas de gestión de las

Telecomunicaciones. • Enmarcar los participantes internos y externos en los proyectos

de Telecomunicaciones. • Escoger y gestionar los contratos con los operadores.• Dirección Técnica y planificación de proyectos de implantación

de soluciones y servicios asociados a las redes decomunicaciones.

• Gestión del conocimiento en inteligencia de negocio en grandessistemas de redes de comunicaciones en datos y voz (fija ymóvil) y sus servicios de valor añadido.

SISTEMAS Y REDES

Perfiles en Informática Perfiles en Informática Perfiles en Informática Perfiles en Infor

• Gestión de grandes proyectos de cableado de redes, y lasinfraestructuras parejas, suelos y techos técnicos, electricidad, etc.

INGENIERO DE SISTEMAS Y REDES• Diseñar la arquitectura de comunicaciones de un entorno de

complejidad media o baja (diseño lógico y físico). Definir lasnecesidades de la arquitectura.

• Dimensionamiento, segmentos, capacidades. Topologías de red,protocolos (TCP/IP, etc.).

• Políticas de: ampliación de red, administración de red,mantenimiento de red, acceso, gestión y mantenimiento deusuarios, gestión y mantenimiento de seguridad.

• Supervisión de la implantación de la infraestructura de redtelemática.

• Instalar las redes (hardware, middleware y software), gestionar lasintervenciones externas, si es preciso.

• Administrar la infraestructura de red LAN/WAN),proporcionando la asistencia técnica: mantenimiento general dered, resolución y gestión de incidencias, administración deequipos de monitorización, administración y mantenimiento delhardware de comunicaciones, monitorización de red (estadísticas,incidencias, ataques…).

• Soporte Técnico y formación de base a usuarios. • Desarrollar pequeñas aplicaciones específicas para la gestión o

mantenimiento de las redes. • Producir y analizar estadísticas de aplicación.• Garantizar la conexión de las redes (puentes, routers,

multiplexores). • Seguimiento y optimización de costes de conexiones y

participación en la elaboración del presupuesto detelecomunicaciones.

• Instalación, Administración, Configuración, Mantenimiento yGestión servidores: Servidores de Impresoras, servidores web,Servidores de mensajería, etc. Administración de cuentas deusuario, grupo e impresoras. Administración del sistema dearchivos. Seguridad de recursos y carpetas compartidas.Administración de discos. Dinámicos. Espejos. Recursos de Red.

• Servicios de Terminales e Instalaciones Remotas.• Conexión a Internet .Administración de Servicios de Internet.

Configuración de los servicios de correo. Conexión de redeslocales a Internet.

Este perfil es conocido como Administrador de red y/oSistemas.

rmática Perfiles en Informática Perfiles en Informática Perfiles en Informática Perfiles e

• Mantenimiento de equipos informáticos, impresoras, y otrosperiféricos de la red local.

OPERADOR DE SISTEMAS Y REDES• Su función consistiría en monitorizar sistemas y redes, resolver

incidencias muy simples, y escalar la incidencia a un administradorsi no puede ser resuelta en un plazo de tiempo muy corto.

• Muy común en las grandes empresas, sobre todo en serviciosque tienen que estar operativos todo el día, todos los días de lasemana.

• Dirigir los proyectos de Seguridad basados en las leyes y normasestándar que permiten a la organizaciones Públicas y Privadasvalidar (ó certificar) su cumplimiento y obtener las acreditacionesde seguridad exigidas por ley y normas adoptadas.

• Gestionar el Plan de Seguridad Informática y mantenerleactualizado, muy especialmente el plan de continuidad del negocio.

• Velar por el cumplimiento legal de los sistemas informáticosutilizados en la organización: datos personales, propiedadintelectual, software legal, etc.

• Colaborar con la Dirección en la resolución de incidentes deseguridad y especialmente en aquellos que puedan dar origen adelitos y faltas tipificados en el derecho Penal, Civil, Conveniosinternacionales, etc.

• Colaborar con la Autoridad Judicial si los incidentes de seguridadacaecidos lo exigen en defensa de los intereses de laorganización, ó si son críticos para el Estado: seguridad nacional,seguridad de las personas, medio ambiente, etc.

TÉCNICO DE SEGURIDAD• Implantar e implementar las soluciones diseñadas por el

responsable de seguridad.• Seguridad en Internet.• Implantación práctica de firewall. Funcionalidades y componentes

de un cortafuegos (Firewall). Instalación y configuración delFirewall. Firewall como servidor Socks, como servidor Proxy, etc.Servicio de Nombres y de Correo electrónico a través o no deun Firewall.

• Establecer túneles IP seguros a través de Internet.• Mecanismos de registro de actividad y recuperación de errores.• Registro de actividad y recuperación de errores.• Network Adress Translation (NAT).• Redes privadas virtuales.• Dominios NT y dominios TCP/IP.

JEFE DE SEGURIDAD• Definición de las políticas y procedimientos de seguridad.• Implantación práctica de la seguridad en la organización.• Mecanismos de registro de actividad y recuperación de

errores.• Velar por mantener un adecuado nivel de riesgo en la

organización y establecer el riesgo residual latente.• Velar por la adecuación de los planes de continuidad del negocio.• Verificar los incidentes de seguridad y proponer medidas

correctoras.

INGENIERO DE SEGURIDAD• Analizar y Gestionar los riesgos del sistema informático,

determinar sus vulnerabilidades y establecer las medidas desalvaguarda que garanticen la confidencialidad, integridad ydisponibilidad de la información de acuerdo a un riesgo residualasumido por la organización.

• Definir, de acuerdo a los objetivos de seguridad establecidos enla organización, la seguridad de los sistemas informáticos.

• Políticas de seguridad.• Organización de la seguridad y clasificación de los recursos.• Seguridad física y del entorno.• Protección y control de acceso al sistema.• Seguridad en las Comunicaciones.• Seguridad en la operación y producción.• Seguridad en el software tanto de los sistemas operativos, bases

de datos y aplicaciones.• Seguridad en las personas que le utilizan.• Definir las especificaciones de seguridad para que los sistemas

informáticos cumplan la legislación y normas estándar deseguridad nacionales e internacionales.

• Diseñar la seguridad del sistema informático según lasespecificaciones establecidas.

TÉCNICO DE REDES• Implantar y administrar sistemas informáticos en entornos de

baja complejidad (alta y baja de usuarios, servidor deimpresión,…).

• Implantar y administrar redes locales de baja complejidad ygestionar la conexión del sistema informático a redes extensas.

• Implantar y facilitar la utilización de paquetes informáticos depropósito general y aplicaciones específicas.

• Proponer y coordinar cambios para mejorar la explotación delsistema y las aplicaciones.

SEGURIDAD

JEFE DE CALIDAD• Será el encargado de crear el plan de calidad del producto.

Diseñará y gestionará el despliegue necesario para ejecutar ycoordinar las pruebas y revisiones del software.

• Definir las normas de desarrollo en colaboración con laDirección de Informática.

• Motivar y coordinar los equipos de desarrollo en el marco deaplicación de las normas y métodos en vigor.

• Intermediario y consejero de cara a los desarrollos que serealicen.

• Asegurar la definición de las directrices de calidad, su aplicaciónasí como la estandarización.

• Responsable de la adecuación entre los desarrollos realizados ylas directrices establecidas.

• Poner en marcha los procedimientos de prueba y de control decalidad.


CALIDAD• Asegurar la coherencia y la coordinación de su trayectoria con la

política global de la empresa.• Tomar a su cargo la campaña de las pruebas de cara al conjunto

de los usuarios finales.• Participar en la distribución de las ediciones originales de las

aplicaciones y de los documentos a las entidades de produccióngarantizando un alto nivel de calidad.

• Garantizar una calidad permanente a través de losprocedimientos y de las herramientas.

• Apoyar las demandas cotidianas de los usuarios.

INGENIERO DE CALIDAD• Colaborará con el jefe de calidad en la creación y ejecución del

plan de calidad.


• Estimación de volúmenes de las estructuras de datos, definiendomecanismos de migración y carga inicial de datos.

• En producción se ocupa de la gestión y operativa asociada a lasbases de datos y al software en el que están implementadas.

• Este perfil es independiente de la tecnología de Base de Datos,jeráquica, relacional, orientada a objetos, nativa XML, o cualquierotra.

• Implantación de las medidas de seguridad (ejemplo reglamentosde desarrollo de la LOPD).

• Este perfil normalmente existen en las grandes empresas y en laAdministración, y su responsabilidad es muy alta, ya que laseguridad de los datos es imprescindible. Ejemplo: Hacienda,Hospitales, Defensa, Interior, Banca, etc. En una pequeña ymediana empresa, no suele tener mucho sentido y normalmenteno existe como tal.

Este perfil es conocido como Administrador de base dedatos.

INGENIERO BASE DE DATOS• Administrar un sistema de bases de datos, interpretando su

diseño y estructura, y realizando la adaptación del modelo a losrequerimientos del sistema gestor de bases de datos (SGBD), asícomo la configuración y administración del mismo a nivel físico ylógico, a fin de asegurar la integridad, disponibilidad yconfidencialidad de la información almacenada.

• Desarrollo y construcción de las bases de datos. Asegurar lacoherencia y la adaptación a las necesidades de la empresa.

• Gestionar las autorizaciones de acceso para los usuarios. • Asegurar del buen funcionamiento de SGBD y hacer un

seguimiento de la utilización de los usuarios a través de las tareasde mirroring, tunning, desdoblamiento y cualquier técnica futura.

• Participar en la instalación de las herramientas deDatawarehouse, herramientas de SIAD, Data Mining y cualquierafutura.

• Responsabilidad e de la integridad de los datos y de la existenciade Back-ups.

BASES DE DATOS

• Dirección y asesoramiento a los Técnicos de Programación en larealización de los programas.

• Creación de los tests de pruebas para verificar que los SistemasInformáticos cumplen los requisitos y especificaciones de Análisisy Diseño.

• Verificación de la documentación, tanto de los cambios en lossistemas existentes, como la de los nuevos sistemas paragarantizar que está completa y al día.

• Asesoramiento a Usuarios, Programadores y Jefe de Estudios enla redacción de la Documentación de Usuario, Instalación yExplotación.

• Dirección del arranque ó "lanzamiento" de un nuevo sistema.• Asesora al Responsable de Estudios en la elaboración de los

criterios que permiten la mejor explotación de los nuevossistemas.

• Ayuda al Area de Estudios en la resolución de los fallos que seproducen en los Sistemas en Producción.

• Evalúa nuevos productos informáticos que pueden aportarmejoras tanto en los sistemas existentes, como para el desarrollode nuevos sistemas.

• Asesora a los Usuarios para mejor utilizar los SistemasExistentes.

JEFE DE ANALISIS• Coordinar el proceso, permitiendo una ejecución fluida.

Gestionará y facilitará la interacción con los clientes. • Será responsable de realizar/coordinar/supervisar los productos

obtenidos en el análisis.

INGENIERO DE REQUISITOS• Obtener y gestionar los requisitos del software a construir. Para

ello se emplearán técnicas de análisis y licitación de requisitos.• Durante el proceso de construcción verificará la trazabilidad y

cumplimiento de los requisitos establecidos.

INGENIERO FUNCIONAL• Modelar el software a desarrollar, comprendiendo y

considerando los requisitos.• Coordinará el trabajo con expertos en el área específica que

cubra el desarrollo.• Participará en el proceso de estimación y planificación.• Análisis de los Nuevos Sistemas Informáticos y de los Cambios

en los existentes.• Diseño de las soluciones informáticas relacionadas con los

cambios en los sistemas existentes o con los Nuevos Sistemas

ANALISIS

• Dirige y Coordina el Desarrollo de Reuniones relacionadas contemas que afectan a los Sistemas Informáticos.

• Estudio de Métodos, Técnicas y Herramientas de Análisis yDiseño.

• Estudio de la evolución de las nuevas tecnologías, sobre todo deaquellas que pueden aportar mejoras importantes en lossistemas utilizados en la empresa.

Este perfil es conocido como Analista Funcional /Sistemas.

INGENIERO DE APLICACIONES• Interpretar las especificaciones funcionales encaminadas al

desarrollo de las aplicaciones informáticas.• Realizar el análisis y el diseño detallado de las aplicaciones

informáticas.• Definir la estructura modular y de datos para llevar a cabo las

aplicaciones informáticas que cumplan con las especificacionesfuncionales y restricciones del lenguaje de programación.

• Definición y descripción de procedimientos e interfaz de usuario.• Realizar pruebas que verifiquen la validez funcional, la integridad

de los datos y el rendimiento de las aplicaciones informáticas.• Elaborar y mantener documentación descriptiva de la génesis,

producción y operatividad de las aplicaciones informáticas.• Diseñar servicios de presentación que faciliten la explotación de

las aplicaciones.• Estudiar el sistema actual existente y analizar e idear mejores

medios para llevar a cabo los mismos objetivos u otrosadicionales.

• Participar en el diseño de nuevos sistemas informáticos comoconsecuencia de la informatización de áreas de la empresa queutilizan para el desarrollo de sus tareas métodos y procesosmanuales.


• Integrar sistemas informáticos existentes susceptibles de inter-relacionarse.

• Escuchar y asesorar a los Usuarios en la resolución de losproblemas que se les plantean con el uso de los sistemasinformáticos.

• Asesorar a los programadores en los problemas que se lesplantean con la programación de los sistemas.

• Colaborar con los responsables de Estudios y Explotación en laresolución de los fallos que se originen en los Sistemas enProducción.

• Mantenerse al día en Técnicas, Métodos y Herramientas deAnálisis y Diseño.

Este perfil es conocido como Analista de Aplicaciones.

INGENIERO WEB• Analizar las necesidades de la empresa y definir una estrategia de

comunicación On Line ( sitio comercial, de eventos, …). • Definir la estructura de información en el seno del sitio, tanto

sobre un plano lógico como visual. • Crear una plataforma técnica en relación con la dirección de la

explotación y definir, con la dirección de los estudios, losdesarrollos específicos.

• Responsabilidad de la transmisión de la cultura de Internet de los usuarios y desarrollar una política de alimentación delsitio.

• Asegurar una vigilancia técnica de los desarrollos On Line. • Asegurar el desarrollo coherente de las actividades Internet de la

empresa y gestionar la evolución en función de las orientacionesestratégicas de la empresa.

• Interlocutor principal de los ISP, integradores y sociedadesespecializadas en el desarrollo de sitios.


• Seleccionar las tecnologías y plataformas que se usarán paraimplementar el diseño.

• Poseer capacidades avanzadas de implementación de softwarepara:- Implementar pruebas de concepto con las tecnologías

elegidas para verificar su viabilidad.- Desarrollar prototipos de partes críticas del software.- Crear pruebas de concepto para guiar el proceso de

construcción.- Asesorar técnicamente al equipo de análisis para propiciar la

viabilidad del mismo.- Dominar a nivel técnico la plataforma o plataformas objetivo

con el fin de poder tomar decisiones de diseño adecuadas.- Considerar restricciones de rendimiento concretas del

entorno al tomar decisiones en la elaboración del diseño.

JEFE DE DISEÑO• Coordinará la labor de diseño. Gestionará la planificación del

proceso de diseño.

INGENIERO DE DISEÑO• Convertir un modelo abstracto del sistema a construir en uno

concreto, teniendo en cuenta tanto los requisitos del sistemacomo las restricciones específicas necesarias para laconstrucción.

• Crear la estructura del software a construir • Generar el diseño de software, para lo cual ha de dominar el

área de Ingeniería. • Software que cubre la fase de diseño.• Colaborar con expertos en una tecnología o tecnologías

concretas, para producir un diseño construible.

DISEÑO

(conceptos como cohesión, acoplamiento, construcciones dellenguaje a utilizar y evitar, porcentaje y formato de comentarios).

• Aplicar e interpretar métricas sobre el software informando alresponsable de construcción y tomando medidas correctivas opreventivas. Se responsabilizará de procesos de refactoring.

• Implementar código crítico, considerándose como tal segúncriterios de valor estratégico, urgencia, rendimiento o dificultadtécnica.

• Dominar las tecnologías y lenguajes empleados para laconstrucción del software, sirviendo de apoyo a losprogramadores.

• Dominar técnicas de depuración de errores (debugging). Lalocalización y corrección sistemática de errores en el códigofuente exige un profundo conocimiento del lenguaje utilizado, lastecnologías empleadas y el sistema operativo, así como deconceptos fundamentales de bases de datos, teoría de sistemasoperativos y redes, entre otras.

• Aplicará dichas técnicas tanto de manera reactiva comopreventiva (ej: detección sistemática de memory leaks, recursos,problemas de sincronismo entre threads, etc).

TÉCNICO DE PROGRAMACIÓN• Desempeñará toda tarea de desarrollo que no requiera de la

cualificación de un ingeniero de desarrollo.

JEFE DE CONSTRUCCION• Coordinará el proceso de construcción. Será responsable de

colaborar en la creación del plan de proyecto, realizar y gestionarla creación de estimaciones y supervisar el proceso de calidad.

• Coordinar las operaciones de los miembros de su equipo,colaborando con la dirección de proyecto.

• Apoyar técnica y organizativamente a los miembros del equipo.• Asegurar que se cumplen los objetivos del equipo.• Supervisar la aplicación del proceso de desarrollo: metodología,

guías de estilo, registro de operaciones, entre otras.

INGENIERO DE DESARROLLO• Participa en el proceso de construcción aplicando técnicas de

Ingeniería de Software.• Realizar estimaciones del software a construir, colaborando en el

trabajo de planificación con el jefe o responsable deconstrucción.

• Interpretar el diseño y realizar adaptaciones cuando seanecesario.

• Coordinar y llevar a cabo revisiones de código, ya sean tiporeview, code walkthrough [McConnel, 96], etc

• Colaborar en la generación y supervisar el cumplimiento de laguía de estilo de programación del proyecto.

• Controlar factores de calidad en la producción del código fuente

CONSTRUCCIÓN

• Responsabilidad de la correcta funcionalidad de loscomponentes de negocio que desarrolle.

• Desarrollo de aplicaciones. Construir el código que dará lugar alproducto resultante en base al diseño realizado, utilizandolenguajes y bases de datos . Generando el código asociado a losprocedimientos de migración y carga inicial de datos.

• Realización de las pruebas unitarias y participa en las pruebas deconjunto de la aplicación.

• Configurar y explotar sistemas informáticos.• Programar bases de datos relacionales no corporativas.• Desarrollar componentes software en lenguajes de

programación.

Este perfil es conocido como Programador y/o AnalistaProgramador.


JEFE GESTION DE CONFIGURACIÓN• La gestión de la configuración es imprescindible en un proyecto

de ingeniería de software. El responsable del área será elencargado de diseñar el plan de gestión de configuración,participando en la creación de la planificación, establecimiento dehitos y entregas.

INGENIERO GESTION DE CONFIGURACIÓN• Encargado de ejecutar el plan de configuración. Entre sus labores

estarán la creación de versiones, realización de integraciones,documentación de versión, entre otros.

TÉCNICO PRUEBAS• En los sistemas que requieran de pruebas no automatizables

será necesario disponer de personal dedicado a ejecutar loscasos de prueba. La cualificación requerida variará según lanaturaleza del sistema y las pruebas a ejecutar.


INGENIERO DE EXPLOTACIÓN• Asegurar el buen funcionamiento físico de los sistemas

informáticos (automatización de copias de seguridad y laseguridad de datos).

• Administrar las incidencias y asegurar las soluciones. • Organizar y supervisar el trabajo de su equipo de los técnicos

de mantenimiento y los ingenieros de sistemas y redes. • Administrar tanto los abastecimientos como las relaciones con

los proveedores y los constructores. • Responsable del buen funcionamiento del sistema informático

y sus resultados. • Colaboración con el Responsable de Desarrollo para que el

sistema de arquitectura pueda responder a las exigencias de lasaplicaciones desarrolladas.

• Definir los procesos, los documentos y ejecutar su control.

JEFE DE MICROINFORMÁTICA• Dirigir el equipo ofimático. • Definir la arquitectura de la red local y su puesta en marcha. • Tomar a su cargo la microinformática a nivel material y logístico. • Definir y poner en marcha la política de mantenimiento del

parque ofimático. • Atender las necesidades de los usuarios, poner en marcha el

soporte de primer nivel y gestionar el buen funcionamiento delos puestos de trabajo.

• Gestionar la formación de los usuarios. • Asegurar las relaciones con los proveedores y los prestadores de

servicios externos. • Supervisar el desarrollo de pequeñas aplicaciones, participar

eventualmente en el desarrollo. • Participar en la elaboración de directrices y en la elección

estratégica relativa a la evolución de los puestos de trabajo. • Asegurar un control tecnológico. • Gestionar las redes locales y realizar los desarrollos específicos y

las interconexiones con las redes WAN. • Ser responsable de los aspectos ligados a la seguridad del

material y los datos del conjunto del parque informático.• Gestión y seguimiento de las incidencias informáticas

y de seguridad.

TÉCNICO MICROINFORMÁTICA• Instalar, configurar y mantener sistemas microinformáticos.• Conectar, configurar y mantener sistemas microinformáticos

en red.

JEFE DE INFORMÁTICA• Se encuentra principalmente esta función en las PYMEs o en

filiales de los grandes grupos.• Garantizar la fiabilidad, la coherencia y la evolución del sistema

informático desde un punto de vista técnico y funcional. • Tomar a su cargo el conjunto de los proyectos informáticos

de la PYME.• Participar en la definición de la estrategia y los objetivos

informáticos. • Organizar el departamento informático tanto a nivel humano

como a nivel material. • Definir y controlar el presupuesto o una parte del mismo en

función de su importancia. • Gestionar las relaciones con otros departamentos de la PYME

para establecer los planes de acción y en ciertos casos, los libroscontables.

