“El Modelo Operativo de TI (seguridad de la información)”
Equipo 01:
- • Blas López Franklin
- • Gálvez Cortez Rosa
- • Rojas Retuerto Miguel
- • Nicasio Marcelo Martin
- • Rojas Porras Pedro
Docente:
Ing. Costilla Retuerto Fernando Sósimo
Estructura del Modelo Operativo
Haz clic en cualquier bloque para navegar a su explicación detallada.
01. Gobierno y Estrategia
Define el rumbo tecnológico y asegura que cada sol invertido en TI genere valor real para la organización.
Planificación Estratégica
Diseño de planes a mediano y largo plazo alineados con el crecimiento del negocio.
Métricas y Valor
Definición de KPIs orientados a medir la eficiencia operativa y el retorno de inversión.
Capacidades de TI
Planificación proactiva de recursos humanos y técnicos para evitar cuellos de botella.
Toma de Decisiones
Establecimiento de un modelo claro de responsabilidades y autoridad en TI.
Manejo de Expectativas:
Sincronización constante con la alta dirección para asegurar que TI no sea un silo, sino un habilitador estratégico.
02. Arquitectura TI
El "plano maestro" que garantiza que los sistemas sean escalables, integrables y seguros.
Modelo de Capacidades
Definición de los modelos necesarios para soportar las capacidades del negocio con máxima eficiencia.
Marco Funcional Integral
Establecimiento de estándares para Información, Procesos, Software (SW) y Hardware (HW).
Vigilancia Tecnológica
Investigación constante de nuevas técnicas y tecnologías para evitar la obsolescencia.
Cumplimiento de Políticas
Control riguroso de que cada implementación respete los planes estratégicos de arquitectura definidos.
03. Organización (Clientes)
Gestiona la interacción entre TI y sus usuarios, tanto internos como externos.
Gestión de Stakeholders:
Identificación clara de los "dueños" de los procesos para una comunicación fluida y sin ruidos.
Alineación con el Negocio
Garantizar que la estructura de TI responda a la estructura organizativa de la empresa.
Canales de Comunicación
Establecimiento de puntos de contacto formales para la retroalimentación del servicio.
04. Gestión de la Demanda
Filtro y priorización de las necesidades del negocio.
🔹 Análisis Costo-Beneficio: Evaluación de cada solicitud antes de su aprobación.
🔹 Priorización Estratégica: Asegurar que los recursos limitados se usen en proyectos de alto impacto.
El "Embudo" de TI
Sin una gestión de demanda eficiente, el área de TI se satura de tareas operativas de bajo valor, descuidando los proyectos transformacionales.
Captura de Necesidades
Recepción formal de requerimientos de todas las áreas.
Gestión de Backlog
Mantenimiento de una lista ordenada y transparente de proyectos pendientes.
05. Atención al Usuario
La "cara visible" de TI. Su objetivo es la resolución inmediata y la satisfacción del cliente.
Mesa de Servicio (L1/L2)
Soporte técnico de primer y segundo nivel para incidentes comunes.
Gestión de Solicitudes
Atención de pedidos estándar (accesos, nuevo software, equipos).
Métricas de Satisfacción (CSAT):
Monitoreo en tiempo real de la calidad percibida por el usuario tras cada interacción.
06. Gestión de Procesos
Define "cómo" se hacen las cosas para asegurar resultados consistentes y de alta calidad.
Definición y Documentación
Creación de manuales y diagramas de flujo para cada proceso crítico de TI.
Optimización Continua
Identificación y eliminación de cuellos de botella mediante metodologías como Lean.
Automatización
Uso de herramientas tecnológicas para ejecutar procesos repetitivos sin intervención humana.
Difusión y Cultura
Capacitación constante para que todo el equipo conozca y respete los procesos definidos.
"Sin procesos definidos, la tecnología es caos."
07. Software y Aplicativos
El corazón de la transformación digital: creación y mantenimiento de las herramientas de negocio.
Análisis y Diseño
Traducción de requerimientos de negocio a especificaciones técnicas robustas.
Construcción y Mantenimiento
Desarrollo de nuevas funcionalidades y soporte correctivo a sistemas existentes.
Gestión de Versiones
Control riguroso de los cambios en el código para evitar regresiones y fallos.
Pruebas de Unidad
Validación técnica del código por parte de los mismos desarrolladores.
08. Infraestructura TI
El soporte físico y virtual (Nube) sobre el cual corre todo el software de la empresa.
Servidores y Almacenamiento
Administración de centros de datos, servidores virtuales y sistemas de backup.
Redes y Conectividad
Garantizar que la comunicación entre sistemas y usuarios sea rápida y segura.
Planeación de Capacidad
Asegurar que el HW actual pueda soportar el crecimiento proyectado del negocio.
Gestión de Parches
Actualización constante de sistemas operativos para cerrar brechas de seguridad.
09. Soporte y Operación
El "motor" diario. Asegura que los sistemas estén disponibles 24/7 sin interrupciones.
Gestión de Continuidad
Establecimiento de metodologías para la administración de la disponibilidad del servicio.
Monitoreo Proactivo
Detección de fallos antes de que el usuario final los perciba.
Diagnóstico y Causa Raíz
Investigación profunda de problemas recurrentes para eliminarlos definitivamente.
10. Gestión Adm. y Financiera
Optimización del presupuesto TI y gestión de la relación comercial con terceros.
Control Presupuestal
Seguimiento estricto del gasto en licencias, hardware y servicios en la nube.
Gestión de Proveedores
Administración de contratos para asegurar que los terceros cumplan lo prometido.
