Revista PGI 8 2021

Rector
Mgr. Oscar Arnaldo Heredia Vargas
Decano
MSc. René Torrez Santalla
Facultad de Ciencias Puras y Naturales
Vice-Decano
T.S. Moises Calliconde Apaza
Director de Carrera de Informática

Ph.D. José María Tapia Baltazar
Coordinador Postgrado En Informática
Mgs. Lic. Edwing López Flores
Contacto
Universidad Mayor de San Andrés
Postgrado en Informática
Monoblock UMSA
Av. Villazón 1995, ed. Antiguo FCPN
Teléfono: +591 (2) 2443367
Correo: postgradoINFO@fcpn.edu.bo
Revista PGI La Paz - Bolivia 2020 No. 8 pp. 1-228 Depósito Legal: 4-3-154-19
2
PRESENTACIÓN
La Unidad de Postgrado en Informática (PGI) de la Carrera de Informática de la Facultad de

Ciencias Puras y Naturales de la Universidad Mayor de San Andrés es consciente de la necesidad
de mostrar a la comunidad universitaria y sociedad en su conjunto, los resultados de
investigaciones y aplicaciones logrados en la gestión 2020 por parte de profesionales que
participaron en los diferentes programas de maestría con la presentación de sus artículos
científico-tecnológicos.
En esta edición, la revista PGI en su octava edición, se muestra el desarrollo tecnológico –
científico y la formación de profesionales de excelencia en el área de la Informática, contribuyendo
a la sociedad con estudio de casos que son aportes al desarrollo del país y la sociedad.
El Comité Editorial científico, conformado por excelentes profesionales en el área, realizó la
revisión y aportaciones a cincuenta y tres artículos científico-tecnológicos correspondiente a
diferentes programas de maestría en el área de la Informática y la Ciencias de la Computación.
La presente edición, está enmarcado en instancias de cogobierno dentro de la Facultad de
Ciencias Puras y Naturales mediante resolución Honorable Consejo Facultativo 924/2020 en la
que se aprueba la realización del 1er. Congreso Virtual del Postgrado en Informática 2020
realizado del 12 al 16 de Octubre.
En mi condición de Coordinador del Postgrado en Informática, es de mi entera satisfacción
presentar la revista PGI Nro.8 a la comunidad universitaria y a la población en general
visibilizando los cincuenta y tres artículos desarrollados por profesionales capacitados en el
Postgrado en Informática con el seguimiento y aportes fundamentales por parte del Comité
Editorial.
Agradezco la colaboración de todos los miembros del Comité Organizador del 1er. Congreso
Virtual del Postgrado en Informática y su compromiso de continuar con esta labor en la siguiente
gestión y cumplir con el objetivo de establecer un espacio regular de difusión de trabajos de
investigación.
Seguro estoy de que esta publicación llenará un vacío de comunicación entre nuestra casa
superior de estudios y la sociedad nacional e internacional. Presento la Revista PGI Nro. 8
correspondiente a la gestión 2020.
Mgs.Lic. Edwing Lopez Flores

Coordinador del Postgrado en Informática
Gestión 2020-2021
Magister en “Educación Virtual” por la Universidad Andina Simón Bolívar

(CAN). Especialista “Coordinador de Recursos Telemáticos de Centros
Educativos” (TIC’s) por la Universidad Complutense de Madrid (España).
Licenciado en Informática por la Universidad Mayor de San Andrés.
3
Página dejada en blanco intencionadamente
4
Comité Editorial – Científico Revista PGI Nº 8
M.Sc. Lic. Jorge León Quiroga Canaviri

Licenciado en Economía por la Universidad Católica Boliviana. Maestrías en Economía
agrícola; Seguridad, defensa y desarrollo; y Macroeconomía aplicada. (INCAE Costa
Rica; Pontificia Universidad Católica de Chile; UNIBREMEN). Actualmente es candidato
a PhD en la Universidad Internacional Iberoamericana de Puerto Rico. Se especializó en
administración pública, administración de organizaciones empresariales, proyectos y
bioeconomía. 27 años de ejercicio profesional, 22 años de docencia universitaria.
M.Sc. Lic. Marcial Flores Guerrero