• Gestionar las relaciones con los proveedores externos y loseventuales prestadores de servicio.

• Asegurar una unidad tecnológica y representar una fuerza deapoyo para la Dirección.

• Responsabilizarse de las Bases de Datos, Comunicaciones, etc deacuerdo a la pequeña escala de su empresa.

JEFE DE EXPLOTACIÓN• Responsabilidad de garantizar el adecuado nivel de servicio

en la explotación de los sistemas informáticos y teleinformáticos.

• Responsabilidad en la atención de usuarios y microinformática.• Responsabilidad en la verificación de la corrección en las

medidas de seguridad que requiera la política de seguridad de laorganización.

• Garantizar la continuidad de la función de negocio.• Planificar, supervisar y coordinar el desarrollo, implantación y

mantenimiento de los sistemas operativos, bases de datos,software de mercado y propio, básico o de soporte.

• Definir y actualizar el software básico.• Analizar y decidir la alternativa óptima de software de mercado

a adquirir.• Diseñar la política de hardware, respecto a adquisiciones,

sustituciones, …• Resolver y coordinar las incidencias de los sistemas.• Dirigir las actividades y recursos técnicos, materiales

y los equipos de soporte en materia de sistemas operativos,bases de datos y comunicaciones.

EXPLOTACIÓN

• Instalar, configurar y mantener paquetes informáticos depropósito general y aplicaciones específicas.

• Soporte y apoyo al usuario. • Gestión de Incidencias.

OPERADOR• Gestionar las incidencias, el mantenimiento y la evolución diaria

del parque instalado así como los consumibles. • Asistir a los usuarios en los incidentes de orden material y

logístico (soporte de primer nivel). • Asegurar la solución de las incidencias.

INGENIERO COMERCIALLos Ingenieros comerciales son muchas veces antiguos Ingenieros

de Desarrollo que después de haber realizado proyectosinformáticos, se han interesado por la relación con los clientes.• Gestionar los clientes o el área geográfica asignada según la

organización de la empresa. • Analizar los proyectos y las necesidades y proponer soluciones

en el plano técnico, humano y financiero. • Redactar las propuestas comerciales que pueden implicar

soluciones estándar o a medida.• Negociar los contratos. • Desarrollar el volumen de negocios y asegurar la gestión

administrativa. • Poner en marcha la estrategia comercial elaborada con la

dirección. • Asegurar el seguimiento de los proyectos y su realización.

INGENIERO PREVENTA• La mayoría han ocupado puestos técnicos, pero desean orientar

su carrera hacia puestos más cerca de la venta. • Apoyar a los comerciales en las entrevistas con los clientes.

Ayuda a definir la necesidad, presentar la solución o el productoen un plano técnico.

• Definir con mayor precisión la necesidad técnica del cliente. • Elaborar la parte técnica de la propuesta. • Gestionar la implantación de la solución asumiendo la gestión del

proyecto en su integridad, o asegurar una transferencia decompetencia hacia los equipos de implantación.

• Asegurar la comunicación entre los usuarios y el departamentode I+D para adaptar o evaluar el producto.

INGENIERO GESTOR DE PRODUCTO• Identificación de nuevos productos / servicios, y oportunidades

de desarrollo de negocio. Análisis de modelos de negocioasociados a la definición de los nuevos productos / servicios.

• Coordinar y participar en el proceso de marketing para eldesarrollo de productos / servicios.

• Colaboración en los estudios de investigación de mercado.• Colaborar en la definición de la estrategia evolutiva del

producto.• Seguimiento del rendimiento de los procesos y resultados

comerciales, identificando y documentando incidencias técnicas yde aplicación.

• Analizar las necesidades de los clientes, el mercado y lacompetencia, participando activamente en la planificación ydesarrollo de estrategias de ventas y marketing.


VENTAS Y MARKETING

• Mantener buenas relaciones con los usuarios teniendo en cuenta que es el primer contacto con el departamentoinformático.

INGENIERO DE SOPORTE• Técnica de Sistemas.• Microinformática. • Gestión de red y comunicaciones. • Administración base de datos. • Relacionadas con el soporte a la configuración, evaluación y

explotación del sistema informático.


CONSULTOR• Las personas que trabajen en este perfil son expertos de las problemáticas más frecuentes en cada sector y de las soluciones

informáticas disponibles.• El estudio de las necesidades funcionales y técnicas de los clientes.• Conocimiento y dominio de todas las Actividades del Análisis de Sistemas y experiencia como Analistas de Sistemas en la solución de las

problemáticas objeto de la consultoría. • Análisis, mejora, adaptación y diseño de los procesos específicos afectados en las problemáticas a solucionar. • La implantación y parametrización de los sistemas. • Analizar, proponer políticas de desarrollo, así como desarrollo y potenciación de los recursos humanos, estructura organizativa, con objeto

de optimizar los procesos y procedimientos implicados. • Planificación y estimación de recursos y costes de los proyectos implantados o a implantar.• La formación de los usuarios.• Conocimientos de las restricciones legales aplicables a cada proyecto.• Dominio de toda la normativa del sector.

AUDITOR• Recoger, agrupar y evaluar evidencias para efectuar diagnóstico de los sistemas informáticos desde diferentes ángulos: técnico,

organizativo, funcional, económico, legal, normativo y humano.• Determinar si en el análisis, diseño, construcción y explotación (producción) de un sistema informático se han considerado y evaluado los

riesgos y si se han establecido las salvaguardas adecuadas para mantener la confidencialidad, integridad y disponibilidad de la información.• Determinar si un sistema informático salvaguarda los activos y lleva a cabo los fines encomendados para la organización a la que da

servicio.• Determinar la eficiencia y eficacia del sistema informático teniendo en cuenta los objetivos de la organización con los que debe de estar

alineado y los recursos utilizados.• Verificar la conformidad del sistema informático con la legislación aplicable, o con normas estándar nacionales e internacionales exigidas

por las organizaciones publicas ó privadas tanto en su construcción, como en su explotación (producción) posterior.• Emitir informes de Auditoria Informática para la Administraciones Públicas y para las Organizaciones privadas y especialmente las

establecidas por las leyes y reglamentos vigentes.• Realizar Informes de Auditoria sobre aspectos concretos de los sistemas informáticos: Planificación y Gestión; Acceso a los sistemas; Datos

y Bases de Datos; Desarrollo y Calidad del Software; Canales de Distribución, Eficacia; Eficiencia de su gestión, etc.• Proponer las soluciones de mejora, en base a los informes emitidos y controlar su implantación.

PERITO• Redactar y firmar informes, dictámenes, peritaciones con validez oficial ante las Administraciones públicas, Tribunales de Justicia, y

Corporaciones Oficiales, así como para empresas privadas y usuarios particulares, en los asuntos relacionados con la Informática.

LEGAL Y CONSULTIVO

30 ALIbase

ALIbase 31

PresentaciónEl pasado 15 de diciembre se celebró en el Auditorio de Galicia, en Santiago de Compostela, la

Asamblea Constituyente del Colexio Profesional de Enxeñaría en Informática de Galicia (CPEIG).Este evento histórico llena de orgullo a la profesión, después de un esfuerzo de más de 15 años parallegar a este punto.

Nos encontramos en un momento decisivo para el futuro de los ingenieros en informática tantoen Galicia como en toda España. Tenemos el convencimiento de que el CPEIG es el medio a travésdel cual los profesionales del sector podemos par ticipar en el ordenamiento y regulación del ámbitode la ingeniería en informática. Los miembros de la Junta de Gobierno del colegio aspiramos a repre-sentar a este colectivo profesional dignamente, con responsabilidad, transparencia y la voluntad dehacer que el ejercicio de nuestra profesión sirva del mejor modo posible a los intereses de la socie-dad y de los profesionales del sector.

Objetivos estratégicosLas dos ideas esenciales de cualquier colegio son defender a la sociedad del ejercicio de una pro-

fesión y agrupar a un conjunto de profesionales, facetas que son complementarias porque la poten-ciación de una de ellas impulsa a la otra. Teniendo todo ello en cuenta, se establecen cuatro objetivosestratégicos claves, los cuales deben de tener un carácter permanente en el tiempo y ser abordadosde modo riguroso:• Divulgar la relevancia de la informática. El colegio mejorará la visión y el conocimiento que

tiene la sociedad sobre la informática en el mundo en que vivimos. Para ello se hará hincapié en ladependencia creciente de la informática en todos los sectores sociales, culturales y económicos,así como en la necesidad de que los proyectos de esta índole se realicen con unos mínimos decalidad.

• Mejorar la imagen de la profesión. La imagen de seriedad y la valoración global de la profe-sión dependerán de la capacidad del colegio para establecer códigos éticos y estándares de cali-dad. Estos elementos fijarán una base sólida para la labor de la ingeniería y permitirán una valora-ción cualitativa de los trabajos desarrollados. Estas medidas también supondrán una mejora

Fernando SuárezPresidente del Colexio Profesional

de Enxeñaria en Informática de Galicia

directa para la sociedad, ya que permitiráneliminar la desconfianza existente en el sectory potenciar las posibilidades de éxito.

• Dignificar la profesión. El colegio luchapara que los proyectos informáticos sean lle-vados a cabo por profesionales con una titu-lación adecuada y de forma digna, reconociday diferenciada. Este objetivo estratégico sedeberá construir sobre las bases de la con-cienciación en la importancia de la informá-tica y en el establecimiento de mecanismosde calidad que mejoren la imagen de la profe-sión, cuestiones enmarcadas en los dos obje-tivos anteriores.

• Establecer un marco de referencia paralos colegiados y colegiadas. El colegiosupone un punto de referencia, consulta yapoyo para todos sus miembros en su des-arrollo profesional. En este aspecto se poten-ciarán todos aquellos servicios que puedanredundar en la mejora de su trabajo.Los objetivos estratégicos enumerados debe-

rán abordarse con una mentalidad realista peroambiciosa. Somos conscientes de que en estearranque los recursos materiales y humanos sonlimitados, por lo que habrá que establecer unaserie de actuaciones prioritarias. En esta línea detrabajo se fomentará en la medida de lo posiblela par ticipación de los colegiados y colegiadas,creando un entorno de trabajo dinámico ybebiendo de las distintas fuentes que se puedanencontrar dentro de la comunidad profesional.Creemos firmemente que escuchar las inquietu-des de los miembros del colegio es un modo deenriquecimiento. Así, fomentar la colaboraciónde todos a través del trabajo en equipo redun-dará en el beneficio del colectivo de un modoproporcional al número de par ticipantes.

Por otra banda, se impulsará al máximo lacolaboración con el Comité de Creación delConsejo de Colegios de Ingeniería en Infor -mática (CCII) y con la Conferencia de Decanos yDirectores de Informática (CODDI). Estas insti-tuciones ostentan la representación de la profe-sión a nivel nacional y tiene objetivos fundamen-tales para nosotros, como la consecución deatribuciones profesionales o la representación

de los intereses en cuanto al Espacio Europeode Enseñanza Superior.

En cuanto a los miembros que forman par tedel colegio, éste debe representar un punto deencuentro alrededor del cual se ofrezcan todotipo de servicios que les supongan un valor aña-dido. De este modo se fomentará la formaciónde calidad, una bolsa de trabajo atendiendo a lascaracterísticas y competencias de la titulación,asesoramiento al autoempleo, el apoyo en todolo tocante a itinerarios profesionales, y todoaquello en lo que puedan necesitar la ayuda deuna entidad con las características que le con-fiere la ley.

Una de las principales dificultades con las quenos encontramos, dentro del ejercicio de la pro-fesión, radica en que la Ingeniería en Informáticaes, a día de hoy y con la Ingeniería Química, laúnica titulación del sistema universitario españolque no cuenta con una ley que le confiera atri-buciones profesionales. Esto supone una situa-ción de agravio comparativo que se podría cuali-ficar incluso de anticonstitucional. En este ámbitoel Estado es responsable de un abandono defunciones, ya que la Constitución Española leencomienda la función de regular las profesio-nes. Además, la Ley 12/1986 de atribucionesprofesionales de los ingenieros técnicos esta-blece en su disposición final tercera que elEstado promoverá una ley similar para las titula-ciones superiores, cosa que a día de hoy, veintiúnaños después, sigue sin existir. La Conferencia deDecanos y Directores de Informática (CODDI),junto con todos los colegios y asociaciones deingeniería e ingeniería técnica en informática,crearon lo que se dio en llamar ‘mesa de atribu-ciones’, que desde hace más de un año vienereclamando por varios medios que se resuelvaesta situación injusta. El CPEIG pretende ser unode los actores principales dentro de esta mesa,ya que cualquier avance en esta línea resulta vitalen la defensa de nuestra dignidad profesional yen la lucha contra el intrusismo.

Es, pues, necesaria una regulación de la profe-sión, para la que es fundamental el estableci-miento de atribuciones bien claras, la definiciónde estándares de calidad y la aplicación del con-

32 ALIbase

Las dos ideas esenciales

de cualquier Colegio son

defender a la sociedad

del ejercicio de una profesión

y agrupar a un conjunto

de profesionales.

estudios permitirán trazar con mayor claridad las líneas a seguiren la formación y en los itinerarios profesionales de los miembrosdel colegio.

Los planes de actuación trazados se pueden dividir en cuatrosegmentos o planes sectoriales: Universidad, AdministraciónPública, Colegios Profesionales e Industria.

Relación con la universidadEl Espacio Europeo de Enseñanza Superior (EEES) es fruto de

la declaración de Bolonia, que en el año 1998 fue firmada porvarios países europeos con la intención de homogeneizar losestudios universitarios para, de este modo, permitir la movilidadde los profesionales titulados, garantizando el reconocimiento deun título expedido en cualquiera de esos países. En ese contextose estableció que los estudios universitarios deberían contar dedos niveles: grado y máster. El Ministerio de Educación fue atra-sando una y otra vez las decisiones sobre la implantación delmodelo propuesto en Bolonia, pero ya no se puede posponermás, ya que en 2010 todos los países deberán tener implantadoslos nuevos estudios. A día de hoy todavía no está claro como seproducirá dicha implantación en España, pero el panorama noresulta demasiado alentador. El colegio está realizando un segui-miento exhaustivo de los movimientos que se están produciendo

cepto de responsabilidad civil a los proyectos informáticos. Paragarantizar esa calidad, haremos el mayor esfuerzo en conseguirque los proyectos sean visados.

Planes de actuaciónUno de los primeros pasos del CPEIG consiste situarse como

un nuevo agente social, buscando el reconocimiento y tratandode establecer redes de colaboración con las instituciones o enti-dades empresariales más representativas, entre las que se encuen-tran las universidades, la Xunta de Galicia, otros colegios profesio-nales y la industria. Una de las principales tareas es hacer llegar alos distintos organismos nuestra presencia, nuestros objeticos ynuestras actividades y servicios, de modo que seamos vistoscomo un agente colaborador en el desarrollo de tareas relaciona-das con la informática.

El CPEIG creará un observatorio tecnológico para analizar ydocumentar la aplicación de la ingeniería en informática en lasociedad gallega. A través de este observatorio se recogerá infor-mación sobre aspectos genéricos de los proyectos de ingenieríainformática que se ejecutan en Galicia por los colegiados y cole-giadas. Con la información recabada será posible elaborar estudios que publicará el propio colegio y que servirán de refe-rencia para las empresas y la administración. Adicionalmente los

ALIbase 33

La Asociación Española de Métricas de Sistemas Informáticos, AEMES,

es una asociación sin ánimo de lucro, constituida por un grupo de empresas,

instituciones universitarias y entidades públicas interesadas en la mejora

de los métodos cuantitativos de gestión del software.

Su misión es contribuir a la difusión de los métodos y técnicas relacionados con la gestión

cuantitativa de las Tecnologías de la Información y en particular en aquellos

aspectos relacionados con la mejora del proceso de desarrollo del software y su gestión

económica, en las empresas e instituciones que las desarrollan o lo utilizan,

promoviendo el uso de indicadores, métricas y cuadros de mando en las mismas.

ALI es miembro de AEMES, lo cual permite a todos sus asociados beneficiarse de las

ventajas que esta entidad ofrece en cursos, seminarios y demás actividades.

Más información en www.aemes.org.

AEMES

en relación a esta cuestión, defendiendo siemprelos intereses de los profesionales de la ingenieríaen informática.

En este ámbito, el CPEIG ya estableció susprimeros contactos con los representantes delas universidades de A Coruña, Santiago y Vigo,par ticipando activamente en la definición de losnuevos planes de estudios.

Relación con la administración públicagallega

En el entorno público daremos a conocernuestras actividades y los servicios de interéspara la ciudadanía y para la propia administra-ción. Actividades como la realización de estu-dios, informes, dictámenes, tasaciones, peritajes,pliegos de contratación, visados de proyectos yformación especializada están sobre la mesa conel fin de establecer convenios y acuerdos decolaboración para la mejora de los servicios quese ofrecen a la sociedad gallega.

Algunos de las actuaciones llevadas a cabo eneste ámbito incluyen la colaboración con laConsellería de Traballo para fomentar una bolsade trabajo de calidad, orientada a facilitar lainserción laboral de los nuevos titulados y lamovilidad de los ingenieros con experiencia.Otro campo de acción es la par ticipación delcolegio en la formación en todo lo relacionadocon las TIC en todos los estamentos de la admi-nistración tanto local como autonómica, para loque se emprendieron los primeros contactoscon la Escola Galega de Administración Pública.

Los cambios e innovaciones se dan cada vezmás deprisa en el terreno de las TIC modifi-cando modos de vida, relaciones productivas eincluso determinando nuevos modelos de des-arrollo económico. Es fundamental el modo enque se asuman esos cambios y se integre en lallamada Sociedad de la Información para aprove-char todas las posibilidades que se abren a nivelsocial y económico. Esta visión es la que afrontala Consellería de Innovación e Industria para lapuesta en marcha del Plan Estratégico Gallegode la Sociedad de la Información 2007-2010(PEGSI). El colegio colabora con la mencionadaConsellería en este programa marco cuyo obje-

tivo primordial es promover todos los avancestécnicos y culturales que sitúen a Galicia comoun país totalmente integrado en la Sociedad dela Información. Esta colaboración se concreta enla par ticipación en mesas de trabajo, realizaciónde estudios, etc.

Dentro del PEGSI cobra especial importanciael Clúster TIC de Galicia, constituido en Santiagoel pasado 31 de enero, y cuyo objetivo principales fortalecer la industria y la sociedad digital enGalicia. Esta unión histórica entre empresas galle-gas del sector de las nuevas tecnologías, profesio-nales, investigadores, agentes, usuarios e institu-ciones públicas, entre los que el CPEIG tiene unaposición relevante como miembro fundador yparte del comité estratégico, nace con la misiónde unificar esfuerzos empresariales gallegos y conla visión de ofrecer una marca de calidad al mer-cado global, evitando que Galicia quede atrás ensu intento de tener un puesto reseñable en elmercado universal de la informática. Los principa-les objetivos y fines del Clúster TIC son desarro-llar acciones que potencien las capacidades deproducción y comercialización de las empresasasociadas, generar mercado de alianzas entre lasempresas, favorecer el desarrollo tecnológico,difundir, promover y posicionar los productos yservicios gallegos en los diferentes mercados ypotenciar la cualificación de los recursos huma-nos y profesionales de las empresas del sector. Lapostura del colegio en cuanto al papel de losingenieros en informática en este proyecto esque “queremos hacerlo, sabemos cómo abor-darlo y con estrategias de juego cooperativo, queno competitivo, entre las fuerzas económicas ysociales, podemos lograrlo, Con este fin nace elClúster y para tal fin el CPEIG trabajará en él”-

Algunos de los frentes abier tos en los que seestá trabajando de cara al futuro en relación conla administración son:• Adecuación de titulaciones y pruebas de

acceso a la función pública en los puestosrelacionados con la informática.

• Definición de perfiles y tareas a desarrollar untitulado en informática en el ámbito público

• Correcto ejercicio de la informática dentrode la administración, lo que se traduce en la

34 ALIbase

Realización de estudios,

informes, dictámenes, tasaciones,

peritajes, pliegos de contratación,

visados de proyectos y formación

especializada son mejoras de los

servicios que se ofrecen

a la sociedad gallega.

supervisión por par te del colegio de los plie-gos de contratación de servicios relacionadoscon la informática y la exigencia de visadospara establecer unas mínimas garantías deservicio para la ciudadanía.

• Asesoramiento a la administración en todo lotocante a la informática.

Relación con otros colegios profesionalesEl resto de colegios profesionales, dentro del

ámbito de actuación de la comunidad gallega,serán una parte importante de la red de colabo-ración que se está creando. De un modo másconcreto, los colegios de abogados con demarca-ción en Galicia, serán muy relevantes dada laimportancia creciente de los aspectos legales enel campo de la informática. En este sentido seestá colaborando con las delegaciones de ACoruña y Santiago de Compostela en todo lorelativo a temas tales como la LSSI o la LOPD.

Relación con la industriaEl colegio debe ser también un centro de

referencia para el sector privado, contactandocon las cámaras de comercio, redes de coopera-ción local, otros clústeres y asociaciones profe-sionales o viveros de empresas. Dicha colabora-ción permitirá realizar estudios de los distintosmodelos de negocio y arquitecturas que favorez-can el desarrollo del tejido profesional y empre-sarial gallego en el entorno de la ingeniería eninformática. En este sentido el colegio deberáactuar como mediador y analizador de la realidad tecnológica y social de la comunidadpara impulsar las arquitecturas y estrategias denegocio que más puedan beneficiar a la sociedad.