11. CERTIFICACIÓN DE CALIDAD
El "Guardián" antes del despliegue a producción.
Validación QA
Garantizar que el software entregado esté libre de errores críticos y sea usable.
Aseguramiento de Calidad
Validación de que la solución cumple funcionalmente con lo solicitado por el negocio.
Pruebas de Estrés
Verificar que los sistemas no colapsen ante una alta demanda de usuarios.
12. Seguridad Informática
La base de confianza. Protege los activos digitales de la empresa ante amenazas constantes.
Gestión de Riesgos de TI
Identificación y mitigación de amenazas en conjunto con la gestión de Riesgo Operativo.
Políticas y Estándares
Definición y verificación del cumplimiento de reglas de seguridad interna y externa.
Cultura y Sensibilización
Fomento de una cultura de seguridad para que cada empleado sea una barrera ante el phishing.
Monitoreo de Eventos:
Detección en tiempo real de accesos no autorizados o comportamientos sospechosos.
13. Gestión del Servicio TI
La capa que envuelve todo el modelo para asegurar que el servicio siempre esté mejorando.
Acuerdos de Nivel de Servicio (SLA)
Mantenimiento de un ciclo constante de acuerdos, reportes y mediciones.
Gestión de Cambios
Asegurar que cada modificación técnica sea controlada para minimizar fallos en el servicio.
Mejoramiento Continuo
Análisis de métricas para identificar áreas de mejora en todo el Modelo Operativo.
Caso: Sector Financiero
Donde el MO-TI no es una opción, sino una exigencia legal y de supervivencia.
Regulación de la SBS
Cumplimiento obligatorio de estándares de ciberseguridad y continuidad del negocio.
Confianza del Cliente
En banca, la disponibilidad del sistema (99.9%) es el activo más valioso.
Regulación y Cumplimiento SBS
Marco normativo peruano para la gestión de seguridad y riesgo operacional en el sistema financiero.
Resolución SBS N.° 504-2021
Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos. Establece las responsabilidades del Directorio en ciberseguridad.
Resolución SBS N.° 6523-2013
Reglamento para la Gestión del Riesgo Operacional. Define los lineamientos para la seguridad de los canales de atención.
Importancia: El incumplimiento de estas normas conlleva sanciones severas y pérdida de la licencia de operación.
Resiliencia Operativa (BCP & DRP)
Capacidad de la organización para mantener servicios críticos ante desastres o interrupciones.
RTO (Recovery Time Objective)
Tiempo máximo tolerado para restablecer un servicio tras una caída.
RPO (Recovery Point Objective)
Punto máximo de pérdida de datos tolerable (frecuencia de backups).
Estrategias de Recuperación
Sitios alternos (Hot, Warm, Cold sites) y replicación de datos en tiempo real.
El Factor Humano y Concienciación
La tecnología es insuficiente si el personal no está capacitado para identificar amenazas.
Cultura de Ciberseguridad
Transformar al empleado de un riesgo potencial a una barrera de defensa proactiva.
Simulacros de Phishing
Pruebas controladas para medir la susceptibilidad del personal ante ataques de ingeniería social.
Marcos de Referencia Globales
Integración de estándares internacionales para un modelo operativo auditable y de clase mundial.
COBIT 2019
Gobernanza: Asegura la alineación entre los objetivos de negocio y las capacidades tecnológicas.
ITIL V4
Servicio: Define el ciclo de vida del servicio desde el diseño hasta la mejora continua.
ISO/IEC 27001
Seguridad: El estándar para implementar un Sistema de Gestión de Seguridad (SGSI).
Sinergia e Integración de Marcos
Los estándares no son excluyentes; su integración crea una defensa en profundidad.
COBIT + ISO 27001
El Gobierno define el "qué" (COBIT) y la Seguridad el "cómo" proteger los activos (ISO).
ITIL + ISO 27001
Gestión de Incidentes (ITIL) integrada con la Respuesta a Incidentes de Seguridad.
"La suma de los marcos es mayor que sus partes individuales en términos de resiliencia."
Ciberseguridad Avanzada
Evolución hacia modelos proactivos y de confianza cero.
Zero Trust (Confianza Cero)
"Nunca confiar, siempre verificar". Acceso basado en identidad y contexto, no en ubicación de red.
SOC (Security Operations Center)
Monitoreo, detección y respuesta centralizada ante amenazas 24/7.
Threat Intelligence
Uso de datos externos sobre amenazas para anticipar ataques dirigidos al sector financiero.
Roadmap de Madurez del MO-TI
El camino hacia la excelencia operativa en TI y Seguridad.
Fase 1: Inicial (Fundamentos)
Definición de roles, procesos básicos de ITIL y controles de seguridad críticos.
Fase 2: En Maduración (Estandarización)
Certificación ISO 27001, gestión de vulnerabilidades y planes de continuidad probados.
Fase 3: Establecida (Optimización)
Implementación de SOC, Zero Trust y mejora continua basada en analítica avanzada.
Conclusiones
🔹 El MO-TI es el puente vital entre la estrategia de negocio y la ejecución técnica.
🔹 La Seguridad Informática es una función transversal integrada en todos los componentes del modelo.
🔹 El Factor Humano sigue siendo el eslabón más crítico; la cultura de seguridad es la mejor inversión.
🔹 La Resiliencia Operativa (BCP/DRP) garantiza la supervivencia del negocio en el sector financiero.
🔹 La integración de ISO, COBIT e ITIL permite una gestión basada en estándares de clase mundial.