Licenciado en Informática por la Universidad Mayor de San Andrés. Máster en Finanzas
(Escuela Militar de Ingeniería - Tecnológico de Monterrey); Busines Continuity Manager
ISO 22301; Certified in the Governance of Enterprise IT® (CGEIT) ISACA; Certified
Information Systems Auditor® (CISA) ISACA; PECB Certified ISO 31000 Risk Manager;
PECB ISO/IEC 27001 Lead Implementer.
M.Sc. Ing. Luis Alejandro Macuaga Estrada

Ingeniero de Sistemas por la Universidad Católica Boliviana “San Pablo”. Maestría en
Administración de Empresas (UCB La Paz, Bolivia); Maestría en Gestión de las
Tecnologías de la Información (U Ramón Lull-La Salle, Barcelona, España).
Certificaciones ISO/IEC 27032 Senior Lead Cybersecurity Manager, ISO/IEC 31000 Lead
Risk Manager, COBIT 5, Certified Information Security Manager–CISM.
M.Sc. Ing. Marcelo Pinto Macedo

Ingeniero de Sistemas; Scrum Trainer, Product Owner, Agile Scaling, Agile Consultant,
NB/ISO/IEC 27001, NB/ISO/IEC 31000, NB/ISO/IEC 9001.
Fundador Agilidad XYZ, Especialista en sistemas y telecomunicaciones BID/Ministerio
de Salud, Subgerente de Tecnologías de la Información Univida S.A.
M.Sc. Ing. Elizabeth Patricia Pommier Gallo

Licenciada en Informática por la Universidad Mayor de San Andrés; Máster en Formación
Docente e Innovación Educativa, Universidad de Barcelona. Miembro ASOMTV Asociación
Mundial de Tutores Virtuales. Experta en Administración Web, Experta en Comercio
Electrónico. Diplomada en Especialización en el Diseño y Desarrollo de Cursos Virtuales,
IT Madrid IT Business y UCB San Pablo. Diplomada en Didáctica y Evaluación de las
Ciencias Exactas Universidad de Harvard LASPAU y UCB San Pablo.
M.Sc. Ing. Edson Vallejos

Licenciado en Informática por la Universidad Mayor de San Andrés. Maestría en
Seguridad en Tecnologías de la Información (EMI La Paz, Bolivia); Business Continuity
Manager ISO 22301; Certified Information Security Manager IT® (CISM) ISACA; Certified
Information Systems Auditor® (CISA) ISACA; Certified in Risk and Information Systems
Control ® (CRISK) ISACA; Certified Ethical Hacking (CEH) E-Council; PECB Certified
ISO 31000 Risk Manager.
5
Comité Editorial – Científico Revista PGI Nº 8
Lic. Alicia Heydy Estrada Cava

Licenciada en Informática; Diplomada en Organización y Administración Pedagógica del
aula en Educación Superior (CEPIES), diplomada en Desarrollo de aplicaciones con
software libre (EGPP). Actualmente realiza la Maestría en Alta Gerencia en Tecnologías de
la Información y las Comunicaciones e Innovación para el Desarrollo (PGI-UMSA).
Miembro de la Asociación Boliviana de Videojuegos, Representante INETA Latinoamérica.
Email: aliciahec@gmail.com. ORCID ID: https://orcid.org/0000-0001-8756-2003.
Ing. Bismark Francachs Castro

Ingeniero en Sistemas, Diplomado en Seguridad de la Información, Diplomado en
Auditoría Informática, Diplomado en Educación Superior. Actualmente realiza la Maestría
en Informática Forense, Seguridad de la Información y Auditoria Informática en el
Postgrado en Informática UMSA. Scrum Foundation Professional Certificate,
Miembro del grupo de investigación GI-FORSAI UMSA.
Email: bfrancachs@gmail.com. ORCID ID: https://orcid.org/0000-0002-2792-8808.
Ing. Edson Ildefonso Machicado Aruquipa