En el entorno privado se informará a lasempresas y profesionales libres de nuestra activi-dad, incentivando y apoyando el ejercicio de laprofesión, elaborando un directorio de profesio-nales y empresas, estableciendo convenios devisado, fomentando la contratación de ingenie-ros e ingenieras, facilitando el marketing de lasempresas en los medios de comunicación delpropio colegio, organizando eventos relaciona-dos con la actividad empresarial, potenciando elreconocimiento de los profesionales y

cola borando con empresas en ámbitos de infor-mación especializada del sector.

Como mencionaba anteriormente, el colegioluchará para que los proyectos informáticas seanllevados por profesionales con una titulaciónadecuada. Para lograr este objetivo nos encon-traremos con una serie de dificultades. Por unapar te están las peculiaridades del propio tejidoempresarial gallego, en el que abundan laspequeñas (sobre todo) y medianas empresas. Eneste ámbito es más difícil llevar a cabo unamodernización de las tecnologías de la informa-ción. Por otra par te nos encontramos con unaherencia en el sentido de que muchos de lospuestos en relación con la ingeniería no estáncubier tos por personas con la titulación apro-piada, lo que redunda en que los proyectos sondirigidos sin seguir los mejores estándares decalidad, con las consecuencia futuras en lo querespecta a la calidad y seguridad de los mismos.Falta por tanto, una apuesta de los empresariosen cuanto a las ventajas y valores de los tituladosy tituladas en la Ingeniería en Informática, nosolo en los aspectos técnicos o de análisis, en losque son los únicos que aportan una cer tificaciónde conocimientos y técnicas de trabajo, sinotambién en todo lo que respecta a los aspectosdirectivos. El colegio tiene una de sus priorida-des en la defensa de que el puesto de directorde informática corresponda a un ingeniero o unaingeniera en informática. Del mismo modo, elcolegio fomenta que este puesto reporte direc-tamente a la dirección general de la empresa, demodo que pueda par ticipar en los planes estra-tégicos, aportando soluciones tecnológicas quebeneficien al negocio.

Por otra parte, se está haciendo un impor-tante esfuerzo en el apoyo y asesoramiento alautoempleo, práctica que se está convir tiendo enuna alternativa real para los profesionales, pero ala que todavía le falta afianzarse en Galicia.

Para llevar a cabo esta ambiciosa campaña, elCPEIG está llevando a cabo reuniones periódi-cas con los responsables tanto de las administra-ciones públicas como de las empresas paralograr la concienciación necesaria para que sur tael efecto deseado. ❉

ALIbase 35

En el entorno privado

se informará a las empresas

y profesionales libres de nuestra

actividad, incentivando

y apoyando el ejercicio

de la profesión.

36 ALIbase

Informática forense: un enfoque preventivo

ALIbase 37

¿Qué es y cuándo se aplica el análisis forense informático?Entendemos por análisis forense informático o, más propiamente dicho, tecnoló-

gico a la aplicación de cier tas técnicas y tecnologías en la investigación de incidentesde cualquier tipo.

Citando a Richard Saferstein (uno de los mayores exper tos mundiales en cienciaforense tradicional), “La ciencia forense es la aplicación de la ciencia a aquellas leyes,civiles y criminales que se hacen cumplir por las agencias policiales en un sistema cri-minal de justicia” (Criminalistics, 2001).

Por extensión, la ciencia forense informática (o tecnológica) es la aplicación de laciencia, entendida como tecnología y/o informática, de la misma manera. En el casode la cita de “Estudio en Escarlata” que abre este ar tículo la idea que SherlockHolmes anda buscando es una forma de evidenciar que existen restos de sangremediante la reacción con la hemoglobina (Sir Ar thur Conan Doyle, a través de sufamoso personaje Holmes, es un pionero de la ciencia forense).

Aunque los investigadores forenses tradicionales y las fuerzas del estado incluyenequipos especializados en delitos tecnológicos, delitos de guante blanco, fraude… escierto que la investigación forense informática se ha convertido en una disciplina másdentro del grupo de conocimientos que la seguridad tecnológica e informática incorpora.

En el sector privado podemos encontrar un gran número de empresas, organiza-ciones y exper tos que, con mayor o menor profundidad y desde enfoques diversos,desarrollan proyectos de investigación forense en entornos variopintos. Valgan comoejemplos la investigación y análisis en contenciosos laborales (muy habituales) o larespuesta frente a incidentes de seguridad en sistemas de información (“hacking”).

Como enfoque macroscópico y, en un intento de agrupar en grandes grupos lasáreas de alcance de la ciencia forense, podemos afirmar que las técnicas de la cienciaforense tecnológica pueden aplicarse cuando hablamos de:

1. Delitos o incidentes donde la tecnología ha sido un medio para laconsecución de un objetivo: ejemplos tales como calumnias e injurias medianteherramientas tecnológicas (teléfonos, correo-e), delitos de fraude mediante termina-les de comunicaciones, robo de propiedad intelectual, etc.

“—¡Ya di con ello! ¡Ya di con ello! — gritó a mi acompañante, y vino corriendo hacianosotros con un tubo de ensayo en la mano—. Descubrí un reactivo que es precipitado

por la hemoglobina y nada más que por la hemoglobina.” –

Sherlock Holmes en Estudio en Escarlata, Sir Arhur Conan Doyle.

Pablo Román Ramírez Giménez

2. Delitos o incidentes donde la tecnología ha sido elfin último: los clásicos de intrusiones no autorizadas, descubri-miento y revelación de secretos (contraseñas).

3. Delitos o incidentes donde la tecnología ha sidomedio y fin: suelen ser aquellos que encadenan múltiples obje-tivos tecnológicos como son el uso de bouncers (reflectores deconexiones) y/o “botnets” (redes de ordenadores infectados)que pueden emplearse para diversos fines poco éticos.

Debe ser evidente que no todos los casos investigados en unproceso forense caen dentro de estas clasificaciones y, desdeluego, muchos otros tienen ramificaciones en múltiples tipologíasmás complicadas de clasificar de forma abstracta.

En general, la mayor par te de los casos investigados tiene quever con entorno laboral, ceses de la relación entre empleado yempresa, casos de propiedad intelectual e industrial, algunoscasos de incidentes de seguridad…

La investigación forense tradicionalLa aplicación de las técnicas de investigación forense desde

los primeros acercamientos se ha venido haciendo con un enfo-que reactivo y a posteriori (“post-mor tem”).

Es decir, una vez ha ocurrido un incidente del tipo que sea seprocede a acotar la escena del crimen (habitualmente uno ovarios equipos informáticos) del que se obtendrán evidenciasdirectas (aquellas que extraemos directamente del objeto denuestra investigación) y relacionando estas evidencias con cua-lesquiera otras indirectas (por ejemplo recopiladas por sistemasde vigilancia, detectores de intrusos, cor tafuegos, registros deacceso a edificios…).

Este tipo de proyectos se dan bajo demanda y en situacionesde emergencia. El afectado solicita una serie de servicios y asis-tencia que deberán prestarse en plazos poco razonables desdeel punto de vista de planificación y organización.

La calidad de las evidencias que podemos extraer en estas situa-ciones es como poco cuestionable; lo habitual es que distintos res-ponsables y no responsables dentro de una organización pasen, conmayor o menor impacto, por el equipo o equipos involucrados enun incidente (y entendamos incidente como un hecho genérico queno tiene que ser una intrusión necesariamente).

En muchas ocasiones, la detección del incidente genera unareacción de contención instantánea por par te del personal téc-nico de una organización. Reacción claramente perjudicial entanto que suele implicar reiniciar servidores, con la consiguientepérdida de las evidencias volátiles en memoria o procesador(Wietse Venema y Dan Farmer, “Orden de volatilidad de eviden-cias”), acceder a discos duros de empleados (que pueden llevara invalidar las evidencias bajo la sospecha de manipulación inte-resada de estos) o directamente la reparación o reinstalación delelemento en cuestión.

Las probabilidades de éxito en un caso de investigaciónforense que se ha desarrollado en circunstancias de emergenciasno planificadas (ausencia de planes de contingencia, planes decontinuidad, procedimientos de respuesta a incidentes, …) sonmenores de forma clara; las evidencias se degradan o corrom-pen, una escena del crimen o las mismas evidencias han podidoser manipuladas por individuos interesados (un defensor podríaargumentar esta manipulación o demostrar incluso una persecu-ción), todo esto sin mencionar la complicación de seguir un ras-tro en entornos no preparados.

38 ALIbase

Figura 1.

Valoración y gestión del riesgoComo casi todos los proyectos de seguridad, una buena

aproximación a la prevención forense par te de la gestión deriesgos de la organización. Contando con un correcto mapa deactivos y riesgos valorados sobre estos (no es propósito de estear tículo incidir en la metodología de análisis y gestión de ries-gos) podemos determinar recursos que necesitan especial aten-ción desde la perspectiva de seguridad.

De las matrices de valoración de activos, amenazas y vulnera-bilidades, controles de mitigación y riesgos efectivos podemosdeducir tecnologías aplicables y una aproximación de coste-inversión para una organización en par ticular ; toda esta informa-ción puede obtenerse de la gestión de riesgos, ya sea cuantita-tiva (donde aproximas impactos por costes y pérdidas económi-cas) o cualitativa (con una aproximación subjetiva y no cuantifi-cable de forma económica).

Por ejemplo, identificar un activo con un gran peso, altoimpacto en la organización y escasos controles de mitigaciónpodría llevarnos a valorar la implantación de sistemas avanzadosde vigilancia de este con herramientas de detección de intrusos(entre otras).

PlanificaciónDe acuerdo con el mapa de activos y riesgos podemos tomar

una serie de decisiones que hagan óptima la distribución derecursos dedicados a la práctica forense.

Así, podemos incidir en las ventajas de contar con un proce-dimiento detallado de respuesta a incidentes (el CentroCriptológico Nacional, el NIST, CIAC y otros, cuentan con pro-puestas y aproximaciones sobre el tratamiento y respuesta) que

El enfoque preventivoEste enfoque nace, precisamente, como sistematización del

proceso forense antes de que el incidente ocurra, es decir, a priori (“ante-mor tem”), cuando podemos planificar con calmay con recursos todos los pasos que vamos a dar en el trata-miento de cada tipo de incidente (el mismo procedimiento tienedistintos enfoques si el ámbito de aplicación es laboral, mercan-til o penal).

Las probabilidades de conseguir evidencias de calidad cuandoestablecemos una relación con el cliente anterior al incidenteaumentan de forma exponencial; estamos hablando de conse-guir que la estructura organizativa y, por extensión, las platafor-mas e infraestructuras de una organización se adapten para con-seguir las mejores evidencias forenses.

Huelga mencionar las consecuencias en el ahorro de costescuando la planificación de la respuesta ha sido preventiva y noresponde a necesidades de urgencia en el tratamiento de unincidente que ya ha ocurrido y, por supuesto, es extremada-mente impor tante poder documentar y hacer seguimiento deprácticamente todos los procesos de negocio (y de sus infraes-tructuras asociadas).

Casos recientes como el de la Société Générale donde sehabla de un fraude (desarrollado mediante medios informáticosentre otros) reconocido de alrededor de 50.000 millones deeuros (“El Mundo”, 27-1-2008) nos llevan a señalar este casocomo bandera de muchos más que evidencias la necesidad deprocedimientos de gestión forense, documentación de las evi-dencias etcétera.

ALIbase 39

Figura 2.

nos ayude a coordinar cómo queremos gestionary responder a la situaciones de crisis que puedandarse en el futuro.

Por supuesto, planes de continuidad, contin-gencia y gabinetes de crisis son tambiénimprescindibles en tanto que establecen losprotocolos y las estrategias de recuperación encaso de fallo (sin entrar ahora mismo en el tipode amenaza específica).

Pero todos estos proyectos que sí cubrenlas necesidades principales planteadas por laorganización pueden ser limitados en lo que serefiere a la recuperación de evidencias. Lo habi-tual es plantear procedimientos que garanticenla continuidad de la operación y que ayuden aresponder a un incidente desde la perspectivade la disponibilidad.

¿Qué ocurre con la preservación de la evi-dencia? ¿Y con la protección de los activosfrente a futuras amenazas del mismo tipo?Hemos de tener siempre presentes las conse-cuencias derivadas de cualquier tipo de inci-dente relacionado con nuestra organización.

Dedicando un esfuerzo bajo dentro de laplanificación de la respuesta a incidentes o den-tro de la gestión de la continuidad de negocio,podemos mejorar en muchos niveles nuestradinámica de documentación y protección de laevidencia.

Con una buena política de uso de estas evi-dencias podemos obtener resultados directosen la prevención de acciones dañinas para laorganización (malas prácticas, tiempos deparada,…) e incluso podemos llegar a hablar deprevención de cier tos tipos de fraude detecta-bles mediante estas evidencias.

Ahorro de costes y rendimientos óptimosen la respuesta forense

Los presupuestos en materia seguridad cadavez son mayores en todas las organizaciones. Enempresas consideradas de baja inversión comopueden ser las tradicionales PYMES, la orienta-ción ha cambiado y se estima que a lo largo delos años próximos la inversión, en este tipo deempresas, va a aumentar en muchos tantos porciento (encuesta de la revista CISO de 2007).

En la mayor par te de los casos dedicar unleve esfuerzo en materia de prevención forensepuede reducir la potencialidad del incidente deseguridad de forma drástica.

La mejor formación de los equipos de res-puesta trabajando antes de una situación deemergencia (observemos la prevención deincendios, simulacros,…) ayuda, con un costede inversión mínimo, a evitar situaciones depánico, a asegurar el correcto tratamiento deun incidente, a garantizar la calidad de las evi-dencias recopiladas y, en general, a conseguiruna respuesta óptima frente a todas las situa-ciones conocidas o previstas, y a mejorar la res-puesta frente a situaciones nuevas.

Pero no debemos quedarnos en los argu-mentos tradicionales de ROSI (Retorno de lainversión en seguridad) sino que podemosampliar la valoración del rendimiento real de lainversión en tanto que podemos hacer frente apotenciales consecuencias legales (sancionesderivadas de diversas legislaciones como pue-den ser la LOPD o la Ley de PropiedadIntelectual).

40 ALIbase

Ahora mismo podemos ver

soluciones con altas capacidades

de correlación de eventos

de diferentes fuentes, integración

con diferentes soluciones

de SIEM, sistemas de alerta

temprana, técnicas de gestión

de evidencias y todo tipo

de mejoras en infraestructuras

que, hasta ahora, se planteaban

como “valor añadido” .

ALIbase 41

Y, desde luego, podemos hablar con cifras reales de reduc-ción de casos de fraude o de incidentes en función a prácticasde mejora de la respuesta forense. Si un proceso de negocio esgestionado correctamente desde la prevención en materiaforense estamos hablando de la posibilidad (real) de realizar unseguimiento estricto que pueda llevar, incluso, a la detección depatrones de malas prácticas, problemas que estén en marcha y,obviamente, a la utilización de evidencias de calidad que previa-mente hemos obtenido, protegido y puesto a disposición de losresponsables per tinentes.

FuturoLos diversos fabricantes e integradores que ahora mismo tra-

bajan en el mercado ya incluyen dentro de sus soluciones herra-mientas y soluciones diversas en materia de protección de evi-dencias. Incluso fabricantes especializados en herramientasforenses han desarrollado soluciones preventivas (hasta cier topunto) que permiten la vigilancia ante-mor tem (antes de queocurra el incidente).

En muchos casos por imperativo legal en los países dondeoperan y, en muchos otros para dar respuesta a las necesidadesque, cada vez más, sus clientes plantean.

Ahora mismo podemos ver soluciones con altas capacidadesde correlación de eventos de diferentes fuentes, integración condiferentes soluciones de SIEM, sistemas de aler ta temprana (connotificaciones de incidentes que ocurren en otras zonas geográ-ficas), técnicas de gestión de evidencias y todo tipo de mejorasen infraestructuras que, hasta ahora, se planteaban como “valorañadido” pero que, la evolución natural de los mercados, ha lle-vado a considerar como necesidades par ticulares.

El auge de las tecnologías de vir tualización que permiten,entre otras cosas, obtener copias “en caliente” del sistema enfuncionamiento o interceptar determinadas operaciones a nivelde núcleo (que de otra manera sería prácticamente inviable)abren otra puer ta en materia de prevención forense.

En breve vamos a ver sistemas de firma digital de la evidenciade forma automática, la integración con Terceros de Confianza(de acuerdo con el modelo planteado en la Ley 34/2002) deforma que estos gestionen y validen transacciones e incluso losficheros históricos de nuestras plataformas, correlación de laevidencia forense con las prácticas habituales dentro de la orga-nización (lo que puede llevar a la detección de incidentes en elmismo instante en que se están produciendo).

Incluso con la emergencia de aplicaciones derivadas de lafilosofía del “Trusted Computing” (a grosso modo, permitir solola ejecución de programas firmados o validados por la organiza-ción) podemos hablar de interceptar problemas detectados por

vulneraciones de la política específica de un proceso de negociodeterminado o del uso indebido de algún tipo de recurso.Podríamos hablar de sistemas de control que mediante las trazasde auditoria y el conocimiento forense adquirido nos permitie-ran bloquear intentos de fraude antes (ante-mor tem) o durantede su ejecución (peri-mor tem).

ConclusionesLa práctica forense estándar en entornos tecnológicos lleva ya

suficiente tiempo en el mercado como para existir una respuestacomún establecida en el tratamiento de este tipo de proyectos.Las herramientas que el mercado maneja ya están muy consoli-dadas (Encase, Autopsy-sleuthkit, FTK) y los procedimientos enuso son aplicados por todas las empresas y exper tos de estas.

En el ámbito preventivo existen acciones dispersas dentro deotros proyectos de mayor entidad (planes de continuidad, con-tingencia y respuesta a incidentes) pero que adolecen de cier talaxitud en lo que a requisitos forenses se refiere.

La protección de las evidencias, firma digital de estas, contro-les de acceso y vigilancia y, por supuesto, todas las implicacioneslegales asociadas como pueden ser las derivadas por la LOPD, elar tículo 20.3 del “Estatuto de los trabajadores”, etcétera, llevan aplantear nuevos modelos de gestión de la seguridad.

También, como conclusión directa debemos incidir en elenfoque preventivo de la práctica forense como mejor prácticadesde la perspectiva de garantizar la calidad de las evidencias,como mejor gestión y control de los procesos de negocios y lasplataformas que le dan sopor te y, por supuesto, el menor coste(y mayor beneficio) en la gestión anterior a un incidente sin laspresiones de una situación de emergencia. ❉

Figura 3. ENCASE Forensic (Origen Guidance Software).

42 ALIbase

Cualquiera que lea el ar tículo puede preguntarse por lapresunta redundancia de la expresión “Sistemas deInformación Informatizados” en inglés “InformationSystems”, pero ¿y en Español? La respuesta no parece senci-lla, sobre todo porque hasta la fecha la RAE (Real AcademiaEspañola) no ha definido con palabras de nuestro idioma,¿Qué es un “Information Systems”? y si traducimos lite-ralmente por “sistema”+”información” su significado enespañol no se corresponde con el significado en inglés de“information” + “system”. Ante esta tesitura hay quienesprefieren “borrar informatizados” y traducirlo simplementepor “Sistemas de Información”, en está línea estaría elpropio MITyC, o instituciones como AENOR. Así se hapuesto de manifiesto con la publicación de la norma “UNE157801:2007 Criterios generales para la elabora-ción de proyectos de sistemas de información”, cuyodesarrollo y contenidos se llevaron a cabo durantetres años con el nombre de “Criterios Generales parala Elaboración de Proyectos de Sistemas deInformación Informatizados”.

Todos los Ingenieros e Ingenieros Técnicos enInformática sabemos que un “Sistema de InformaciónInformatizado” debe expresarse en español como un“Sistema Informático” y que la palabra Informática secreó precisamente para expresar el tratamiento automáticode la información por medio de ordenadores. Esta norma,en cuya elaboración han par ticipado gran número deFacultades de Ingeniería en Informática de nuestro país, esrealmente la norma general para los Proyectos

Seguridad y Control en los “Information Systems”(1)

Realidad – Mercado – Formación

(1) La denominación: Information Systems – Sistemas Informáticos – Sistemas de Información Informatizados – Sistemas de Información.

José Mª de la Heras MontesVocal de ALI

de la Ingeniería en Informática. Ahorabien si desde instancias oficiales a la“Informática” se la quiere rebautizar como“Information Systems” sin que la RAE lo hayadefinido, lo razonable sería utilizar las palabras enIngles, sobre todo para no crear riesgos de con-fusión en los propios contenidos y responsabili-dades en los proyectos de “InformationSystems” que contratan las organizacionespúblicas y privadas españolas.

Siguiendo este planteamiento, que es el queparece seguir el MITyC, la Asociación de Ingenierose Ingenieros Técnicos en Informática – ALI ha soli-citado a Decanos y Directores de Facultades yEscuelas de Ingeniería e Ingeniería Técnica enInformática que las denominaciones de los títulosque se emitan incluyan también su denominaciónen Ingles: GRADO DE INGENIERIA EN INFORMATICA (INFORMATIONSYSTEM ENGINEERING DEGREE). Verdetalles en http://www.ali.es/modules/news/ar ti-cle.php?storyid=144.

