Browse > Home /

| Subcribe via RSS

Impacto de los Sistemas de Información en las Organizaciones

Junio 23rd, 2008 | No Comments | Posted in Dirección y Gestión, Sistemas de Información

Hace unos dias un lector de TICnovation me preguntaba sobre los niveles de penetración de los Sistemas de Información en las empresas. La verdad es que no resulta nada simple entender cuánto influyen los SI en las organizaciones. A simple vista vemos muchos efectos pero hay un gran número de áreas transversales que a menudo obviamos.

He desempolvado este informe sobre el impacto de los sistemas de información en una empresa concreta, la cultura, organización y sus tecnologías. Espero que os resulte útil.

índice de contenidos

  1. Presentación de la empresa y propósito del informe.
  2. Tecnologías, uso y valor.
  3. Conocimiento, trabajo y funcionamiento en red.
  4. La cultura y culturas en la organización.
  5. Conclusiones finales.

1. Presentación de la empresa y propósito del informe.

El análisis de este informe hace referencia a la empresa EMPRESA, S.A. (omitimos el nombre real), cuya actividad principal es la obtención y transformación de PRODUCTO (omitimos la materia prima de la empresa). Los procesos y actividades de esta organización están estrechamente ligados a las tecnologías de la información -en adelante TIC-, puesto que son su principal base de apoyo para operar en en mercados internacionales, sus principales clientes.

Son objeto de este informe:

  • La documentación de procesos y elaboración de conclusiones respecto a la utilización de las TIC en la organización, así como la vinculación de éstas en los procesos y estrategia de negocio.
  • Análisis de la organización interna y la influencia de las TIC en el modelo de empresa.
  • Representación de la cultura e identidad de la empresa, así como los espacios de comunicación dentro de la organización.

Mediante la confección de este informe se pretende reflejar el impacto de los Sistemas de Información -en adelante SI- y TIC dentro de la empresa, así como los cambios y evolución en el modelo organizativo y la propia sociedad.

A continuación se adjuntan algunos detalles sobre la empresa, para la mejor compresión del informe:

  • Nombre: EMPRESA, S.A. (suprimido para preservar la la identidad de la empresa)
  • Sector: Empresas químicas y farmacéuticas.
  • Dedicación: La actividad principal de esta empresa es la preparación y tratamiento de derivados del PRODUCTO (omitido), un metal escaso con múltiples aplicaciones en el sector textil, farmacéutico, joyas y otros.
  • Sedes: Actualmente cuenta con una sede sita en Barcelona y próximamente abrirá una sucursal en Madrid.
  • Historia: Fundada en 1986, EMPRESA, SA, ha sufrido grandes transformaciones derivadas de la gestión y dirección de la misma. Tras la separación de la Junta Directiva, TRABAJADOR (antiguo trabajador de la planta) asume la Dirección de la empresa. Desde sus inicios, la línea de producción no ha variado en cuanto materiales, pero sí en cuanto a volumen, fruto de la creciente expansión. Actualmente cuenta con unos 20 empleados.

More »

Tags: , , ,

Sistemas de Información inseguros

Octubre 29th, 2007 | No Comments | Posted in Seguridad, Sistemas de Información

¿O deberiamos hablar de "organizaciones irresponsables".

El viernes estuve en la FIST Conference de Barcelona (muy recomendable) y ello me hizo recordar varios ejemplos de fallos de seguridad importantes en los sistemas de información de muchas organizaciones, y lo simple que resulta aprovechar estas vulnerabilidades; esto no debería preocuparnos si las empresas trabajasen duro para evitar estos "problemillas".

Os cuento cinco experiencias (de entre muchas):

  • Información desprotegida:  Hace algo más de un año pasé un par de meses en la ciudad de Pune (India) para trabajar en un proyecto de la empresa. Durante ese tiempo me alojé en un hotel de la ciudad, el cual, entre otros servicios, ofrecía acceso a Internet. Yo, aficionado a desconfiar de la seguridad en los sistemas de información, reviso los logs de mi equipo y observo que alguien desde el hotel intenta conectarse a mi equipo. Indagando el origen de tan macabro intento de perturbar mi tranquilidad, me topo con una red llena de agujeros, entre los cuales se encuentra el acceso bastante simple a la facturación y datos de clientes del hotel.
  • Asignación de privilegios: Utilizo una base de datos para gestionar las operaciones en
    las que intervienen varias personas. Dado que en lugar de asignarme
    permisos de usuario convencional me asignan permisos de
    administrador, hago click en un link para enviar un mensaje a otra
    persona y me encuentro que en lugar de un sistema de mensajes ese
    enlace me lleva a los datos personales de ese empleado.
  • Autenticación simple: Supongamos un país X en el que la autenticación para la
    sanidad pública se compone de un un identificador formado por
    fragmentos de datos personales fácilmente deducibles. Como usuario,
    ciertos datos que componen el identificador coinciden con los de
    otra persona a excepción de alguna cifra. Un día tecleando me
    equivoco y dada la cuestionable seguridad de autenticación, accedo a
    todos los datos personales de esa persona, pudiendo incluso realizar
    cambios en los datos.
  • Acceso a información sensible: Accedo a la web de una gran consultoría con el fin de
    aplicar a una oferta de empleo. Envío mi curriculum y su página web
    me ofrece previsualizar el envío, con lo que muestra un enlace tipo
    "http://www.empresa.com/careers/database/userxxxxx/mi_documento/".
    Sorprendido porqué me muestran la ruta, decido comprobar que mis
    datos están en buenas manos y voy accediendo a niveles inferiores,
    donde me encuentro que todos los datos personales de los candidatos
    pueden ser leídos, descargados e incluso eliminados de la base de datos.
  • Autenticación cruzada: Alegremente reviso mi expediente en la página web de una de las universidades por las que he pasado (previa autenticación con mi login) y en un momento de aburrimiento, decido cambiar el "?id" final de la URL por el siguiente número consecutivo. ¡Tachán! Accedo a todos los datos de otro estudiante.

Estos casos, por si solos no són tremendamente alarmantes, aunque si peligrosos. No es que me pase el día buscando agujeros de seguridad en los sistemas ajenos, ni mucho menos practico el habilidoso hobby de atacar organizaciones; en cualquier caso, me gusta saber si la información que me concierne se encuentra a buen recaudo.

Normalmente, en el mismo instante que detecto las vulnerabilidades de los sistemas, lo comunico a las organizaciones, y en el mejor de los casos, tardan meses en corregir el fallo.

Enlaces relacionados:

Carlos Fragoso

Blog S21Sec 

More »

Tags: , ,

Métricas en la gestión de los Sistemas de Información

Mayo 27th, 2006 | No Comments | Posted in Dirección y Gestión, Sistemas de Información
El primer punto -y más importante- es que las métricas nos ayudan a controlar la evolución de los procesos, y por lo tanto,  verificar si realmente se han conseguido los objetivos dentro del marco esperado, ya sea en resultados económicos, inversión de capital, generación de conocimiento, mejoras o material tangible.

Sin embargo, encuentro que la mayoría de estas métricas comparten un problema común: la dedicación y alineamiento de toda la plantilla. Cuando medimos el TCO, ¿todos los componentes de la empresa son capaces de transmitir los costes? ¿Qué sucede cuando un coste pertenece a varias áreas? Puede resultar demasiado trivial asociarlo a otro proceso.

 

More »

Tags: , , ,