Ingeniero de Sistemas; actualmente realiza la Maestría en Informática Forense, Seguridad
de la Información y Auditoria Informática (PGI-UMSA); Especialista en Sistemas de
Gestión de la Seguridad de la Información NB/ISO 27001:2013 (IBNORCA); DPO;
Egresado de Derecho.
Miembro del grupo de investigación GI-FORSAI UMSA.
Email: edsonmachicado@gmail.com. ORCID: https://orcid.org/0000-0001-8064-1569.
6
TABLA DE CONTENIDO
Preliminares .................................................................................................................................1
Presentación .................................................................................................................................3
Comité Editorial – Científico de la Revista PGI No.8 .................................................................5
Tabla de Contenido ...................................................................................................................... 7
Modelo de Seguridad y protección en sistemas de información aplicando sistemas multi-
agentes para las PYMES ...................................................................................................................... 11
Adrian Eusebio Quisbert Vilela
Cultura tecnológica en las empresas .................................................................................................. 18

Alicia Heydy Estrada Cava
Modelo Para Tratamiento Forense de Incidentes Informáticos en la Nube .................................. 22

Bismark Francachs Castro
Modelo de clasificación de nódulos tiroides a través de imágenes de centellografía utilizando

tecnologías de Machine Learning ....................................................................................................... 26
Bladimir Rodolfo Calcina Choque
COBIT como herramienta para la implementación de la Norma Internacional Electoral ISO

54001 ...................................................................................................................................................... 31
Brenda Isabel Fernández Robles
Modelo Predictivo de Regalías Mineras aplicando Técnicas de Analítica Predictiva con R ..... 36
Carla Gabriela Calisaya Choque
Redes Neuronales para la identificación de competencias legisladas ........................................... 41

Carlos Gabriel Oblitas Villegas
Modelo Multiagente para la prevención de riesgo operativo de tipo fraude interno en IFDs ..... 45
Carmen Rosa Mollinedo Laura
Proyecto de Sistema de Recomendación de Filtrado Colaborativo basado en Machine

Learning ................................................................................................................................................. 48
Cesar Enrique Pita Perez
Modelo Blockchain para el aseguramiento de la Información en Certificados de Notas SSA-

UMSA (Sistema de Seguimiento Académico - UMSA) ................................................................. 52
Cristhian Jesús Mejía Fernández
Gestión de servicios TI en la Documentación Clínica basado en Estándares de Seguridad

de la Información .................................................................................................................................. 58
Daniel Apaza Siñani
7
Calidad en la especificación de requerimientos de software aplicado en metodologías ágiles . 61
Daniela Saavedra Menchaca
Honeypots dinámicos basados en Blockchain.................................................................................. 65

Danitza Helen Vallejos Quiñones
Modelos de Social Media Marketing en los Sistemas Educativos .................................................. 68

Edgar Rufo Enriquez Ralde
Monitoreo del Sentimiento de la Sociedad Boliviana en Redes Sociales: Aplicación Twitter .. 71

Freddy Richard Rojas Illatarco
El Arte de la Seguridad de la Información en la Globalización ...................................................... 77

Germán Alberto Saba Carrasco
Modelo Cuadro de Mando Integral (CMI) para Control del Índice de Permanencia de
Participantes en los Procesos de Alfabetización .............................................................................. 80
Giorgina María Mamani Aiza
Modelo de Gestión de Incidentes Informáticos para Equipos de Respuesta - CSIRT ............... 82

Gonzalo Diego Vargas Ramos
Modelo de Calificación de Datos Difusos para Datawarehousing Financiero ............................ 86

Grover Marcelo Chavez Duran
Cloud Computing en el Mercado de Valores cumpliendo el Reglamento para la Gestión de

Seguridad de la Información ASFI .................................................................................................... 91
Guetzy Rosalin Nicols Iriarte
Cómo solicitar la no objeción para el uso de servicios de computación en la Nube ante la

Autoridad de Supervisión del Sistema Financiero ASFI ................................................................ 95
Gustavo Fernando Linares Nuñez
Inteligencia Artificial en la Seguridad de TI .................................................................................... 99