Y sin entrar en los debates que nos da elidioma, que no son objeto de este ar tículo, enlos apar tados siguientes se pretende abordar larealidad de la Seguridad y Auditoría en los“Sistemas de Información Informatizados”,dejando que el lector los sintetice con el nom-bre que prefiera, hasta que la RAE nos diga a losEspañoles cual es el nombre que deberíamosutilizar. Para no herir susceptibilidades, que enúltimo término sólo dependen de las respuestasque nos dé la RAE, en este ar tículo usaremos ladenominación en inglés.

1. Realidada) Durante 2007 la Ley ha entrado delleno en la seguridad de los“Information Systems”.

Para la Ingeniería en Informática y losProyectos de “Information Systems” que lleva acabo, los diez últimos años han sido decisivos enlo que a Seguridad y Control se refiere puesaunque siempre han estado presentes, sinembargo los criterios, normas y legislación sobreseguridad en “Information Systems” apenas siestaban definidos. Con las destacables y honro-

sas excepciones de la Ley Orgánica 5/1992 de29 de Octubre, de regulación del tratamientoautomatizado de datos de carácter personal(LORTAD), derogada tras la promulgación de laLey Orgánica 15/1999 de 13 de Diciembre deProtección de Datos de Carácter Personal(LOPD), que desarrollan el mandato constitucio-nal, recogido en el apar tado 4 del Art.18 queestablece el derecho a la intimidad y a la inviola-bilidad del domicilio: "La Ley limitará el usode la informática para garantizar el honory la intimidad personal y familiar de losciudadanos y el pleno ejercicio de susderechos", aunque hay que añadir que hasta elpasado 19 de enero de 2008(http://www.boe.es/boe/dias/2008/01/19/pdfs/A04103-04136.pdf) no ha sido publicado en elBOE el REAL DECRETO 1720/2007, de 21 dediciembre, por el que se aprueba elReglamento de desarrollo de la LeyOrgánica 15/1999, de 13 de diciembre, deprotección de datos de carácter personal.El nuevo reglamento recoge la interpretaciónque de la Ley Orgánica han efectuado losTribunales a través de la jurisprudencia, mejorala seguridad jurídica y resuelve determinadascuestiones y lagunas interpretativas.

Entre sus innovaciones es destacable para laIngeniería en Informática la que se recoge en suDisposición adicional única sobre Productos desoftware: “Los productos de software desti-nados al tratamiento automatizado dedatos personales deberán incluir en su des-cripción técnica el nivel de seguridad, básico,medio o alto, que permitan alcanzar deacuerdo con lo establecido en el título VIIIde este reglamento”. Dando un paso cualita-tivo de gran alcance al exigir la seguridad no soloen el “uso de la informática”, sino también en los“productos software” que se adquieren y diseñanpara formar parte integrada de los “InformationSystems” que tratan datos de carácter personal.Si tenemos en cuenta que en gran número deProyectos de Diseño y Construcción de“Information Systems”, el tratamiento de datosde carácter personal está presente, el nuevoreglamento pasa a formar parte de las nor-

ALIbase 43

Todos los Ingenieros

e Ingenieros Técnicos

en Informática saben

que un “Sistema de Información

Informatizado” debe expresarse

en español como un “Sistema

Informático” y que la palabra

Informática se creó para

expresar el tratamiento

automático de la información

por medio de ordenadores.

mas de seguridad, de obligado cumplimiento para losIngenieros e Ingenieros Técnicos en Informática que los lle-vamos a cabo. Sin duda, sectores que hacen uso intensivo del tra-tamiento de datos personales, como el Sector Público en general osectores como Sanidad, Financiero, etc. se verán afectados por estanueva disposición y por supuesto también se verán afectadas lasempresas proveedoras de “productos software” específicos paraestos sectores:• Si el uso de un producto software fuera la causa de

incumplimiento de la Ley para una organización y es sancio-nada por la Agencia de Protección de Datos ¿Quién pagará lasconsecuencias?

• A par tir de la entrada en vigor del nuevo reglamento ¿Sepodrán seguir comercializando productos software que tratandatos de carácter personal sin incluir en su descripción técnicael nivel de seguridad, básico, medio o alto, que permitan alcan-zar de acuerdo con lo establecido en el reglamento?La entrada “legal”, de la seguridad en Productos Software, tam-

bién es el primer paso que con carácter general da la Ley paraentrar en la Ingeniería en Informática. Si importante es el nuevoreglamento, son igualmente de gran importancia para la seguridaden los “Information Systems” otras leyes publicadas en 2007:• Ley de Acceso Electrónico de los Ciudadanos a los Servicios

Públicos.h t t p : / / b o e . e s / g / e s / b a s e s _ d a t o s / d o c . p h p ? c o l e c c i o n=iberlex&id=2007/12352 que en los próximos meses deberádar origen a un Esquema Nacional de Interoperabilidady a un Esquema Nacional de Seguridad.

• Ley de Medidas de Impulso de la Sociedad de la Información.http://www.boe .es/g/es/bases_datos/doc .php?coleccion=iberlex&id=2007/22440

• Ley de Conservación de datos relativos a las comunicacioneselectrónicas y a las redes públicas de comunicaciones.h t t p : / / w w w . b o e . e s / b o e / d i a s / 2 0 0 7 / 1 0 / 1 9 / p d f s /A42517-42523.pdf

• ORDEN PRE/2740/2007, de 19 de septiembre, por la que seaprueba el Reglamento de Evaluación y Certificación de laSeguridad de las Tecnologías de la Información.http://www.oc.ccn.cni.es/pdf/ORDENPRE27402007.pdf

b) También 2007 ha sido un año de consolidación ycontinuidad en el desarrollo de normas ISO/IEC y UNErelacionadas con la seguridad de la información.

Podemos observar, como algunas de las disposiciones legalescomienzan a hacer referencia directa a normas de seguridad exis-tentes aceptadas internacionalmente, como en la OrdenPRE/2740/2007, de 19 de septiembre que en su Artículo 141(Criterios de evaluación) recoge las referencias a las normas:• Common Criteria for Information Technology Security

Evaluation (abreviado, CC).• ISO/IEC 15408, Evaluation Criteria for IT Security.• Information Technology Security Evaluation Criteria (abre-

viado, ITSEC). Office for Official Publications of the EuropeanCommunities.

• y en su Artículo 142 (Metodologías de evaluación) las refe-rencias a las normas:

44 ALIbase

de 2007 para reemplazar la versión de 2002. Con la actualiza-ción se ha incluido la versión 3 del modelo de capacidad deIngeniería de la seguridad - System Security Engineering -Capability Maturity Model SSE-CMM) – publicado porInternational Systems Security Engineering Association (ISSEA)como especificación pública y gratuita.

• ISO/IEC 27006 Information technology - Security tech-niques - Requirements for bodies providing audit andcertification of information security managementsystems (publicada en 2007).

Durante los tres últimos años los pasos dados por lasorganizaciones ISO/IEC en seguridad de laInformación tratada por medio de ordenadores yredes de comunicaciones pueden ser consideradocomo definitivo para establecer la Seguridad en laIngeniería en Informática y en los “Information Systems”.Para el lector que desee ampliar información sobre estas normaspuede visitar los sitios: http://www.iso27001security.com,http://www.iso27000.es, http://www.iso27001certificates.com,http://www.sse-cmm.org, http://www.issea.org.

Y el paso dado por las organizaciones ISO/IEC en relación conla seguridad de la información de mayor alcance no se limita a lapublicación de nuevas o actualización de existentes, sino porhaber definido una nueva familia de normas “serie 27mil”para la seguridad de la información. Pronto podremos dis-poner de nuevas normas en las que ya se está trabajando como:• ISO/IEC 27000 Fundamentals and vocabulary.

• Common Methodology for Information Technology SecurityEvaluation» (abreviado, CEM)

• ISO/IEC 18045, Methodology for IT Security Evaluation.• Information Technology Security Evaluation Manual» (abre-

viado, ITSEM). Office for Official Publications of the EuropeanCommunities.Y también en la Comunidad Europea podemos encontrar

directivas que incluyen referencias a normas de seguridad, comoen el caso de las DIRECTRICES SOBRE LA SEGURIDAD DELOS SISTEMAS DE INFORMACIÓN DE LOS ORGANIS-MOS PAGADORES (15 Oct 2004), en las que se hace referen-cia a normas como ISO/IEC 17799 y BS 7799 ó a modelos deMadurez de Capacidad del Proceso de Seguridad y que deberánser actualizadas, en sus nuevas ediciones, haciendo referencia a lasversiones actuales de las mencionadas normas: • ISO/IEC 27001 Information technology — Security

techniques — Information security managementsystems — Requirements (publicada el 15 de octubre del2005). Disponible en español como norma UNE desdenoviembre de 2007).

• ISO/IEC 27002 Information technology — Securitytechniques — Code of practice for information securitymanagement (publicada el 15 de junio del 2005 comoISO/IEC 17799:2005. Esta previsto que esta nueva versión estedisponible en español como norma UNE en 2008).

• ISO/IEC 21827 -- Information technology – Securitytechniques – Systems security engineering – Capabilitymaturity model SSE-CMM® (actualizada el 17 de enero

ALIbase 45

• ISO/IEC 27003 ISMS implementation guidance (Pre vista su publicación durante 2008).

• ISO/IEC 27004 Information security management measure-men. (Prevista su publicación durante 2008).

• ISO/IEC 27005 Information security risk management.

Ante esta nueva realidad podríamos hacernos la pregunta: ¿El nuevo Esquema Nacional de Seguridad tendrá encuenta las normas ISO/IEC 27001 y 27002 e ISO/IEC21827?

Aunque la respuesta no la tendremos hasta los próximosmeses lo que parece claro es que no deberá ignorarlas, pues defacto, no solo son los estándares mundiales más difundidos y utili-zados en los proyectos de seguridad en los “Informatión Systems”,sino que también permiten cer tificar los sistemas y proceso (osubprocesos) de seguridad de las organizaciones.

Es evidente que si la opción fuera, como en el caso de la yacitada Orden PRE/2740/2007, de 19 de septiembre, referenciarlasdirectamente, su impacto positivo para la seguridad de los“Information Systems” y de la Sociedad de la Información denuestro país sería de gran magnitud, contribuyendo a situar ambas:Sociedad de la Información Û Seguridad en el grupo de paísesque por capacidades económicas y tecnológicas nos correspondeestar.

c) Realidad para la Ingeniería en Informática.También la realidad para la Ingeniería e Ingeniería Técnica en

Informática es que muchas de las leyes y normas que queríamostener como marco de referencia para que, como en el resto deIngenierías, la seguridad se integre como par te consustancial delos proyectos, ya están vigentes y disponibles. Como Ingenieros eIngenieros Técnicos en Informática hemos de ser conscientes que

en los próximos meses se nos exigirán en nuestras actuacionesprofesionales y en los proyectos de “Information Systems” que lle-vemos a cabo.

La pregunta que ahora nos corresponde hacernos es ¿Lasconocemos y estamos preparados para aplicarlas? y nuestra res-puesta solo puede ser una: SI ó SI, pues el NO, no vale como res-puesta de un Ingeniero.

También las Facultades y Escuelas de Ingeniería e IngenieríaTécnica en Informática deben hacerse la misma pregunta:¿Estamos enseñando a nuestros estudiantes de Ingeniería eIngeniería Técnica en Informática las Leyes y normas de seguridadque deberán de aplicar en su ejercicio profesional comoIngenieros? Y como en el caso anterior la respuesta solo puedeser una: SI ó SI, pues el NO, no vale si están formando Ingenieros.

2. MercadoLa rapidez con la que se ha desarrollado tanto la nueva legisla-

ción, como las normas, no ha sido un capricho de tecnólogos, sinoatender una necesidad demandada por las empresas, administra-ciones públicas y cada uno de nosotros como ciudadanos.¿Alguien puede pensar que puede existir una Sociedad dela Información como la que estamos creando, sin Leyes,sin Normas internacionales y nacionales, sin Profesionalesa quienes se les exijan responsabilidades?

¡Sería imposible! pues en vez de construir la Sociedad de laInformación lo que propiciaríamos sería un grave problema socialde caos en la información.

Somos conscientes que la Sociedad de la Información sigue suacelerado desarrollo, aunque algunas estadísticas no sitúan a Españaen los lugares en los que nos gustaría que estuviera, (verhttp://epp.eurostat.ec.europa.eu/cache/ITY_OFFPUB/KS-SF-07-116/EN/KS-SF-07-116-EN.PDF) Ahora bien las inversiones y creci-

46 ALIbase

ALIALI®


ALI tiene firmado un convenio con La Caixa para el beneficio de sus socios.

Dicho convenio se puede consultar en la web de ALI www.ali.es

o en la Secretaría c/ Mayor 4, 6º • 28013 Madrid • Tel.: 91 523 86 20.


miento del mercado de la seguridad de la información, también son uníndice que nos ayuda a entender el crecimiento de la Sociedad de laInformación y en este sentido España si esta siguiendo el crecimientoque siguen los países con economías similares.

Según detalla la Revista SIC (http://www.revistasic.com) en su número78 correspondiente a Febrero de 2008, para este mercado en nuestropaís: representará algo más de 737 millones de euros, lo quesupondría un crecimiento del 21% respecto al año anterior(530 millones de euros). El desglose genérico de los epígrafes y suscrecimientos se estima que será: • Hardware: representará el 21% - se estima un crecimiento: entre

el 17 y 19%. • Software: representará el 28 % - se estima un crecimiento: entre

el 20 y 22%.• Servicios: representará el 51% - se estima un crecimiento: entre

el 26 y 28%.El informe señala que a este crecimiento contribuyen, además de

los nuevos frentes de protección, el cumplimiento legislativo ynormativo que se ha constituido en un dinamizador determi-nante de la seguridad relacionada con la información y que endefinitiva supone comenzar a disponer de las “reglas de juego” quedurante años han brillado por su ausencia.

3. Formación en Auditoría y Seguridad InformáticaEstas excelentes perspectivas del mercado con un crecimiento

sostenido en los cinco últimos años que supera los dos dígitos, son unreto para los Profesionales de la Auditoría y Seguridad Informática ypara los Master que ALI - UPM está realizando, cuyas promocionesdeberán contribuir a configurar y ampliar las áreas y nuevos serviciosde auditoría y seguridad informática que demandan las empresas yadministraciones públicas españolas.

Desde el año 2000, ALI consideró que la Seguridad en los Proyectosde Diseño, Desarrollo e Implantación de “Information Systems” que lle-van a cabo los Ingenieros e Ingenieros Técnicos en Informática era untema capital y con el apoyo de la UPM y del MITyC organizó un ambi-cioso proyecto de formación fundamentalmente dirigido a losIngenieros e Ingenieros Técnicos en Informática. Bajo la Dirección de laUPM se configuró un programa de formación de postgrado que daríalugar a dos Master : uno de Auditoría en Informática y otro de Seguridaden Informática que definen tres Áreas de Conocimiento: • Área de Conocimientos Fundamentales de Seguridad.• Área de Conocimientos Especializados en Auditoría Informática.• Área de Conocimientos Especializados en Diseño de Seguridad.

El área de conocimientos fundamentales de Seguridad ocupa elprimer semestre de ambos Master, el segundo semestre se dedica a laespecialización elegida por el alumno. La consecución de la Maestría,como es habitual en la UPM, exige que al finalizar el área especializada

Andrés y el dragónmatemático

Andrés y la brujalingüista

Andrés y el Dragón Matemático: Andrés odia lasMatemáticas. Un día, tras sentirse humillado en clase, decide dar unpaseo por el bosque. Se encuentra con un Dragón Matemático,llamado Berto, que le ayuda a entenderlas... pero lo que desconoceAndrés es el terrible secreto que esconde el dragón…

Andrés y la Bruja Lingüista: Marcos ha desaparecido. Trasla aventura en el Castillo de las matemáticas, ni Berto -el DragónMatemático- ni Andrés saben dónde está. Puede que se hayaescapado de casa para solucionar un terrible problema...

Encarar la vida sin temor y con inteligencia, sorteando lospeligros con audacia y buen humor; ése es el mensaje que MarioCampos nos transmite en estos libros. Mario Campos Pérezlicenciado en Psicología, con la especialidad de Clínica, aplicamuchas de las técnicas de este libro en los cursos que haimpartido de Negociación y Venta, Habilidades Sociales, y Atenciónal Cliente.

ALI tiene firmado un convenio para el beneficio

de sus socios de un descuento del 21%.

Pedidos en la Secretaría c/ Mayor 4, 6º. 28013 Madrid

Tel.: 91 523 86 20.

el alumno realice un trabajo de fin de Master.Para llevar a cabo este proyecto ha sido necesario contar no

solo con el apoyo de una Universidad con la capacidad y prestigiode la UPM, también con el apoyo de importantes empresas yorganizaciones de Seguridad y Auditoría implantadas en España yde sus Ingenieros que imparten las unidades didáctica mas prácti-cas o con una evolución mas acusada por imperativos del propiomercado. Los 60 ECTS (European Credits Transfer System) decarga lectiva de ambos Master permiten alcanzar los objetivosdidácticos establecidos en sus dos facetas de adquisición de cono-cimientos teóricos y prácticos.

¿Cómo podríamos medir los conocimientos teóricos y prácticos alcanzados por los alumnos que cursanlos Master?

Para ser objetivos hemos de tener en cuenta que 60 ECTSsuponen una dedicación global del alumno durante 15 meses conun promedio de dedicación próximo a 1.500 horas:

Podrían evaluarse en la adquisición de un nivel deconocimientos teóricos y prácticos en Auditoría óSeguridad Informática superior a los que adquiriría unIngeniero durante un periodo de siete años trabajando enuna Área de Auditoría y/o Seguridad Informática teniendocomo Directores de su trabajo Ingenieros de nivel similar

a los Profesores que imparten los Master y siempre ycuando la experiencia de su trabajo se viera apoyada porsu asistencia a cursos sobre las materias que se impartenen los Master.

Realmente son Master de carácter internacional quesiguen avanzados programas sobre Seguridad y Auditoría en“Information Systems”, cubriendo sobradamente los conocimien-tos teóricos y prácticos que la mayoría de las organizaciones inter-nacionales de profesionales, como ISACA (http://www.isaca.org) ,IRCA (http://www.irca.org), ISC2 (https://www.isc2.org), etc. u orga-nizaciones de certificación como AENOR (http://www.aenor.es), BSI(http://www.bsi-global.com) etc.:

Presuponen que quienes realizan los cursos especiali-zados sobre las normas y modelos tratados por cadaorganización en particular adquirirán con la experienciaprofesional, si realmente tienen oportunidad de adquirirlaen las organizaciones que les contratan, en no menos decinco años y para poder actuar como ProfesionalesEspecializados: Lead Auditor, Responsables de Proyectosde Seguridad, etc.

Es habitual que los alumnos que han realizado los Master seintegren con facilidad en estas organizaciones internacionales,según las distintas opciones profesionales que han elegido y queademás, por su sólida formación, puedan colaborar al mejor des-

48 ALIbase

La Editorial Sánchez y Sierra Edi tores (S&S editores) en colaboración con la Asociación

de Ingenieros e Ingenieros Tecnicos en Infor mática, ALI, ofrece a los asociados la posibilidad

de editar tesis, proyectos fin de carrera y trabajos de investigación en general.

Este convenio está destinado a promover la difusión del conocimiento, facilitando

a los asociados de ALI interesados, la publicación de sus obras, mediante estudios

personalizados e individualizados de cada obra y autor.

Esta colaboración permitirá a los asociados de ALI la edición, publicación y distribución de

sus obras manteniendo los conceptos básicos de Derechos de Autor y Propiedad Intelectual.


Editorial Sánchez y Sierra Editores (S&S editores ) Victoriano Sánchez-León. Editor • Tlf.: 619 238 109 • e-mail: [email protected]

ALIALI®


arrollo de las mismas. Desde ALI y UPM se les

anima a esta par ticipación y deser conscientes que laMaestría que han obte-nido les da una proyec-ción profesional interna-cional actualmente muyreconocida, demandada y bienretribuida, que puede consta-tarse en portales de empleode reconocido prestigio inter-nacional como:http://seeker.dice.com/ endonde el lector puede buscarpor ofer tas de empleo paraIngenieros especialistas en ITaudit o en IT Security. Podráobservar (y tal vez se sor-prenderá) que las diferenciasque se reflejan en las estadísti-cas internacionales sobre elpuesto que actualmente ocupaEspaña en la Sociedad de laInformación, también se mani-fiesta en las medias de los sala-rios ofrecidos internacional-mente a los Ingenieros enInformática especialistas en ITaudit y en IT Security, queinternacionalmente se sitúanentre 70K$ – 120K$, depen-diendo de la responsabilidad yexperiencia requerida en lospuestos ofer tados. Bien escier to que en los sueldos ofer-tados por la multinacionalespropias o foráneas implantadasen España tales diferenciasapenas si existen.

El nuevo camino de laSeguridad y Control enlos “InformationSystems” avanza conpaso firme invitando, en pri-mer lugar, a Ingenieros eIngenieros Técnicos en

ALIbase 49

COLEGIOS DE INGENIEROS

E INGENIEROS TECNICOS EN INFORMATICA

www.ali.es

Razones que justificansu demanda social

SE

CR

ET

AR

IAc/

Mayo

r 4,

6 •

Mad

rid

28013 \ T

elf.

: 91 5

23 8

6 2

0 •

Fax:

91 5

23 8

6 2

1 \ c

orr

eo

-e:

secr

ete

c@ali.

es

ALIALI®


Existe la sensación de que no siempre, los proyectos informáticos alcanzan los objetivos deseados. Hay estadísticas que (a nivel mun-dial) avalan estos datos. De acuerdo con diferentes fuentes de empresas especializadas en este campo (Gatrner, KPGM, otros…):• El 70% de los proyectos no alcanzan los objetivos previstos en Planificación, Coste y Calidad.• El 52% de los proyectos son cancelados y el 82% acaban tarde.• El 50% sobrepasan el presupuesto previsto.• Menos del 40% alcanzan sus objetivos de negocio en un plazo razonable.

Varios problemas, son origen de estos resultados: La dificultad de comunicación entre las direcciones de negocio y los responsablesInformáticos, la no utilización de las metodologías adecuadas en las fases de diseño, ejecución y puesta en marcha, y la falta de concien-cia, al contrario que en el resto de las ingenierías, de la necesidad de separar, en proyectos diferentes, las fases de análisis y diseño, de lafase de desarrollo del proyecto una vez que este ha sido aprobado. La ingeniería informática, no debería ser, en este punto, diferente aotras ingenierías. Estos factores, son los que vamos a desarrollar a lo largo de este ar tículo.

¿Por qué fallan los Proyectos Informáticos?

Benjamín Rupérez PérezVocal de la Junta Directiva de ALI

Para la dirección ejecutiva, el éxito o fallo deun proyecto se mide en función de su contribu-ción a la consecución de los objetivos clave delnegocio y del beneficio económico. Quiere res-puestas directas a preguntas simples. ¿Como elproyecto propuesto mejorará nuestra competiti-vidad?, ¿Cuál será el retorno esperado de unainversión de “X” euros en un proyecto Cliente-Servidor y en que plazo?, etc., etc.

Sin que las direcciones ejecutivas necesitenentrar en los detalles técnicos o estar al día enlos avances tecnológicos, deben tener en cuentaelementos que afectan al funcionamiento de ladivisión informática como:• Recursos, presupuestos y el conjunto de pro-

cesos a realizar con los mismos.• El impacto potencial de los cambios opera-

cionales, estratégicos y aplicativos.• El coste de mantenimiento y operación de

sistemas antiguos. • La interdependencia entre los requerimien-

tos de servicios al negocio y las aplicaciones,y la estructura que les soportan.

Teniendo en cuenta lo anterior, sobre todo,debe conseguir que el interlocutor informáticosea consciente de la impor tancia que tienepara los resultados de la empresa, que losrequerimientos del negocio sean correcta-mente comprendidos y ejecutados por sudepar tamento y que lo consideren como elprincipal de sus objetivos.

Tan importante como lo anterior, si no más,es conseguir que sus estructuras internas y,sobre todo, los depar tamentos involucrados enel proyecto, sean, igualmente, conscientes de laimportancia del proyecto para la empresa y desu responsabilidad en el desarrollo del mismo.Generalmente, los proyectos que alcanzan mejorlos objetivos, son aquellos en los que los usua-rios ven el proyecto como una oportunidad, másque como una amenaza.

Desde el punto de vista informático el plan-teamiento es más complejo. La informática esuna actividad que tiene aplicación en, práctica-mente, cualquier actividad de la vida diaria. En elmundo empresarial, en cualquiera de sus ámbi-

tos: Financiero-contable, Gestión de clientes yproveedores, Gestión de fabricación, planifica-ción y previsión de compras y ventas, Gestión destocks, Trasporte, Tendencias de temporada ensegún que sectores económicos, etc., etc. Este esun ejemplo del tipo de gestión más común en elmundo de la empresa, y en el que nos centrare-mos en este análisis.

Claro está, este razonamiento se tiene queextrapolar a otros entornos de actividad:Medicina, en sus diferentes especialidades,Ingenierías, Administraciones Públicas, Industriaaeroespacial, Aeronáutica, Diseño de cualquiertipo, Armamento, Robótica, Cine de animación,Juegos de ordenador y Play Stations, etc., etc.,cada uno con sus diferentes características yrequerimientos específicos.

Esta somera relación de actividades en lasque la informática tiene aplicación, ya nos lleva auna conclusión inmediata: La especialización esimprescindible.

Es evidente que un “profesional de la infor-mática” no puede abarcar todo el conocimientonecesario a tan vasto campo de actividades;teniendo en cuenta, además, que debe tener lanecesaria información de las herramientas dedesarrollo, “paquetes”, nuevos equipos, sistemasoperativos, comunicaciones, nuevos elementostécnicos que en esta actividad aparecen conti-nuamente, que en muchas ocasiones son especí-ficos para sectores de actividad determinada ycuyo conocimiento es necesario, para el mejordesarrollo de la actividad profesional. No hayque olvidar un necesario conocimiento de lalegislación; muchas aplicaciones conllevan, en sudesarrollo y en el tratamiento de los datos quemanejan, riesgos legales.

Quizás, históricamente, el responsable infor-mático, por tendencia lógica, ha puesto másénfasis en los aspectos técnicos del proyecto, yen las herramientas necesarias para el desarrollodel mismo, que en la importancia que, para laempresa tiene conseguir los objetivos de nego-cio de una manera más eficaz con unos costes yen unos plazos más adecuados, aún a costa deuna menor brillantez en la solución técnica.

ALIbase 51

Se debe conseguir

que el interlocutor informático

sea consciente de la importancia

que tiene para los resultados

de la empresa, que los

requerimientos del negocio

sean correctamente comprendidos

y ejecutados por su

departamento

y que lo consideren

como el principal

de sus objetivos.

Los dos puntos de vista descritos, de las direcciones ejecutivae informática, muestran las diferentes culturas que han de conver-ger para conseguir que el objetivo fundamental se cumpla.Algunos factores a considerar, pueden ayudar a conseguir estaconvergencia que, a su vez, servirá para que los proyectos infor-máticos, alcancen los objetivos deseados, en los plazos y con loscostes previstos.• Interlocución adecuada por par te de la dirección ejecutiva.• Especialización de los depar tamentos informáticos.• Utilización de metodologías adecuadas.• Planificación de recursos.• Gestión de la seguridad.• Seguimiento del desarrollo del proyecto.• Seguimiento de la fase de utilización “en paralelo”.

La interlocución por par te de la dirección ejecutiva debe dedarse, tanto con el depar tamento informático, como con los dife-rentes depar tamentos de negocio involucrados en el proyecto.Las necesidades y especificaciones que servirán de base al des-arrollo del proyecto, han de estar claramente definidas y la cola-boración entre ambas áreas es fundamental.

El ingeniero en informática responsable del proyecto, debetener el necesario conocimiento del sector del negocio en el queactúa la empresa y contar con un equipo capaz de desarrollarcorrectamente el proyecto desde un punto de vista técnico.

Se deben aplicar las metodologías adecuadas (hay varias en el mercado, ya contrastadas) que permitan analizar, diseñar, controlar,…. las diferentes fases del proyecto y su posteriorpuesta en marcha.

Es fundamental separar las fases de diseño y ejecución. El pro-yecto, una vez terminado, debe ser aprobado por la direcciónejecutiva, una vez comprobado que los resultados que ofrece,están de acuerdo con las especificaciones definidas. El no haceresto y esperar a ver los resultados al final de la ejecución, puedellevar al desastre.

Se deben planificar los recursos adecuados. No solo informáti-cos. Los responsables de los depar tamentos involucrados y losusuarios finales, deberán intervenir, tanto en la fase de análisis,como en las de desarrollo y puesta en marcha.

El desarrollo del proyecto, como su ejecución y explotación,deben seguir rigurosas normas de seguridad. Los datos tratadosson, generalmente, sensibles. Tanto los internos de la empresa,como los externos, caso de clientes, proveedores, productos, etc.,y no deben estar al alcance, en ningún caso, de personas o entida-des no autorizadas.

Se deben de definir hitos de control a lo largo de las diferentesfases del proyecto. Son importantes para impedir desviaciones decualquier tipo. Fundamentalmente de plazo y presupuesto.

Antes de decidir que la aplicación resultado del proyecto entreen funcionamiento sustituyendo, en su caso, los procesos manua-les anteriores, es necesario un periodo de pruebas, en paralelocon el proceso manual, para estar seguros de la bondad de fun-cionamiento del producto. Este periodo será variable, en funciónde la complejidad del proceso.

Siguiendo estas pautas, tendremos una seguridad razonable dealcanzar los objetivos deseados. Serán pautas a seguir, tanto si elproyecto y su ejecución se desarrollan internamente, como si sehace, total o parcialmente, con recursos externos. ❉

52 ALIbase

ALIALI®


ALI tiene firmado un convenio con Asisa para el beneficio de sus socios.

Dicho convenio se pueden consultar en la web de ALI www.ali.es

o en la Secretaría c/ Mayor 4, 6º • 28013 Madrid • Tel.: 91 523 86 20.


Garantice su Seguridad y Calidad apoyándose en los Ingenieros

e Ingenieros Técnicos en Informática

¿Conf ía plenamente en sus S i s temas Informát i cos?

COLEGIOS OFICIALESALI. Asociación de Ingenieros e Ingenieros Técnicos en Informática [email protected] Oficial de Ingenieros en Informática de la Región de Murcia [email protected] Oficial de Ingenieros en Informática de la Comunidad Valenciana [email protected] Oficial de Ingenieros en Informática del País Vasco [email protected] Oficial de Ingeniería en Informática de Cataluña [email protected] Oficial de Ingeniería Técnica en Informática de Cataluña [email protected] Oficial de Ingenieros en Informática del Principado de Asturias [email protected] Oficial de Ingenieros Técnicos en Informática del Principado de Asturias [email protected] Oficial de Ingenieros Técnicos en Informática de Castilla – La Mancha [email protected] Oficial de Ingenieros en Informática de Castilla – La Mancha [email protected] Profesional de Ingenieros en Informática de Castilla Y León [email protected] Oficial de Ingenieros en Informática de las Islas Baleares [email protected] Oficial de Ingenieros Técnicos en Informática de las Islas Baleares [email protected] Profesional de Ingenieros en Informática de Andalucía www.cpiia.orgColegio Profesional de Ingenieros Técnicos en Informática de Andalucía www.cpitia.orgColegio Oficial de Ingenieros Técnicos en Informática de la Comunidad Valenciana administració[email protected] Profesional de Ingenieros Técnicos en Informática de CanariasColegio Profesional de Ingenieros en Informática de Extremadura www.cpiiex.esColegio Oficial de Ingenieros en Informática de Galicia [email protected] Oficial de Ingenieros Técnicos en Informática de Galicia [email protected]

El lema que antecede, recogido en el ar t. 6.1 del Código Civil, muestra bien a las claras la intención del legislador en lo que res-pecta a la actuación de los ciudadanos en todos sus ámbitos. España está constituida como un Estado social y democrático de dere-cho (ar t. 1 de la Constitución) y los ciudadanos y los poderes públicos están sujetos a la Constitución y al resto del ordenamientojurídico (ar t. 9.1 de la Constitución).

¿Y qué quiere decir esto en su aspecto más práctico? Pues, sencillamente, que todos los ciudadanos debemos respetar las nor-mas que, a través de nuestros representantes en el Parlamento, nos hemos impuesto.

¿Y esto quiere decir que yo, Ingeniero o Ingeniero Técnico en Informática, debo conocer toda la legislación? Aun cuando esosería lo deseable, no es exactamente así, y las afirmaciones anteriores se modulan un poco con otros principios como el de la dili-gencia debida. De igual manera que, en nuestro trabajo, todo el mundo da por hecho que conocemos qué es lo que tenemos quehacer para desarrollar lo, así también se da por hecho que sabemos las cuestiones legales más impor tantes que pueden afectarnos.¿Alguien duda de que matar a alguien es un delito? ¿Sería normal que alguien quedase libre de la pena alegando el desconocimientode la norma que lo prohíbe? Todos entenderíamos injusto que no se castigase a alguien culpable de un delito de asesinato sencilla-mente porque, al no conocer la norma que lo prohíbe, no se le puede condenar. De igual manera ocurre con otras situaciones que,sin embargo, no son tan conocidas o tan evidentes.

La responsabilidad legal del Ingeniero e Ingeniero Técnico en Informática*

“La ignorancia de las leyes no excusa de su cumplimiento”

Miguel Ángel Davara Fernández de MarcosDoctor en Derecho y Abogado

La actividad del Ingeniero o Ingeniero Técnico en Informática

Cuando se contrata a una persona para eldesarrollo de una actividad profesional, se depo-sita en ella una confianza en sus conocimientosque implica, necesariamente, una responsabilidadpor par te de ésta. Más aún si la persona es con-tratada por poseer una determinada titulación ocualificación profesional.

Es decir, si a mí me contratan para el desarro-llo de un proyecto, basándose en mi cualificaciónprofesional, se me presumen unos amplios cono-cimientos en este ámbito. En el caso de los inge-nieros e ingenieros técnicos en informática, sepresume que, al tener dicha titulación, han adqui-rido unas competencias para el desempeño desus funciones ¿Qué son las competencias? Laspodemos definir como el “Conjunto de conoci-mientos, habilidades, disposiciones y conductasque posee una persona, que le permiten la reali-zación exitosa de una actividad. Es decir, haceque la persona sea competente para realizar untrabajo o una actividad y tener éxito en la misma.Las competencias profesionales de los ingenie-ros e ingenieros técnicos en informática son lasdefinidas en sus respectivos planes de estudio.Serán competencias, entre otras: concebir, dise-ñar, desarrollar sistemas y/o arquitecturas infor-máticas (hardware, redes, software, etc.) centra-lizadas y distribuidas en entornos reales y redesde ordenadores, gestión de proyectos, auditarredes, sistemas, etc.” (http://www.ali.es/modu-les/news/ar ticle.php?storyid=149). Es decir, quepor el mero hecho de tener una titulación, sepresume que tengo competencias para realizarunas determinadas tareas. Esta confianza en elsistema resulta esencial para el funcionamientode la sociedad, y por ello es necesario acompa-ñar el desarrollo de estas funciones de una res-ponsabilidad.

Esta responsabilidad la podemos dividir endos grandes bloques: responsabilidad civil y res-ponsabilidad penal (o criminal) y los dos grandesbloques en los que podemos dividir la responsa-bilidad civil, en lo que respecta a este extremoson el de la responsabilidad civil contractual y laextracontractual.

Responsabilidad penalLa responsabilidad penal (o criminal) es

aquella responsabilidad personal que se producecomo consecuencia de los ilícitos más graves yque, por ello, hace que el sujeto responda con suliber tad de las acciones realizadas. Esto es, mien-tras en la responsabilidad civil –que veremosmás adelante- el sujeto responde con su patri-monio de las consecuencias de sus actos, sinembargo, en la responsabilidad penal, el sujetoresponde con su propia liber tad. Para ello susacciones deben estar tipificadas como delitos ofaltas. En lo que respecta a las personas quemanejan instrumentos informáticos, hay variospreceptos del Código Penal que hacen referen-cia a las actitudes que están consideradas comodelitos o faltas, como:• ar t. 197 (delito de revelación de secretos,

que resulta más penado si quien lo realiza esel encargado o responsable del fichero o tra-tamiento)

• art. 248.2 (serán culpables de estafa los querealicen una transferencia ilícita de fondosmediante la utilización de medios informáticos)

• ar t. 264.2 (se pena al que por cualquiermedio destruya, altere, inutilice o dañe losdatos, programas o documentos electrónicosajenos contenidos en redes, soportes o siste-mas informáticos)

• ar t. 270 (está penada la fabricación, puestaen circulación y tenencia de cualquier medioespecíficamente destinado a facilitar lasupresión no autorizada o la neutralizaciónde cualquier dispositivo técnico que se hayautilizado para proteger programas de orde-nador)

• ar t. 278 (habla de las penas que pudierancorresponder por el apoderamiento o des-trucción de los soportes informáticos).

• Además, como disposición general, el ar t. 400indica que “La fabricación o tenencia de útiles,materiales, instrumentos, sustancias, máquinas,programas de ordenador o aparatos, específica-mente destinados a la comisión de los delitosdescritos en los capítulos anteriores, se castiga-rán con la pena señalada en cada caso para losautores”.

ALIbase 55

De igual manera que,

en nuestro trabajo,

todo el mundo da por hecho

que conocemos qué es

lo que tenemos que hacer

para desarrollarlo, así también

se da por hecho

que sabemos

las cuestiones legales

más importantes

que pueden afectarnos.

El Ingeniero o Ingeniero Técnico enInformática, como el resto de personas, estásujeto a esta responsabilidad, y en su actividadcotidiana el conocimiento de la tipificación deestas conductas como ilícitos, puede hacer quelas evitemos.

A pesar de las referencias que el CódigoPenal hace a los medios informáticos, la respon-sabilidad penal (o criminal) no es la única quedebe tener en cuenta un Ingeniero o IngenieroTécnico en Informática en sus actuaciones, sinoque la responsabilidad civil supone otro de losgrandes límites a las actuaciones y, relacionandouna con la otra, nos encontramos con la respon-sabilidad civil derivada del delito, que no es otracosa que la responsabilidad civil en la que seincurre por el hecho de haber cometido unadelito o falta. Un ejemplo podría ser que yo meapoderase de unos soportes informáticos pararevelar un secreto de empresa. Por ello podríaser condenado por un delito recogido en el ar t.278 del Código Penal, pero junto a eso se mepodría imponer una pena por responsabilidadcivil derivada de ese delito, consistente en unacantidad de dinero que yo tendría que abonar ala empresa de la que he revelado el secreto,como indemnización por los perjuicios causados.

Responsabilidad civilLa responsabilidad civil la podemos definir

como la obligación de reparar el daño causado a

otra persona cuando se vulnera un deber deconducta impuesto en interés de otro sujeto. Esdecir, que cada vez que realizamos una determi-nada actuación, estamos sujetos por unas reglasque nos obligan a seguir unas determinadas pau-tas. Si las incumplimos y causamos un daño,debemos reparar a esa persona, que puede serconocida o desconocida.

Los dos grandes bloques que vamos a anali-zar dentro de la responsabilidad civil son los dela responsabilidad civil contractual y extracon-tractual.

Responsabilidad Civil contractualLa responsabilidad civil contractual es aquella

que emana de un contrato, es decir, que se pro-duce cuando incumplimos algo recogido en unacuerdo que hemos suscrito. Así, por ejemplo, sifirmamos un contrato para realizar una audito-ría informática y nos comprometemos a entre-gar un informe y no lo hacemos, habremos incu-rrido en una situación de responsabilidad civilcontractual. No responderemos de este incum-plimiento con nuestra persona, sino con nuestropatrimonio.

Normalmente en los propios contratos se fijala indemnización que se tendrá que abonar encaso de incumplimiento de alguna de las cláusu-las (son lo que se llaman las “cláusulas de penali-zación”) y, si ésta no estuviese fijada o fueserazonablemente “injusta” (por mínimas o excesi-

56 ALIbase

Cada vez que realizamos

una determinada actuación,

estamos sujetos por unas reglas

que nos obligan a seguir

unas determinadas pautas.

Si las incumplimos y causamos

un daño, debemos reparar

a esa persona, que puede ser

conocida o desconocida.

vas), y una de las dos par tes se considerase per-judicada, tendría que fijarla un tercero imparcial(un juez o un árbitro).

El Ingeniero o Ingeniero Técnico enInformática debe conocer a lo que se obliga encuanto firma un contrato con un cliente ya queel Código Civil indica que “Los contratos se per-feccionan por el mero consentimiento, y desdeentonces obligan, no sólo al cumplimiento de loexpresamente pactado, sino también a todas lasconsecuencias que, según su naturaleza, seanconformes a la buena fe, al uso y a la ley”. Esdecir, que no sólo lo que esté acordado es loque tengo que cumplir, sino que si algo no estárecogido pero aplicando la buena fe seentiende incluido, el Ingeniero deberá cum-plir lo. Si se contrata a un Ingeniero para querealice una implementación de una red decomunicaciones en una empresa y éste lo hace,pero la que instala no da el servicio que laempresa necesita, realmente no se habrá cum-plido con el contrato, aunque se pueda consi-derar dentro de lo firmado. No debemos olvi-dar, en estos casos, que se par te de una situa-ción de conocimientos más amplios sobre lamateria de una de las dos par tes (en este caso,el Ingeniero o Ingeniero Técnico en Infor -mática). En este punto, podríamos pensar queentonces, vale con que pongamos una cláusulaen el contrato que nos exonere de toda la res-ponsabilidad civil, pero la exoneración com-pleta de responsabilidad civil está prohibida enel derecho español.

Responsabilidad Civil extracontractual

La responsabilidad civil extracontractual esaquella que se deriva de cualquier actuación. Elcódigo civil recoge que “El que por acción u omi-sión causa daño a otro, interviniendo culpa onegligencia, está obligado a reparar el daño cau-sado”. Pensemos en alguna actuación en la queuna persona causa un daño a otra, sin tener nin-guna relación contractual entre ellas. En estesupuesto la primera deberá indemnizar a lasegunda, basándose en la responsabilidad civilextracontractual.

Los requisitos que la jurisprudencia entiendenecesarios para estimar la responsabilidad civilextracontractual son los siguientes:a) Que exista acción u omisión culposa o

negligente, y no venga determinada por cir-cunstancias ajenas a la propia actuación de lapersona.

b) Que se haya producido un daño o perjuiciopara un tercero producido por la acción uomisión.

c) Relación de causalidad entre los anterioreselementos, de modo que el daño o perjuicioexperimentado venga causalmente determi-nado por aquélla actuación de la persona queactúa. Los tres requisitos anteriores deben concu-

rrir necesariamente para que se pueda entenderque existe una responsabilidad extracontractualen una determinada actuación.