Gustavo Rondo Montes
Procesos basados en ISTQB aplicados en la etapa de pruebas de integración .......................... 102

Hugo Gabriel Aguirre Aguirre
Modelo de gestión de monitoreo y control de TI para procesos de envío de información

financiera ............................................................................................................................................. 106
Jesús Estefan Soria Butrón
Modelo de Ciberseguridad Corporativa en el Sistema Bancario ................................................. 110

Jonathan Wilmer Magne Quispe
Modelo médico-paciente para toma de decisiones en salud utilizando herramientas de

Tecnologías Grid ................................................................................................................................ 115
Juan Carlos Mendoza Valdez
Sistema de seguridad de las proyectoras EPSON .......................................................................... 118

Juan Guillermo Durán Alarcón
Transformación Digital en Empresas Editoriales bolivianas ....................................................... 121

Lenz Gutierrez Aliaga
8
Ciberseguridad en la implementación de SD-WAN ...................................................................... 124
Madelaine Nelly Velasquez Blacutt
Propuesta de investigación: Modelo de análisis forense digital para el sistema de

negociación electrónico de la Bolsa Boliviana de Valores, basado en la Norma ISO/IEC
27037:2012 .......................................................................................................................................... 128
Mary Anahy Pomar Montes de Oca
Metodología de Administración e Implementación de Repositorios Digitales para la

Seguridad de la Información Clasificada del Sector Gubernamental .......................................... 131
Nilda Monica Cutili Lopez
Integración del Cuadro de Mando Integral (CMI) con el Modelo Canvas como Estrategia
de Gestión Empresarial ...................................................................................................................... 135
Ortiz Hilari Añaguaya
Modelo para Evaluar la Efectividad de los Planes Estratégicos de Tecnologías de la

Información y Comunicación ............................................................................................................ 139
Oscar Gerardo Martinez Laruta
Modelo de Pruebas de Regresión Automatizadas en Procesos de Integración Continua en

Sistemas Web ...................................................................................................................................... 143
Oscar Wile Mamani Alanoca
Modelo de seguridad de la información en redes inalámbricas de tecnologías de la

información para minimizar ataques de denegación de servicios ................................................ 149
Paolo Cesar Ali Sanchez
Metodología de Investigación de Mercado que coadyuve la Toma de Decisiones en

Marketing Político basado en herramientas de Business Intelligence ......................................... 153
Patricia Sonia Trino Camacho
Sistema de Seguridad electrónica basada en la norma ISO 27001 .............................................. 156

Poly Lázaro Isaac Salazar Larico
Implementación de estándares HL7 para la interoperabilidad de aplicaciones de salud y

equipos imagenológicos de Rayos X ............................................................................................... 160
Richart Eddy Choquetarqui Guarachi
Diseño de la Infraestructura del Centro de Procesamiento de Datos del Centro de Datos en

la Organización de Servicio de Control Migratorio basado en la Norma ANSI/TIA-942-
2005 ...................................................................................................................................................... 165
Roger Efrain Martinez Gonzales
Grado de madurez en Bolivia sobre la Seguridad de la Información .......................................... 173

Ronald Rocha Zabaleta
Modelo predictivo de producción de minerales de plata mediante redes neuronales

artificiales ............................................................................................................................................. 176
Scirley Maritza Nina Yucra
Modelo de transformación digital para mejorar los procesos educativos en Educación

Superior aplicando Big Data ............................................................................................................. 180
Shirley Solange Salazar Montoya
9
Plan de Inbound Marketing para la difusión de PYMES de desarrollo de software en
La Paz................................................................................................................................................... 185
Silvana Llanque Pérez
Análisis y Proceso de Hardening de Servidor Virtual Web, Facultad de Ingeniería (IngeTic)

............................................................................................................................................................... 189
Toto Ronald Sánchez Cari
Modelo para identificar defectos en Control de Calidad, basado en Oráculos de pruebas y

Sistemas Expertos .............................................................................................................................. 193
Trinidad Choque Tucupa
Modelo de Computación en Streaming para Reducir la Complejidad Computacional del