Muchas de las situaciones de las que habla-mos se encuentran cubier tas por un seguro deresponsabilidad civil. A este respecto es impor-tante atender bien a las cláusulas de estos segu-ros, puesto que puede que no cubran situacio-nes de negligencia o en las que se demuestreuna culpa o dolo de la persona, por lo que tie-nen una eficacia limitada.

Por último, nos gustaría resaltar que en algu-nos supuestos se puede producir una responsa-bilidad por hechos realizados por terceras per-sonas, y el ejemplo más claro en cuanto a laactuación profesional de un Ingeniero oIngeniero Técnico en Informática se refiere, es elde la responsabilidad de los empresarios por lasactuaciones de sus empleados. ❉

(*) Ingeniero en Informática incluyeLicenciado en Informática ambos títulosuniversitarios homologados.Ingeniero Técnico en Informática incluyeDiplomado en Informática ambos títulosuniversitarios homologados.

ALIbase 57

El que por acción u omisión

causa daño a otro,

interviniendo culpa o

negligencia, está obligado

a reparar el daño causado.

58 ALIbase

El presente ar tículo queda enmarcadodentro de lo que se denomina esteganografía.Más concretamente, hay que situarlo dentrodel concepto esteganálisis de archivos ejecu-tables a fin de determinar la mayor o menosprobabilidad de que dicho software contengainformación oculta codificada a través de lasinstrucciones de código ejecutable, tareasobre la cual ha versado uno de los TrabajosFin de Master (TFM) del Máster de SeguridadInformática que la Asociación de Licenciadosen Informática (ALI) junto con la UniversidadPolitécnica de Madrid (UPM) han venido des-arrollando a lo largo de los últimos años.

El término esteganografía proviene delgriego "steganos" (encubier to) y "grafía"(escrito). Así pues, puede decirse que la este-ganografía no es sino el ar te o ciencia decomunicar de manera oculta un mensaje,camuflando la información entre otro con-junto de datos (canal encubier to o cover tchannel) para que pase desapercibida. Hoydía suele utilizarse para esconder informa-ción en todo tipo de archivos tales comofotos, videos, audio o incluso archivos bina-rios ejecutables, tal y como se muestra en elpresente ar tículo (imagen 1).

Aunque criptografía (criptos, oculto) yesteganografía (steganos, encubier to) pue-dan parecer en un principio términos equiva-lentes, o al menos similares, son cosas com-pletamente distintas. La criptografía es el

Ocultando información en los archivos ejecutables:

la labor de esteganálisis

Miguel Ángel Orellana Quirós

ciones con respecto a la norma de cier tas propiedades estadísti-cas, y de determinar, en función de cier tos umbrales, si el medioencubier to posee o no información oculta.

Los procesos de esteganálisis no son procesos sencillos ymucho menos efectivos. Generalmente se dan muchos falsospositivos y los resultados dependen en gran medida del tamañodel texto a ocultar, haciendo su detección más sencilla cuantomayor sea el tamaño del mismo, y de la naturaleza del canal encu-bier to, ya que, en función de la misma, el ancho de banda quepresenta para ocultar información varía de forma substancial (porejemplo, las imágenes o los ficheros de audio presentan un mayorancho de banda que el texto o los archivos ejecutables).

Una forma de ocultar información evitando al máximo serdetectado mediante una técnica esteganalítica (codificación sigi-losa) se basa en tener en cuenta las propiedades estadísticas nor-males y ocultar la información de forma que éstas no varíendemasiado.

En el caso que nos ocupa, la herramienta esteganográfica quese ha tomado de referencia para luego realizar el proceso deesteganálisis ha sido Hydan, que permite ocultar informaciónoculta embebida en archivos ejecutables.

ar te de escribir de forma enigmática (según la Real AcademiaEspañola), mientras que la esteganografía es el ar te de escribir deforma oculta. Puede que sigan pareciendo similares, pero las con-notaciones toman mucho valor al analizarlo detenidamente: lacriptografía tiene su fuerza en la imposibilidad de comprender elmensaje, mientras que la esteganografía la tiene en el desconoci-miento de que el mensaje siquiera existe. Actualmente, la estega-nografía es uno de los términos que, junto con anthrax, y BinLaden, se han puesto de moda desde el último 11 de septiembre,porque se supone que la esteganografía fue el método que seusó para enviar mensajes, dejarlos a la vista de todos, y que nadielos descubriera.

Por otro lado, el esteganálisis es el proceso mediante el cual sedetecta información esteganográfica, es decir, por el cual sedetecta la existencia de información oculta dentro de un canalencubier to. Por tanto, es a la esteganografía lo que el criptoanáli-sis a la criptografía. El esteganálisis explota el carácter invasivo dela esteganografía, es decir, el hecho de que deje huellas en elmedio utilizado como transporte o canal encubier to. Cuandointentamos ocultar información dentro de un medio, normal-mente se aprovecha la información redundante dentro de esomedio para codificar en él el mensaje oculto, provocando un cam-bio en las propiedades estadísticas del medio encubier to yaumentando, normalmente, la entropía del mismo.

Así pues, gran número de técnicas esteganalíticas se basan enel estudio de los cambios estadísticos con respecto a las propie-dades estadísticas medias provocados con la introducción deinformación codificada en aquellas zonas del canal encubier to queno aportan información nueva. Se trata pues de analizar estadísti-camente la información del canal encubier to, de observar desvia-

ALIbase 59

Imagen 1. Ejemplo de esteganografía en imágenes

Imagen 2. Ejemplo de codificación de Hydan

Hasta la fecha, los pocos estudios realizados en torno a la ocul-tación de información en código ejecutable se centraban princi-palmente en el código fuente (algunos otros en código interme-dio).Hydan, sin embargo, codifica la información a ocultar dentrodel propio código máquina (en concreto, el juego de instruccio-nes de la arquitectura i386), evitando la necesidad de conocer elcódigo fuente del archivo binario.

En concreto, Hydan se basa, para codificar la información aocultar, en la substitución de instrucciones máquina por otrasfuncionalmente equivalentes. Imaginemos el siguiente caso: lasubstitución de la instrucción add reg1,8 sería equivalente a lainstrucción sub reg1,-8 y de esta forma podríamos codificar unbit (imagen 2).

Para ello, Hydan agrupa las distintas instrucciones en los lla-mados conjuntos de instrucciones funcionalmente equivalentes,de forma que toda instrucción contenida en un determinadoconjunto puede ser sustituida por otra del mismo conjunto sinvariar la funcionalidad. Dependiendo del número de instruccio-nes de que esté compuesto el conjunto de instrucciones funcio-nalmente equivalentes, el número de bits que se pueden codificares mayor o menor. En concreto, si dentro de un determinadoconjunto se dispone de N instrucciones posibles, el número debits que pueden codificarse es . Actualmente, la capacidad media

para embeber datos de Hydan es de una tasa media de 1 / 110,esto es, es capaz de embeber 1 bit de mensaje por cada 110 bitsde archivo binario.

Sin embargo, Hydan, en su primera versión, no tiene en cuentalas propiedades estadísticas de aparición de cada tipo de instruc-ción (es decir, no utiliza la codificación sigilosa) y por tanto noresulta complicado, tal y como veremos, detectar si un fichero eje-cutable contiene o no información esteganográfica. Así, para este-ganalizar lo anterior, hay que analizar la frecuencia de cada tipo deinstrucción, compararlas con las frecuencias medias y detectardesviaciones significativas. En general, a mayor desviación, másprobabilidades de que haya información oculta habrá. No obs-tante, dependerá también del comportamiento estadístico par ti-cular de cada tipo de instrucción en sí.

De esta forma, el proceso de esteganálisis tendrá en cuentala distribución media de cada conjunto de instrucciones funcio-nalmente junto con la desviación típica (chi cuadrado) de lamisma en ficheros sin información oculta. A distribuciones conmayor entropía o valor de chi cuadrado, menor será la capacidadpara esteganalizar la posible información oculta que haya sidocodificada en los conjuntos de instrucciones funcionalmenteequivalentes asociados a dichas distribuciones, y viceversa, amenor entropía, más sencillo será detectar posible informaciónoculta.

determinar la existencia de información oculta en un fichero, graciasa lasensibilidad de los mismos frente a cambios artificiales en sus pro-piedades estadísticas como los que realiza Hydan (imagen 3).

Así pues, la propia suma de chi cuadrados de todos aquellosconjuntos de instrucciones funcionalmente equivalentes conpoca entropía puede ser utilizada como distinguidor de informa-ción oculta en ficheros ejecutables. Sobrepasado un cier toumbral, dicho distinguidor determinará la existencia de informa-ción oculta o no.

Por lo novedoso del cover t channel utilizado (código máquina)y el propio desconocimiento de la esteganografía, la ocultación deinformación en ejecutables puede suponer una gran amenaza:muchos delincuentes, expertos en las técnicas esteganográficas,podrían valerse de este novedoso método para transmitirse demanera oculta todo tipo de mensajes, tanto para perpretar actosterroristas como incluso para intercambiar material pedofílico. Deigual forma, además de una amenaza, sus aplicaciones beneficiosasson muchas, como por ejemplo, su aplicación en el campo de laprotección de los derechos de copyright de contenidos digitales através de técnicas de fingerprinting y watermarking (debido alcarácter invasivo de la esteganografía), ocultando mensajes decopyright en el contenido que se quiere proteger y permitiendoreconocer posteriormente, por ejemplo, la procedencia de un

Para calcular las distribuciones medias y valores de chi cuadradomedios para cada uno de los conjuntos de instrucciones funcional-mente se ha elegido una base muestral con archivos ejecutablessuficientes (1261) como para obtener valores medios suficiente-mente fiables. Serán los conjuntos de instrucciones funcionalmente-equivalentes con menor valor medio de chi cuadrado, es decir, conpoca entropía, los que serán utilizados como detectores para

ALIbase 61

Insignia de la profesión de Ingeniero e Ingeniero Técnico en Informática

ALI

Consiste: en una figura representando en su parte central un núcleo toroidal

de ferrita, atravesado por hilos de lectura, escritura e inhibición. El núcleo está

rodeado por dos ramas: una de laurel, como símbolo de recompensa, y la otra,

de olivo, como símbolo de sabiduría.

Se puede comprar en Joyería Santos. c/ Postas, 21 Madrid

tf. 91 366 54 22 Srta Ana, indicar socio de ALI.

Insignia de la profesión

Imagen 3. Prueba de chi cuadrado

ALIbase 63

Evolución de Redes, hacia Accesos Ópticos de Banda AnchaEn la circunstancia actual en la que la velocidad de proceso, el acceso e intercambio de datos

y la necesidad de almacenamiento masivo de información crecen continuamente de forma soste-nida, la velocidad de red y accesos deben ofrecer unas prestaciones acordes con las necesidades delos usuarios.

Llega el momento en el que el uso de tecnologías ópticas, no se realiza solamente en el núcleo delas redes, o en accesos para determinados procesos empresariales o científicos, sino se convier te enuna tecnología habitual tanto en el ámbito residencial, como de los negocios.

Hemos asistido a la evolución de los servicios de Internet para clientes de todo tipo, con el fin deaumentar la eficacia y potencialidad de sus actividades profesionales, empresariales o de ocio, perosobre infraestructuras de acceso clásicas, basadas principalmente en el par de cobre.

El cobre es un metal conocido desde el Neolítico. Los romanos lo extrajeron intensivamente, porsu resistencia a la corrosión, de la isla de Chipre (Cyprium), de donde se deriva su nombre Cuprum.

Desde la revolución industrial se ha aprovechado su destacada propiedad física como buen con-ductor de la electricidad, que añadida a su gran ductilidad permitió la fabricación de cables.

Pero no olvidemos que las redes exteriores de cobre han supuesto un enorme coste en su manu-factura, fabricación y despliegue. Una extracción cuprífera de toneladas de mineral, obtiene tras unproceso complejo apenas unas decenas de Kg de cobre, con la pureza necesaria para ser buen con-ductor de electricidad.

La fibra óptica se hace con arena o sílice, materia prima abundante en comparación con el cobre.Con unos kilogramos de material pueden fabricarse decenas de kilómetros de fibra óptica.

La fibra óptica como filamento de vidrio (sílice) o material plástico, permite dirigir un haz de luzemitida por un láser, longitudinalmente usando la reflexión interna, y alcanzando grandes distancias.Además en la actualidad el precio de esta tecnología admite despliegues de red rentables para todotipo de clientes potenciales.

Por ello el cobre dejara progresivamente paso a la fibra óptica, que será el medio masivo elegidopara las nuevas redes exteriores de telecomunicaciones. Podemos afirmar que pasamos de la edaddel cobre de las comunicaciones, a la edad de la fibra.

Pero de todas formas en nuestro reto de protección medioambiental con el planeta, con plantea-mientos de desarrollo sostenible, que aconsejan ciclos de vida más largos de los productos, indican

Ricardo Plensa NebotMárketin Telefónica España

Nuevas Redes y Accesos de Banda Ancha

para el Tercer Milenio

Comunicaciones ópticas

que la substitución y reciclado de las redes deacceso con cables de cobre no se producirán deinmediato, y por tanto coexistirán al menosdurante bastante tiempo.

España es el décimo país del mundo pornúmero de conexiones de banda ancha. Con 8millones de accesos a finales de 2007, un 20%más que en el mismo periodo de 2006. De estetotal, el 80% utilizan la tecnología ADSL.

Velocidad de acceso: Fibra ÓpticaLa demanda creciente de velocidad en el

acceso es continua, y paralela a la cada vezmayor capacidad de proceso de los equiposinformáticos, y esta motivada por el uso inten-sivo de aplicaciones convencionales ofimáticas,de ocio, colaborativas, etc, o por la aparición denuevas aplicaciones como por ejemplo enTiempo Real, consultas a Servidores y BBDDs,HDTV (high definition TV), Canales

Especializados/Temáticos, P2P (Pear to Pear),Vídeo bajo demanda, Juegos interactivos, e-Formación, o bien el uso de múltiples PCs en unmismo domicilio.

El desarrollo de la banda ancha ha incremen-tado el número de internautas, así como la apa-rición de servicios que también aportan la com-ponente creativa de las personas, como porejemplo: blogs, “wikis”, redes sociales, etc.

La mayor capacidad de comunicación de lossistemas ópticos se ha venido usando en elnúcleo de las redes de telecomunicaciones, obien en accesos para sedes de grandes empre-sas, corporaciones, entidades financieras o decentros de proceso de datos, etc., pero ya ha lle-gado el momento en el que se va a generalizarcomo acceso habitual para otros segmentos declientes, por ejemplo: residencial o negocios, aligual que viene ocurriendo en diversos países deAsia, en USA, y ahora en Europa que todavía

está lejos del número de clientes que tenían estetipo de conexiones a finales de 2007 en USA (2 millones) y Japón (11 millones).

La técnica actual de fibra óptica en sus diver-sas modalidades, FTTx Fiber to the x (fibra hastax), que tiene como objetivo ampliar la coberturade los actuales servicios (limitada por la calidaddel bucle de cliente), y permite ofrecer serviciosde alta velocidad, se concreta en las siguientesmodalidades:• FTTB – Fiber to the Block (Fibra hasta el

edificio) El despliegue de red de acceso serealiza mediante la instalación de los nodosdesde los que se presta el servicio en el pro-pio edificio en el que residen los clientes.Desde el mencionado nodo, hasta la viviendade cada cliente, se utiliza un par de cobreconvencional. En el tramo de red, desde elnodo del bloque hacia la Central TelefónicaLocal, se utiliza tecnología GPON (Gigabit-capable Passive Optical Network)

• FTTH – Fiber to the Home (Fibra hastael hogar) Esta modalidad consiste en entregarla fibra en la vivienda del Cliente, instalandouna ONU/ONT que convier te la interfazóptica en eléctrica.

• FTTN – Fiber to the Node (Fibra hasta elnodo) En este caso, el despliegue de losnodos de comunicaciones se realiza a menosde 300 m. de las viviendas de los clientes.Estos nodos se conectan a las centrales loca-les mediante fibra óptica. Desde el nodo

hasta el domicilio de los clientes se usamediante par de cobre convencional.

FTTHCon la Fibra hasta El Hogar, cada cliente indi-

vidual tiene una ONT asignada, que es el dispo-sitivo en el que termina la fibra óptica. Desdeaquí se entregan las diversas interfaces de usua-rio por ejemplo, Fast Ethernet, RJ11, E1, etc.

Cabe destacar que esta tecnología de acceso,mediante fibra óptica, permite ofrecer :• Posibilidad de Anchos de banda por Cliente

de hasta 100 Mbps, y hasta una distancia a lacentral telefónica de 20 Km

• Su gran capacidad admite servicios simétri-cos, adecuados para determinadas aplicacio-nes, por ejemplo. empresariales.

• Además el método de transporte ya no esATM. El GPON utiliza GEM (GPONEncapsulation Mode), que es más eficiente(imagen 1).

En un escenario FTTH (Fibber To The Home), latecnología empleada es GPON (Gigabit PassiveOptic Network). Estas redes se componen delos siguientes elementos:• Optical Line Terminal (OLT). Equipo

situado en la central, que equivale al DSLAM-IP en ADSL. Realiza la agregación del tráficode los clientes y también proporciona lainterconexión con la Red Ethernet.

• Optical Network Unit/Termination(ONU/ONT). Equipo en el domicilio del

ALIbase 65

El cobre dejará

progresivamente paso

a la fibra óptica,

que será el medio masivo

elegido para las nuevas redes

exteriores de telecomunicaciones.

Podemos afirmar que pasamos

de la edad del cobre

de las comunicaciones,

a la edad de la fibra.

Imagen 1. Esquema de red correspondiente a la arquitectura FTTH

cliente para arquitectura FTTH. Por un lado termina la fibra óptica procedente de la central tele-fónica, y por el otro ofrece las interfaces para el cliente por ejemplo: Fast Ethernet, RJ11, E1, etc.La funcionalidad de la ONT está integrada dentro del equipamiento de cliente.

• Splitter. Es un elemento pasivo, con una fibra de entrada y varias de salida. Este elemento físicoproporciona la arquitectura punto a multipunto. Replica la información de entrada, que le llegadesde la central, hacia todos los Clientes (sentido bajada “downstream”). Por otro lado, agregala información que le llega desde los Clientes (sentido subida “upstream”), y la encamina haciala OLT. Con la arquitectura de red GPON, cada uno de los Clientes que cuelgan de una misma fibra

óptica, recibe una trama que contiene la información de todos los Clientes con los que comparte lafibra. El identificador de la ONT instalada en la vivienda del Cliente, hace que sólo sea capaz de inter-pretar la información dirigida a él. La ONT se configura con un identificador único que comparte conla OLT.

Para obtener un nivel de servicio satisfactorio, se aplican criterios de control de ancho de banda,que garanticen que el cliente puede disponer del servicio que ha contratado, según el grado de con-currencia definido. Pudiendo configurarse VLANs diferentes para servicios de datos Internet, TV ovoz. También pueden definirse distintas Calidades de Servicio (QoS).

Otro concepto a considerar es el “Fare use Policy” (FUP), como política de repar to de caudal detráfico, de forma equitativa entre todos los Clientes.

FTTN / FTTBEn este caso la fibra óptica no llega hasta la vivienda del cliente, según hemos indicado, y las moda-

lidades de acceso de Cliente pueden ser :• VDSL2 – Very high bit rate Digital Subscriber Line 2. Protocolo avanzado de comunicaciones digi-

tales asimétricas sobre el bucle de Cliente, de muy alta velocidad. • ADSL2+ – Asymetric Digital Subscriber Line 2+. Protocolo evolucionado de comunicaciones

digitales asimétricas, sobre el bucle de Cliente.

• ADSL – Asymetric Digital Subscriber Line. Protocolo convencional de comunicaciones digitalesasimétricas sobre el bucle de Cliente.

En los siguientes diagramas se muestran los esquemas de red correspondientes a esta arquitectura(imagenes 2 y 3).

66 ALIbase

Imagen 2. Zona consolidada, donde se puede usar en el tramo final cobre

Piloto precomercial y próximo lanzamiento comercial de TelefónicaTelefónica España está finalizando una fase Piloto de servicios sobre accesos de Fibra Óptica

(F.O.) iniciado en 2007, previa al próximo lanzamiento comercial. El objetivo es empezar con el usointensivo de nuevas tecnologías de F.O. en las grandes ciudades y sus áreas metropolitanas, para ofre-cer mayor ancho de banda, que facilite la difusión de contenidos a clientes de Residencial, por ejem-plo para que Imagenio, en el futuro disponga de alta definición en la televisión digital, con opcionesde grabación y reproducción de programas, etc. www.telefonicaonline.com

También en el segmento Negocios y para poder evolucionar a las Pymes a accesos de altas presta-ciones en sus Sedes, dentro de la Oferta de Respuesta Empresarios www.respuestaempresarios.com

FTTHEl Plan Piloto de Fibra Óptica se inició con Clientes en cobertura a finales de 2007, en el que se

ofrecen velocidades de 30 M de bajada, y 1 M de subida con Trío sobre FTTH. Otra velocidad facti-ble es 30 M / 3M

El despliegue comercial de Centrales Locales equipadas con esta nueva tecnología, será paulatino.La propuesta inicial multiplica por 10 la velocidad de bajada del acceso a Internet más habitual, los

3 M. Permite ver una página web al instante, bajar una canción en segundos o un contenido de 700MB en minutos.

Los cables de fibra óptica y sistemas de distribución ópticos adaptados a esta tecnología permiten ladistribución de servicios de valor añadido avanzados, como el Trío (Triple Play: videotelefonía, Internet debanda ancha y Televisión) o la futura televisión de alta definición HDTV a los hogares. También en serviciosa Negocios, con la ventaja de que permite aumentar velocidades de los accesos hasta 100 Mbps, inclusosimétricos, y las previsiones indican que será el habitual en 2015.