Software ............................................................................................................................................... 196
Victor Alfonso Ramos Huarachi
Modelo de Inteligencia de Negocio en la Administración Pública ............................................. 201

Viviana Luque Salluco
Estrategias de Inbound Marketing Orientadas a la Búsqueda y Captación de Turistas en

Agencias de Viaje dedicadas al Turismo Receptivo ..................................................................... 206
Wendy Lizeth Montiel Espejo
Desarrollo de una Herramienta CASE para el Diseño de Diagramas Entidad–Relación

Extendido y su mapeo al Modelo Relacional Orientado a Estudiantes en el contexto ............. 210
Zara Yujra Cama
La educación y la tecnología en tiempos de COVID-19 .............................................................. 214

Los sistemas de información y las TICs en el sistema universitario ........................................... 220

Modelo de Business Intelligence orientado a Tecnología Mobile basado en SAP para

PYMEs ................................................................................................................................................. 223
Lineamientos editoriales.................................................................................................................... 227
10
Investigación, Ciencia y Tecnología en Informática
Modelo de Seguridad y protección

en sistemas de información aplicando
sistemas multi-agentes para las PYMES
Adrian Eusebio Quisbert Vilela
La Paz - Bolivia
aquisbertvilela@gmail.com
Resumen—Se presenta la propuesta de un Modelo de Artificial, agentes inteligentes, las mismas son herramientas
Seguridad y protección en sistemas de información aplicando teóricas y experimentales de las ciencias de computación; para
sistemas multi-agentes para PYMES. Donde los agentes estudiar el fenómeno del comportamiento inteligente y el
inteligentes harán uso de reglas de razonamiento, que están desarrollo de sistemas multi-agentes, área que ha producido un
almacenados en una base de conocimiento bajo un patrón de cuerpo de principios, representaciones, algoritmos y nuevas
vulnerabilidades basados en el TOP 10 de OWASP. Dichos agentes avances tecnológicas, el cual ha realizado importantes aportes
se ejecutarán en un servidor proxy inverso, de esta manera evitar en diferentes áreas como ser: la medicina, sistemas cooperativos,
vulneraciones y al mismo tiempo alertar a los administradores de robótica, sistemas operativos, comercio electrónico, internet,
base de datos y de sistemas de información web oportunamente y
inteligencia gestión del conocimiento, seguridad de la
así tomar las acciones correspondientes.
información entre otros.
Palabras clave—Multi-agente, agentes inteligentes, base de Con el fin de mejorar la seguridad en las empresas PYMES,
datos, sistemas web, diseño de patrones, vulnerabilidades, OWASP. el presente trabajo de investigación propone un Modelo de
seguridad y protección en sistemas de información aplicando
I. INTRODUCCIÓN
sistemas multi-agentes, de esta forma dar mayor seguridad y
Actualmente la informática y las redes de datos han confidencialidad a la información con la que cuentan.
evolucionado y mejorado la productividad de muchas
organizaciones, desarrollando e implementado diferentes Para definir la problemática, se parte de la siguiente premisa,
aplicaciones informáticas, en ambientes locales y/o en entornos que en la actualidad la información es el activo más valioso de
web, las mismas acceden a bases datos, donde almacenan muchas organizaciones, las cuales son almacenadas en bases de
información de procesos y de servicios de diferentes áreas de la datos, dicha información es el resultado del proceso de las tareas
organización, toda esta información se convierte en activos cotidianas que efectúan los sistemas de información. Toda esta
informáticos de mucho valor. infraestructura tecnológica de hardware y software está a
disposición de la sociedad con una cantidad creciente de
Al implementar los sistemas informáticos, los riesgos de información de toda naturaleza, almacenadas en grandes bases
vulneración han incrementado con accesos no autorizados a las de datos a través de los sistemas de información; en las más
bases de datos y a los sistemas informáticos; estos accesos diversas esferas del conocimiento humano, científico, técnico,
pueden ser de manera interna y/o externa, realizados desde profesional y personal que están siendo incorporadas a los
diferentes puntos de acceso, aspecto que facilita vulnerar, sistemas informáticos a la práctica cotidiana. Este tipo de
provocando un daño al patrimonio de la organización por la innovaciones tecnológicas proporcionan grandes beneficios al
pérdida de información y/o equipos, además de afectar mundo empresarial, que están sujetos a amenazas y riesgos,
negativamente la eficiencia y la efectividad de los procesos de ocasionando diversos tipos de daños y vulneraciones, entre
la organización. otros; a los que se les conoce como ataques informáticos o
Ante estos riesgos y vulneraciones se requieren que los vulnerabilidades tecnológicas.
mecanismos de seguridad sean cada vez más sofisticados, que Ante esta problemática latente es importante que se
eviten los accesos no autorizados a los sistemas de información continúen realizando investigaciones proponiendo nuevas
y a la base de datos, manteniendo la integridad, la alternativas de solución para detectar y evitar las vulneraciones
disponibilidad, la confidencialidad, la consistencia y el control a las bases de datos que cada vez son más sofisticadas. Frente a
de la información, elementos primordiales para mantener la este crecimiento, también las vulneraciones se han
seguridad de la información. Por lo que es necesario adoptar incrementado, por lo que la seguridad de datos presenta un reto
nuevos mecanismos de seguridad en los sistemas informáticos, multidimensional donde los ambientes complejos incluyen una
que esté acorde a los avances tecnológicos y si fuese necesario gran cantidad de sistemas para gestión de base de datos, las
aplicar otras áreas de investigación tal como es la Inteligencia aplicaciones empresariales, plataformas de sistema operativo
Para referenciar este artículo (IEEE):