Para FTTH es necesario considerar el coste que implica el despliegue de red exterior, así como el delos equipos, aunque en la situación actual de volumen de mercado y demanda previsibles, permiten yadisponer de precios más asequibles.

VDSL2La tecnología VDSL2, "Very High Bit Rate Digital Subscriber Line 2" (o Línea de Abonado Digital

de muy alta tasa de transferencia), aprovecha la actual infraestructura del acceso con pares de cobre.Permitirá evolucionar progresivamente el ADSL y ADSL2+ actuales, obteniendo mayores velocida-des, para los nuevos servicios de valor añadido, como por ejemplo la emisión de contenidos en altadefinición.

ALIbase 67

Imagen 3. Zona nueva, donde se llega con fibra óptica hasta el edificio

La implantación de nuevos

servicios de valor añadido,

como vídeo bajo demanda,

en tiempo real, aplicaciones

multimedia, etc, requiere

de una gran cantidad

de ancho de banda,

para atender de forma

satisfactoria las necesidades

de los clientes.

Velocidad del VDSL2 depende de la distancia desde el domici-lio del Cliente a la Central Local.

VDSL2 permite hasta 52 Mbps de bajada y 13 Mbps de subida,pero para ello es necesario, o bien estar cerca de la Central Local,o bien llegar con fibra óptica hasta el Nodo Remoto. Porque ladistancia con par de cobre desde el Cliente, ha de ser de pocoscientos de metros.

Puede llegara a proporcionar velocidades de 50 Mbps a los clien-tes cercanos a la Central Local, ubicados a una distancia de hasta300 metros de la central (en función de las características de cadapar de cobre), y representan alrededor del 10% del total de buclesde España. Velocidades de hasta 25 Mbps a los clientes que esténubicados a una distancia de hasta 900 metros de la central, querepresentan cerca del 40% del total de bucles de acceso en España.

Esta tecnología está ofreciendo buenos resultados en lasmodalidades que se están probando inicialmente 30Mb/1Mb y30Mb/3Mb (futuro 25 M/5M).

Siendo el rango de velocidades factible para VDSL2:1Mb/320Kb, 3Mb/320Kb, 10Mb/320Kb, 25Mb/5Mb, 30Mb/1Mb,30Mb/3Mb

La distancia a la central menos problema. La tecnología VDSL2 no es aplicable solo para bucles de

acceso cortos, sino que puede ser utilizada con calidad suficienteen las medias distancias. A diferencia del ADSL2+ que es muchomás sensible.

68 ALIbase

Imagen 4. Tabla comparativa de velocidades en función de la distancia a la central

Además Telefónica también está desplegando Nodos Remotosentre la Central Local con VDSL2 y los domicilios de los clientes.De esta forma se aumenta en número de Clientes cercanos a losequipos, y así pueden tener accesos a las velocidades superiores.

Por tanto, con 30Mbps a 50 Mbps es posible ofrecer varioscanales de televisión con alta definición (HDTV), y usar otros ser-vicios de valor añadido, de forma simultánea.

En el futuro el par de cobre todavía podrá seguir usándose endistancias cor tas, suficientemente cercanas a las centrales locales.Teniendo en cuenta que la evolución tecnológica prevé creci-miento en velocidad, pero hoy por hoy teniendo en cuenta quepara que el par de cobre ofrezca mas rendimiento interesante,será probablemente a un coste elevado, y la distancia que sealcance más discreta (imagen 4).

Otras Modalidades de AccesoTambién resultan útiles en determinadas localizaciones, los

accesos vía Wi-Fi desde Hot Spots (zona Wi-Fi con puntos deacceso en redes inalámbricas), o bien accesos inalámbricos detipo Wimax (Worldwide Interoperability for Microwave Access),LMDS (Local Multipoint Distribution Service) o Satélite, por suversatilidad y facilidad de despliegue. Al no tener una dependenciadirecta con la infraestructura de acceso dedicada, posibilita cober-tura en zonas poco densas en clientes que requieren los serviciosde banda ancha.

Más capacidad en la REDLa implantación de nuevos servicios de valor añadido, como

vídeo bajo demanda, en tiempo real, aplicaciones multimedia, etc,requiere de una gran cantidad de ancho de banda, para atenderde forma satisfactoria las necesidades de los Clientes.

Las opciones tecnológicas para satisfacer el crecimiento conti-nuo en la demanda de tráfico son diversas.

La más inmediata instalar más fibra, aunque ésta es una opcióncara, y en ocasiones inviable.

Otra posibilidad es utilizar técnicas de multiplexación por divi-sión en el tiempo (TDM), donde el aumento de capacidad se con-sigue por medio de intervalos de tiempo más pequeños, con loque en total permiten transmitir mayor cantidad de bits (datos)por segundo. Esta tecnología ha sido utilizada en las redes detransporte basadas en los estándares SDH/SONET. No obstante,el principal problema que plantea está relacionado con el paso auna capacidad mayor. Según la jerarquía SDH, la capacidad inme-diata superior a los 10 Gbit/s es 40 Gbit/s, por lo que con estesalto se obtiene más capacidad de la probablemente en principionecesaria, pero con una elevada inversión, dado que hay queactualizar todos los transmisores y receptores del sistema.

Experiencia,planificación y control en la empresa

En un entorno competitivo cada vez más globalizado y complejo, lasempresas deben tener muy clara su estrategia y la forma de llevarla a cabosi quieren obtener ventajas competitivas sostenibles, que le permitansobrevivir y adaptarse con éxito a los cambios que experimenten susrespectivos mercados.

La dirección estratégica como parte empresarial, tiene el objetivoprimordial de formular esas estrategias y ponerlas en práctica. Pero nobasta con saber hacia donde queremos ir, hay que saber también dondenos encontramos, a fin de tomar las decisiones que sean necesarias paraalcanzar nuestras metas. Esta es precisamente, la función del control degestión y de los sistemas de información.

A lo largo de la obra se ofrece una exposición completa, con unenfoque integrado y práctico, de la dirección estratégica y la función decontrol como responsabilidades directivas, abordando primero los aspectosmás importantes que abarca el diseño de una estrategia y su proceso deformación en las organizaciones para, a continuación presentar losproblemas que trae implícita su formulación en un plan y su posteriorimplantación. Por último, el control es la función que cierra y completa elproceso, dando origen a la retroalimentación del mismo y a la ejecución delas medidas correctoras que sean precisas para garantizar la consecución delos objetivos formulados, de forma que la estrategia nos dice hacia dondequeremos ir, la planificación nos marca el camino y el control nos aportainformación acerca de dónde nos encontramos en cada momento.

Finalmente, se explican también los aspectos más relevantes del cuadrode mando integral o Balance Scorecard, que surge como una herramientade gran valor para la dirección de empresas en el corto y largo plazo, dadoque, al combinar un conjunto coherente de indicadores, tanto financieroscomo no financieros, todos ellos anclados en los objetivos estratégicos dela compañía, permite adelantar tendencias y realizar una política estratégicapreactiva.

Una tercera alternativa consiste en DWDM(Dense Wavelength Division Multiplexing), quepermite aumentar de forma más racional la capa-cidad de transporte de las redes existentes. Pormedio de multiplexores, DWDM combina multi-tud de canales ópticos sobre una misma fibra, demodo que pueden ser amplificados y transmitidossimultáneamente. Cada uno de estos canales, adistinta longitud de onda, puede transmitir señalesde diferentes velocidades y formatos:SDH/SONET, IP, ATM, etc. Consiguiendo así multi-plexar varias señales TDM sobre la misma fibra.

Una de las principales ventajas de los siste-mas DWDM es su modularidad, la cual permitecrear una infraestructura dinámica, añadiendocanales ópticos de forma flexible en función delas demandas de los usuarios. Así se reduce lainversión inicial significativamente, y permitedimensionar las infraestructuras progresiva-mente, según se requiera.

La opción óptima a elegir en cada caso, ven-drá dada según aconseje el análisis técnico eco-nómico, derivado del caso de negocio concreto.

La Red y Ethernet, como PlataformaMultiservicio

El protocolo Ethernet con más de 35 años deuso habitual en la LAN (Red de Área Local), seha aplicado durante los diez últimos años comoservicio de transporte.

También desde hace tiempo, se usa Etherneten el acceso dedicado para empresas, con altocaudal a precio competitivo. La tendencia es queeste tipo de acceso llegue hasta donde se instalala fibra óptica, y es una opción alternativa, nosolo para empresas, al par de cobre o a los cir-cuitos convencionales.

La posibilidad de garantizar caudales, inclusosimétricos, diversificación o redundancia y ofre-cer acuerdos de nivel de servicio SLAs, es una

70 ALIbase

opción ventajosa y que en definitiva maximiza la seguridad y operatividad de los procesos frente acontingencias e incidencias imprevisibles, y se consolida finalmente elaborando el correspondientePlan de Seguridad.

Esto permite disponer sobre una única infraestructura de transporte Ethernet (Carrier EthernetCE) nuevos servicios de LAN extendida multisegmento, a incluso a precios mejores en comparacióncon los estrictamente SONET/SDH.

La disponibilidad de servicios complejos para residencial, negocios, transporte sobre la infraes-tructura Ethernet puede ofrecer mejoras en costes operativos, de administración, provisión y mante-nimiento.

La opción de PON (Passive Optic Network) y Ethernet en redes FTTH, pasa a ser complementa-ria en lugar de incompatible como podría parecer a priori, coexistiendo de forma eficaz, en términos de mayor ancho de banda, mas QoS, y optimización de costes.

El despliegue de servicios IP sobre Ethernet, por ejemplo con tecnología SONET/SDH paraentornos IP NGN, actualmente ya con tarjetas que soporten 10 Gbps Ethernet, permiten mayorrapidez en los servicios, incluyendo la evolución de nuevos entornos MPLS VPN, SIP Multimedia(Session Initiation Protocol) o enlaces IP, que cada vez precisan mayor ancho de banda.

En breve 10 Gbps será insuficiente para satisfacer la demanda, afor tunadamente la tecnologíapara 40 Gbps. está disponible, y la siguiente fase de evolución a 100 Gbps. en curso, y probablementese produzca directamente el salto desde 10 Gbps. a 100Gbps.

El software será un componente crucial en las redes de nueva generación, permitiendo a los ope-radores proporcionar servicios innovadores como plataforma, en los que a los dispositivos y compo-nentes de conectividad LAN, acceso, transporte, etc., se integren entornos de provisión, manteni-miento, seguridad, gestión e interoperatividad de aplicaciones.

El tráfico de banda ancha en las redes de Telefónica se ha multiplicado por siete en el periodo2000-2006, mientras que se prevé que se multiplique por nueve en los años 2007-2010.

Las inversiones previstas por Telefónica se destinarán a reforzar y aumentar la capacidad de la redtroncal de fibra óptica, a extender la cobertura del acceso móvil a Internet en banda ancha, y al des-pliegue de red de fibra hasta los hogares, o domicilios de Clientes en general.

En condiciones propicias, Telefónica España tiene como objetivo llegar con fibra aproximadamenteal 50% de los hogares en el año 2012.

Convergencia Fijo y MóvilActualmente también nos encontramos en una Fase de Convergencia de entornos de Red

Privada Vir tual IP / MPLS con accesos de Banda Ancha, circuitos, accesos Ethernet, remotos IPSec, etc., con las correspondientes modalidades de accesos móviles mediante GPRS, UMTS,HSDPA, etc.

Para ello, además del despliegue de pasarelas entre las diversas redes fija y móvil, también es nece-saria la convergencia en el ámbito de servicios y entornos de conectividad o seguridad de losClientes.

El acceso remoto móvil a los recursos de la LAN de una Sede, integrada en una RPV IP / MPLS esmuy aprovechable ya que permite el uso de dispositivos móviles en aplicaciones de gestión, produc-ción, logísticas, comerciales, etc.

Además de estos casos, también es útil para diversificar las tecnologías en los accesos de Sedescriticas, que teniendo un acceso dedicado por ejemplo de banda ancha ADSL/DSL para el uso habi-tual, en previsión de contingencias se prefiere disponer de un respaldo (BackUp) mediante tecnolo-gía móvil por ejemplo. UMTS / HSDPA, etc., ya que permite minimizar la dependencia del medio deacceso en caso de averías.

ALIbase 71

También para obtener directamente cober-tura con Sedes UMTS/HSDPA, en lugares dondepor las características de la ubicación, no seaoperativa otra modalidad de acceso.

La tecnología HSDPA (High Speed DownlinkPacket Access) supone la optimización de la tec-nología UMTS/WCDMA con la que se obtieneuna capacidad máxima de transferencia de infor-mación de hasta 14,4 Mbps. La velocidad máshabitual disponible es 7,2 Mbps. Llega como evo-lución de una de estas tecnologías 2.5G, GPRS(General Packet Radio System), que podía ofre-cer la velocidad teórica máxima de 171,2 Kbps(en la práctica: unos 40 Kbps en el enlace des-cendente y 9,6 Kbps en el ascendente)

Otra mejora se denomina HSUPA (Uplink),con el fin de que se puedan alcanzar velocidadesde subida de información de hasta 5,76 Mbps.

HSUPA (High-Speed Uplink Packet Access) esun protocolo de acceso de datos para redes detelefonía móvil con alta tasa de transferencia desubida de hasta 5.76 Mbit/s teóricos, prácticos sehan conseguido en pruebas 1,4 Mbit/s. Viene acompletar al HSDPA, y su combinación es deno-minada HSPA (High Speed Packet Access)

HSUPA, calificado como 3.75G, es útil paraclientes que envían ficheros multimedia a otros,imágenes / vídeos en tiempo real con la Red IP, oentornos para juegos en tiempo real contra otrojugador.

Para alcanzar mayores eficiencias operativas,los operadores móviles planean como converger2G/ 3G, y tráficos UMTS/CDMA, en una infraes-tructura común.

La fase actual de evolución de la tercera gene-ración (3G) de la tecnología móvil, se consideracomo el paso previo antes de la cuarta genera-ción (4G), como futura integración de redes.

Internet. Crece el tráficocontinuamente

Según los planteamientos expuestos Internetse ha desarrollado para uso simultáneo en lasmás diversas actividades humanas, desde lascientíficas, negocios, técnicas, industriales, finan-cieras, ocio, etc., alcanzándose un status denomi-nado “tercera fase” de Internet.

72 ALIbase

Contenidos a tener especialmente en cuentason los de tipo audiovisual, que tienen un ritmode crecimiento muy elevado, y que las infraes-tructuras tienen que sopor tar, pero a costa deelevadas inversiones. Las películas, vídeos, redessociales o multijuegos en tiempo real en la Red,afectan a los modelos previos de difusión decontenidos. También en la forma de verlosdesde los más diversos dispositivos, como porejemplo LapTop, iPod, teléfonos móviles, etc. Elacceso a contenidos en formato de vídeodoméstico, por ejemplo en YouTube generatanta información en 2007 como el conjunto deInternet en el año 2000, siendo su cuota demercado mundial menos del 50%. A mediadosde 2007, el flujo de información desde YouTubeera ya de 600 Petabytes.

La previsión de crecimiento continuo de trá-fico en la Red es incontestable, y el debate estáen si se situará entre el 50% y el 100%, o biensuperará el 100% anual. Los tráficos con mayorcrecimiento serán vídeos en la TV, vídeos en elordenador, intercambio de archivos navegación,correo electrónico y transferencia de archivos.Esto puede provocar en conjunto la aparición de

cuellos de botella que habrá que identificar, y sepueden encontrar no tanto en los núcleos dered, como en las redes de acceso si no se evolu-cionan y dimensionan de forma adecuada, y conla inversión suficiente.

ConclusionesActualmente en las redes de comunicaciones,

el ordenador es un dispositivo ya tan habitualcomo el teléfono en la vida diaria de nuestrasociedad, para usos diversos, tanto en el ámbitoresidencial, como en el empresarial, científico ode negocios. Además, los dispositivos móviles(videoteléfonos, PDAs, etc.) tienen una crecienteimplantación y uso. También, el acceso a los cana-les de televisión desde diversos ámbitos, tanto elhogar o fuera del mismo.

Esta exigencia implica optimizar la ubicuidaddel usuario en la red, a la hora de disponer encada momento del servicio que requiera,mediante la modalidad de acceso más adecuada,y en función del lugar donde se encuentre, tam-bién al mejor precio. Esto es alcanzable en lamedida en que las diferentes redes actuales, fijaso móviles, convencionales o de banda ancha, pri-

ALIbase 73

Actualmente en las redes

de comunicaciones,

el ordenador, el teléfono o los

dispositivos móviles

(videoteléfonos y PDAs)

son habituales en la vida diaria

de nuestra sociedad

ya sea en el ámbito

residencial, empresarial,

científica o de negocios.

vadas o Internet, puedan llegar a interoperar cuando sea necesa-rio, o incluso solaparse (imagen 5).

Esta tendencia actual de convergencia de redes y servicios,indica que llegamos a la transición hacia una arquitectura de redunificada. Como forma más eficaz en términos de coste, para pro-porcionar capacidad de red compartida, con niveles de protec-ción combinados, entrega garantizada y prestaciones extremo aextremo. A la vez, el punto de acceso a la Red gestione tanto, elflujo de datos como los servicios.

Además, la red de acceso podrá facilitar la distribución de ser-vicios tanto a Clientes individuales como Colectivos, bien sean

Centros de Datos, Administración, servicios Médico Sanitarios,Corporaciones, Pymes, Entidades de Ocio, InstitucionesCientíficas, o Clientes Residenciales.

En la actualidad, la mayor par te de servicios relacionados conlas tecnologías de la información y comunicaciones TIC estánbasados en transmisión de paquetes IP. En el segmento residen-cial esta teniendo un rápido crecimiento la TV IP, como servicioque requiere un gran ancho de banda. Tanto en modalidades deflujos de canales de TV convencional, eventos en directo, comode vídeo bajo demanda de películas, programas emitidos previa-mente o videoteca de contenidos, con el progresivo aumento de

74 ALIbase

Imagen 5.

aplicaciones P2P, o nuevos servicios Web productivos o colabo-rativos, para intercambio de información o entrega de datos,mapas, direcciones, compras, juegos, gestión de existencias, com-par tición de fotografías, vídeo etc.

Sin olvidar a los clientes Negocios o Empresas que precisansus propios servicios de gestión, producción y operación, deforma creciente en modo de Red Privada Vir tual, para maximizarel entorno de seguridad necesario para su información, sistemas yprocesos. En función del tamaño de la empresa su número deempleados usuarios TIC de cada Sede, el ancho de banda necesa-rio crece, bien banda ancha, banda ancha simétrica o hastaEthernet.

Para Pymes, Negocios y Profesionales, Respuesta Empresariospone a disposición de los Clientes la creciente ofer ta, más com-pleta de productos y servicios de comunicaciones e informáticos(TIC) de última generación, que mejor se adapta a cada tipo detrabajo, así como su mantenimiento. Con el concepto de Puestosde Trabajo, en el que cada trabajador dispone del equipamientoinformático y de comunicaciones mas adecuado, todo por unacuota fija. Puestos de Voz, para las llamadas internas y externas.Puesto Informático, para tener ADSL y ordenador siempre actua-lizado, y con Puestos Informáticos en red, además conectadosentre sí mediante una Red de Área Local. Puestos Integrales parallegar a tenerlo todo. Completando la gama, múltiples Opciones ySoluciones de Empresa. ❉

los generados incluso por los propios usuarios. Para este tipo desesiones se requieren o bien protocolos multicast para envío delcanal a todos los televidentes a la vez, por ejemplo en los dosprimeros casos, o por otro lado de tipo unicast sesiones indivi-dualizadas entre el servidor y cada usuario.

También, para el establecimiento hacia un usuario de varioscanales simultáneos, junto a telefonía, videotelefonía o serviciosde Internet.

Esta tendencia nos lleva a un incremento en las necesidades deancho de banda IP requerido en clientes también residenciales,desde 1M a 10 Mbps actuales, a los 25-30 Mbps mediante VDSLsobre cobre, o hasta pe. 80 Mbps con la fibra óptica hasta elhogar. Ya ha llegado el momento en que el uso de fibra óptica dejede estar destinado al núcleo de las redes, para extenderse hastalos bucles de acceso de los clientes, hasta ahora reservados mayo-ritariamente al cobre.

Esto requiere también disponer de técnicas para los enlacesentre Centros de Datos, Proveedores, Granjas de Servidoresetc. y la red de alta velocidad llegando a 100 Gbps Ethernet paraentornos WAN con tráficos TIC encapsulados, de forma simple yminimizando el coste, al equipar en los puntos de interconexiónde intercambio de tráfico, con puer tos a las mayores velocidadesdisponibles. Para clientes TIC en general, tanto residenciales,científicos, profesionales, como empresariales, tanto para servi-cios tradicionales de Internet, como navegación o correo, en

ALIbase 75

76 ALIbase

Realizado sobre una muestra de ofer tas de empleo (sector privado y público) publicadas en los diarios ABC, EL PAIS, EXPANSION,EL MUNDO, revista especializadas COMPUTING, COMPUTERWORLD y recibidas en nuestra Secretaría Técnica.

1.- DENOMINACIÓNEn la columna DENOMINACIÓN se han adoptado los nombres más conocidos que aparecen en la denominación del puesto ofertado. La columna INGENIERO EN INFORMATICA indica las ofer tas que requieren explícitamente titulación universitaria de Ingeniero en

Informática o la anterior denominación de Licenciado en Informática (R.D. 1954/1994 de 30 de septiembre).La columna INGENIERO TÉCNICO EN INFORMATICA indica las ofer tas que requieren explícitamente titulación universitaria de

Ingeniero Técnico en Informática de Gestión o de Sistemas o la anterior denominación de Diplomado en Informática (R.D. 1954/1994de 30 de septiembre).

Denominación Total de Ingeniero en Ing. Técnico en FP en Tit. universitaria Tit. universitaria Noofer tas (%) Informática (%) Informática (%) en Informática(%) de 2º ciclo (%) de 1º ciclo (%) especifica (%)

Dirección de Informática 3,0 50,00 ---- ---- 36,36 ---- 13,64

Analista Sistemas / Funcional 2,3 23,53 23,53 -- 17,64 ---- 35,30

Analista de aplicaciones/ orgánico 8,4 16,12 14,51 1,62 9,67 3,22 54,86

Analista Programador 8,5 25,39 17,46 1,58 14,28 1,58 39,71

Programador 23,3 9,88 8,14 19,19 5,82 4,06 52,91

Jefe de Proyecto 8,4 27,42 12,90 ---- 25,80 3,22 30,66

Sistemas 7,3 27,78 12,96 7,41 25,92 1,85 24,08

Seguridad Informática 3,9 24,13 17,24 ---- 17,24 6,89 34,50

Ingeniero de Software 4,6 44,12 14,71 ---- 26,47 5,88 8,82

Auditoria Informática 1,9 42,86 35,72 ---- 14,28 7,14 ----

Administrador redes y/o BD 2,5 11,11 16,66 5,55 5,55 11,11 50,02

Consultor 5,4 20,00 20,00 ---- 22,50 7,50 30,00

Administración Pública 6,5 12,50 33,33 12,50 29,16 6,26 6,25

Comercial / Marketing 1,5 9,09 18,18 ---- 18,18 27,27 27,28

Ingeniero en Informática 1,8 100 ---- ---- ---- ---- ----

Ingeniero Téc. en Informática 0,9 100 ---- ---- ---- ---- ----

Otros 9,8 16,21 21,62 33,78 9,45 6,75 12,19

El Mercado Laboral en Informática

Cuadro 1.

Todos los datos están expresados en porcentajes

ALIALI®


En Seguridad englobamos Ingeniero Seguridad, TécnicoSeguridad, Responsable Seguridad, Consultor Seguridad,Administrador Seguridad, Gerente Seguridad, MantenimientoSeguridad.

En Programador englobamos Desarrollador : En las solicitudes de Administración Pública, existen una gran

variedad de perfiles (Técnico Medio Informática, Técnico SuperiorInformática, Técnico Soporte, Programador, Informático, Técnicode Sistemas, Técnico Auxiliar Informática, Analista Programador,Consultor, Ingeniero en Informática, Analista, Ingeniero Sistemas,Ingeniero Desarrollo, Técnico, Ingeniero Técnico en Informática,Director, administrador de sistemas, formación).

En otros englobamos: Mantenimiento, Explotación, Soporte,Formación no Universitaria, especialista en redes y comunicacio-nes, Informático (engloba un número de funciones sin especificar,técnico BBDD).

CONCLUSIONESHa disminuido con respecto al año anterior la solicitud de

ofer tas de perfiles en informática. En 2006 se han solicitado 739puestos de trabajo, en 2005 han sido 909 puestos de trabajo, en2004 han sido 705, 2003 con 743, por debajo del 2002 con 1036,y muy por debajo de los años 1999 con 2348 ofer tas, 2000 con4931 ofer tas, y 2001 con 2327 ofer tas.

La columna FP EN INFORMATICA indica las ofer tas querequieren explícitamente titulación de Formación Profesional en Informática en alguna de sus especialidades de la rama deinformática.

Las columnas TITULACION UNIVERSITARIA DE 2º o 1ºCICLO indica las ofertas que no especifican explícitamente titula-ciones universitarias en Informática, como por ejemplo titulaciónuniversitaria o titulación en matemáticas, titulación en físicas, titula-ción en ingeniería o ingeniería técnica de telecomunicaciones, etc.

La columna NO ESPECIFICA TITULACION UNIVERSITARIAcomprende todas aquellas, que bien indican Bachiller Superior enel caso de Administración Pública, o no indican ningún tipo detitulación.

2.- En los PERFILESDetectamos, en algunas solicitudes, ambigüedad en el nombre

del perfil y las funciones que se detallan, llegando a confundirse.Por ejemplo, ocurre en las solicitudes de Técnicos de Sistemas yAdministradores de Sistemas.

En Sistemas englobamos: Técnico de Sistemas, Ingeniero deSistemas, Administración de Sistemas, Jefe de Sistemas, Consultorde Sistemas.

En Jefe de Proyecto englobamos Responsable de InformáticaEn Dirección de Informática englobamos Director de informá-

tica, Gerente, Director de Sistemas.

ALIbase 77

Denominación Total ofer tas (%)2006 2005 2004

Director de Informática 3,00 3,96 4,26

Analista de Sistemas / Funcional 2,30 1,98 3,12

Analista de aplicaciones / orgánico 8,40 6,60 3,96

Analista Programador 8,50 7,15 6,38

Programador 23,30 18,26 14,75

Jefe de Proyecto 8,40 5,83 6,24

Sistemas 7,30 15,30 7,52

Seguridad Informática 3,90 5,28 5,67

Ingeniero de Software 4,60 3,52 3,26

Auditoría Informática 1,90 4,07 3,55

Administrador de redes y/o BD 2,50 2,31 3,05

Consultor 5,40 7,04 7,24

Administración Pública 6,50 4,49 9,36

Comercial / Márketing 1,50 2,40 7,94

Ingeniero en Informática 1,80 2,50 2,13

Ingeniero Técnico en Informática 0,90 1,50 1,56

Otros 9,80 7,81 10,28

Comparando con el año anterior 2005, podemos observar :Para el puesto de Director de Informática las organi-

zaciones han solicitado mayoritariamente la titulaciónde Ingeniero en Informática: 50% de las ofer tas para desem-peñar este puesto, seguido por otras titulaciones de segundo ciclo(36%). Se puede observa que el importante crecimiento que hantenido otras titulaciones de segundo ciclo para el desempeño deeste puesto, que ha pasado del 22% del año anterior al 36% en2006 se ha hecho en detrimento de la titulación de IngenieroTécnico en Informática que en el año 2005 fue solicitado en el16% de las ofer tas.

En 2006 se inicia un fuerte impulso en el desarrollo denuevos proyectos informáticos y todos los puestos de trabajorelacionados con desarrollo experimentan una fuerte demanda:• Los puestos de Jefes de Proyecto, Analistas y Programadores

totalizan el 51% del total de ofer tas recibidas, frente al 40% delaño anterior.

• La demanda del mercado de puestos de analistas-programado-res y programadores representan el 32% del total de ofer tas,frente al 25% del año anterior que no han podido ser cubier-tas satisfactoriamente por la Formación Profesional y lasempresas han optado por demandar Ingenieros en Informáticapara cubrir estos puestos o por no solicitar ninguna titulación.

• Este dato ha sido ratificado por otras fuentes: “Ingenieros eIngenieros Técnicos en Informática de las dos últimas promo-ciones que han manifestado a los Colegios y Asociaciones deIngenieros e Ingenieros Técnicos en Informática que los pues-tos que les ofrecían eran de “desarrolladores” que es comogenéricamente denominan las empresas a estos puestos.

El puesto de “Jefe de Proyecto” avanza su consolida-ción en la Ingeniería en Informática: Desde 2005 se estánsolicitando mayoritariamente las titulaciones de Ingeniero eIngeniero Técnico en Informática en más del 40% de las ofer tasque solicitan este puesto. Aunque resulta alarmante que se hayaproducido un gran incremento de las ofer tas que no exigen nin-guna titulación para el desempeño de este puesto que han pasadodel 18% en 2005 al 30% en 2006.• Esta alarma ha sido ratificada por otras fuentes: “Ingenieros e

Ingenieros Técnicos en Informática de las dos últimas promocio-nes que han manifestado a los Colegios y Asociaciones deIngenieros e Ingenieros Técnicos en Informática que se estánviendo involucrados en Proyectos con grandes deficiencias, cuyosJefes y Responsables desconocen profundamente la Informáticaen general y la Ingeniería en Informática en particular.El puesto de “Programador” avanza en su consolida-

ción en FP: mientras que en 2005 solo el 5% de las ofer tas espe-cificaban FP para desempeñar este puesto en 2006 ha pasado aser el 19%, aunque aún está lejos de consolidarse ya que para el52% de estas ofer tas no se especifica ninguna titulación.

Subcontratación de Ingenieros e Ingenieros Técnicosen Informática como “Analistas-Programadores”: Es undato muy alarmante que para este puesto de FP, en el 43% de lasofer tas se haya solicitado la titulación de Ingeniero o IngenieroTécnico en Informática y tan solo en 1,5% formación de FP, o queno se especifique ninguna titulación en el 40% de las mismas.

Con carácter general los datos nos dicen con claridadque en 2006 el “Desarrollo de los ProyectosInformáticos ha adolecido de falta de profesionalidad” y

78 ALIbase

prensa sino a redes de contactos y al reciclaje interno de ingenierose ingenieros técnicos en informática en estas especialidades.

El puesto de “Ingeniero de Software” avanza su con-solidación en la Ingeniería en Informática: se ha pasado del47% en 2005, al 59% en 2006 en las ofer tas que solicitan las titu-laciones de Ingeniero o Ingeniero Técnico en Informática paradesempeñar este puesto.

Las plazas de Informática en la Administración Pública:es muy positivo el cambio de tendencia, aumentando la contrata-ción, aunque aún lejos de los porcentajes de años precedentes,que se situaba entorno al 10%.

Los puestos de Comercial / Marketing: siguen por ter-cer año consecutivo en porcentajes insignificantes. Cabríadeducir que para cubrir estos puestos las organizaciones no estánacudiendo a los anuncios en prensa, sino a redes de contactos.Además para cubrir estos puestos tan solo en el 27% de las ofer-tas se ha solicitado la titulación de Ingeniero ó Ingeniero Técnicoen Informática.

Las Profesiones de Ingeniero e Ingeniero Técnico enInformática son completamente desconocidas en la SociedadEspañola: los datos, por tercer año consecutivo, hablan con clari-dad: se solicita “directamente” un Ingeniero en Informática en el1,5% de las ofer tas y un Ingeniero Técnico en Informática en el 0,9de las ofer tas. • Esta situación, completamente anormal para el resto de

Ingenierías, es normal que se produzca en la Informática: LaSociedad Española “no puede conocer Profesiones deIngeniero” que las Leyes no han regulado. ❉

las consecuencias futuras en relación con las garantías de calidad yseguridad exigible a estos proyectos son impredecibles. En losmismos han par ticipado, porqué así lo han solicitado las empresasque los han llevado a cabo:

Los datos lo muestran con claridad: “Para una media del42% del personal contratado profesionalmente para elDesarrollo de Proyectos Informáticos, no solo no se harequerido la titulación en informática, sino que las empre-sas no han requerido ninguna titulación”. ¿Se puede hablarde intrusismo profesional en la Informática a la luz de estos datos?La respuesta es clara.

Auditoria y Seguridad Informática: En 2006 el total deofertas disminuye considerablemente con respecto a 2005 y apesar que este sector en los tres últimos años ha seguido un creci-miento sostenido del 18%. Si tenemos en cuenta que para estospuestos se ha solicitado las titulaciones de Ingeniero o IngenieroTécnico en Informática: Seguridad Informática en el 41% de lasofertas, Auditoria Informática el 78% de las ofertas. Dadas las carac-terísticas específicas de estos puestos se podría deducir que paracubrirlos las organizaciones no están acudiendo a los anuncios en

ALIbase 79

Denominación No se especifica titulación (%)

Jefe de Proyecto 30,66

Analista de Sistemas / Funcional 35,30

Analista de aplicaciones / orgánico 54,86

Analista Programador 39,71

Programador 52,91

80 ALIbase

BancariosALI tiene establecido un Convenio de Colaboración con LA CAIXA. Dicha entidad ofrece

condiciones especiales para los asociados en sus productos. Los interesados en conocer con másdetalle este convenio pueden contactar con la Secretaría Técnica o visitar nuestra web, www.ali.es.

SanitariosASISA tiene establecidas condiciones especiales para nuestros asociados los que estén interesados

en contratar sus servicios pueden obtener la información necesaria en el teléfono 901 10 10 10 ,siempre identificándose con el número asignado a ALI como colectivo 11.235. También en la SecretaríaTécnica y en www.ali.es existe información detallada sobre los servicios que dicha compañía ofrece.

SANITAS ofrece condiciones especiales a los asociados de ALI para más información puedencontactar con la comercial de SANITAS, Felicidad García, en los teléfonos 913 091 719 o 629 578 397.

SegurosALI, en contacto con la Correduría de Seguros SPABROCK, facilitamos a todos aquellos que lo

requieren una póliza de seguros de Responsabilidad Civil, para quedar cubiertos de esa posiblecontingencia en la realización de peritajes judiciales.

VariosLa editorial Sánchez y Sierra Editores (S&S Editores) en colaboración con la Asociación de

Ingenieros e Ingenieros Técnicos en Informática, ALI, ofrece a los asociados la posibilidad de editartesis, proyectos fin de carrera y trabajos de investigación en general.

Este convenio está destinado a promover la difusión del conocimiento, facilitando a los asociados deALI interesados, la publicación de sus obras, mediante estudios personalizados e individualizados decada obra y autor.

Esta colaboración permitirá a los asociados de ALI la edición, publicación y distribución de sus obrasmanteniendo los conceptos básicos de Derechos de Autor y Propiedad Intelectual.

Más información en el teléfono 619 238 109 y en el correo electrónico [email protected].

La editorial RA-MA ofrece a los asociados de ALI un 10% de descuento en las compras de libros desu fondo editoria. Las compras pueden realizarse:

• Por teléfono 916 584 280 • Por fax 916 628 139 • Por correo ordinario Editorial RA-MA, c/ Jarama3A, Polígono Industrial Igarsa, 28860 Paracuellos de Jarama, Madrid • A través de su página webwww.ra-ma.es (El descuento no será aplicable a las compras realizadas en puntos de venta directa).

Los asociados que deseen obtener el citado descuento deberán acreditarse mediante un certificadoque emitirá la Secretaría de ALI, previa petición.

ALI

SERVICIOS AL ASOCIADO

Base Informática se distingue por la calidad de contenidos gracias a los artículos de

sus socios y colaboradores. Los artículos se envían por correo electrónico, [email protected],

a la atención del Director de la revista, y se registran con un número de entrada. El criterio,

fundamentado en el trabajo y la tecnología que se utiliza, tiene como objetivo su

presentación y posterior seguimiento.

Norma de presentación del artículo

Recomendación

Agradecemos que el texto del artículo venga con tipo de letra Times New Roman,

tamaño de 11 pulgadas, fondo blanco, color en negro y párrafos separados por una línea.

Al texto se le habrá pasado la corrección ortográfica y gramatical del editor de textos.

Composición

Titular periodístico; resumen de no más de seis líneas teniendo en cuenta que en el

Sumario podrá ser recortado a tres.

Nombre y Apellidos; modalidad de socio de ALI®, en su caso, Estudiante de … ó

Titulación; correo electrónico; Institución o Empresa y cargo que ocupa si lo cree oportuno.

Un máximo de seis titulares en el mismo orden de exposición para resaltar lo más

relevante.

Notas aclaratorias y bibliografía al final del artículo con bordes y fondo gris.

Titular periodístico del artículo

Resumen:..............................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

Autor: Nombre y Apellidos

Socio de Honor o Socio de ALI®; Estudiante de …; Titulado en …

Correo Electrónico

Institución o Empresa y cargo que ocupa

Titular 1 ..................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

Titular … ..............................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

Titular 6 ..................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

............................................................................................................................................................................................................................................................

Artículo con texto, tablas, gráficos y fotografíasNotas aclaratorias y Bibliografía

Fichero individual

Además del artículo completo se acompañan ficheros individuales para cada imagen

y/o fotografía con formato “JPEG” de alta resolución 300 dpi.

La fotografía del autor es recomendable.

El pie de la imagen o de la fotografía se escribirá en el artículo completo.

Sólo se admiten imágenes y fotografías del autor o autores del artículo y se pondrá

en el pie, de cada imagen o fotografía, Fuente Propia.

Contenido

Cada número de Base Informática trata sobre un Tema Mono gráfico; aunque se

admite cualquier colaboración su aparición podría retrasarse. Los artículos serán

seleccionados por el Comité Técnico.

Norma específica de cesión de derechos de autor exigida para la aceptación de

artículos presentados para su publicación en la Revista ALI® base Informática

Dada la finalidad de intentar proporcionar la máxima difusión de los artículos

publicados por la revista ALI® base Informática y de facilitar el acceso a los mismos a la

mayor cantidad de lectores de la revista y usuarios de los servicios de información de

cualquier tipo que ALI® pudiera promover o realizar directamente o a través de terceros,

los autores o titulares de los derechos de explotación de los artículos presentados al

Consejo de Redacción de la revista deberán:

• Ceder a ALI® los derechos de explotación de los mismos, entendiendo que se

encuentran incluidos entre dichos derechos tanto los de reproducción, como los de

distribución, comunicación pública, y traducción, adaptación o modificación, cuando

así se precise, para su difusión por medio de la revista ALI® base Informática.

• Ceder igualmente a ALI® los derechos de explotación de los mismos, entendiendo

igualmente que se encuentran incluidos entre dichos derechos tanto los de

reproducción, como los de distribución, comunicación pública, y traducción,

adaptación o modificación cuando así se precise, para su difusión en forma

electrónica, ya sean incluidos en bases de datos o en cualquier otro sistema, por los

servicios de ALI®, gestionados por esta Asociación o por terceros, o por cualesquiera

otros servicios promovidos o apoyados por ALI®. Esta difusión de los artículos podrá

efectuarse mediante la distribución de CD-ROM, DVD o productos similares, el

acceso en línea a bases de datos o páginas Web, o cualesquiera otra forma de

difusión telemática (Listas de distribución, Internet, etc.) por redes locales,

nacionales o internacionales de cualquier tipo.

La cesión de derechos de explotación se entenderá que se realiza en la forma más

amplia posible a tenor de la finalidad perseguida por la difusión de la revista ALI® base

Informática o por los servicios realizados o fomentados por ALI®, por lo que se entiende

que dicha cesión de derechos se realiza sin límite de tiempo y con una cobertura

universal.

ALI® declina toda responsabilidad sobre la vulneración de derechos de propiedad

intelectual que pudieran preexistir, a la entrega de los originales o copias de los artículos

presentados al Consejo de Redacción, sobre los que la persona física o jurídica que

presenta el artículo no tuviera poder de disposición, siendo de ésta última la

responsabilidad sobre cualesquiera daños materiales o morales derivados de esa ilícita

transmisión de derechos ajenos.

Formatos publicitarios

Los anuncios se entregarán en formato digital (TIF, QXD, FH9, PSD) con las imágenes

en CMYK a 300 dpi + las fuentes utilizadas en formato MAC.

ALI

Norma para publicar en Base Informática


LA CLI DESARROLLA EL PROYECTO CLI-PROMETEO QUESE DIRIGE A LOS NIÑOS Y ADOLESCENTES PARA PODERFOMENTAR DESDE LA ESCUELA EL USO DE LAS NUEVASTECNOLOGÍAS DE LA INFORMACIÓN Y, AL MISMO TIEMPO,CONCIENCIAR SOBRE LA PROTECCIÓN DE DATOS DECARÁCTER PERSONAL.

En la sociedad actual las nuevas formas de tratamiento de lainformación y la comunicación están provocando, a su vez, nuevosmodos de conocimiento y relación entre las personas. La irrupciónde Internet ha acelerado estos cambios, especialmente entre laadolescencia y la juventud por ser colectivos muy sensibles almomento y al entorno social en el que viven.

Si bien la globalización informática tiene sus virtudes, no menoscierto es que conlleva una serie de riesgos. Los colectivos mássensibles a estos posibles riesgos son, sin duda, aquellos menosinformados; en este sentido, la salvaguarda del derecho a laintimidad entre los jóvenes unido al fomento de las tecnologías de lainformación constituyen sendos retos de las administraciones, enparticular las educativas, y justifican una iniciativa como la presenteque pretende atender ambos objetivos.

La Comisión de Libertades e Informática (CLI) es una Asociación que trabajaactivamente para la defensa del Derecho Fundamental a la Protección de Datos deCarácter Personal con el firme objetivo de concienciar a Ciudadanos, Empresas yAdministraciones de su importancia.

Forman parte de la CLI, además de personas interesadas las siguientes organizaciones:

AI: Asociación de Internautas.ALI: Asociación de Ingenieros e Ingenieros Técnicos en Informática.APDHE: Asociación Pro Derechos Humanos de España.FADSP: Federación de Asociaciones de Defensa de la Sanidad Pública.UGT: Unión General de Trabajadores.

Proyec to CL I - PROMETEO 2008

En colaboración con

Patrocinado por

Subvencionado por

Apoyado por el Ministerio de Educación y las Consejerías correspondientes de Andalucía, Catalunya, Euskadi, Extremadura y Madrid.


ali asociacion de ingenieros e ingenieros tecnicos en...

Documents