[N] A. Quisbert, «Modelo de Seguridad y protección en sistemas de información aplicando sistemas multi-
agentes para las PYMES», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp.
11-17, 2020.
11
con múltiples rutas de acceso y niveles de permiso heterogéneos

que han generado un conjunto aparentemente interminable de
escenarios de amenazas y vulneraciones a la seguridad.
Los mecanismos tradicionales de seguridad informática
como son los firewalls y políticas de seguridad (normas y
directrices que permiten garantizar la confidencialidad,
integridad y disponibilidad de la información y minimizar los
riesgos que le afectan), ya no son suficiente para las nuevas
formas de ataque que sufren los sistemas de información y las
bases de datos. los ciber-delincuentes rompen las barreras
perimetrales de forma fácil. Según estadísticas las vulneraciones Fig. 1. Esquema del modelo de seguridad aplicando sistema multi-agente
pueden ser: internas y/o externas, los porcentajes indica que el
70% son ataques internos y el 30% son ataques externos. Por El esquema consiste en alertar las diferentes
otra parte, según el análisis estadístico de la empresa Recovery vulnerabilidades OWASP, donde el modelo se compone de un
Labs, (2015) [1] sobre las vulneraciones a los sistemas conjunto de sub sistemas de agentes inteligentes, las cuales
informáticos y a los repositorios de base de datos, los resultados interactúan y realizan tareas enfocadas en percibir, evaluar y
se muestran en la tabla 1. alertar ex-ante el hecho de vulneración y de esta manera
conservar la confidencialidad, integridad y disponibilidad. Para
TABLA I. ESTADÍSTICAS DE VULNERACIONES INFORMÁTICOS esto, se cuenta con un agente encargado de percibir las
Porcentaje Detalle vulnerabilidades, otro agente de evaluar qué tipo de acceso no
Son delitos informáticos como la falsificación o fraude autorizado, un agente que proporcione alerta temprana para
46.71% informático mediante la introducción, borrado o supresión tomar acciones correspondientes, y un agente coordinador.
de datos, o la interferencia en sistemas informáticos.
Son delitos contra la confidencialidad, la integridad y la A. Agente Coordinador
disponibilidad de los datos y sistemas informáticos. Dentro
de esta categoría las conductas que más se repiten son con
Es el encargado de coordinar a los agentes que intervienen
43.11% un 63.89% delitos relacionados con el acceso ilícito a en el sistema. Determina el tipo de vulnerabilidad; para esto, el
sistemas informáticos, y con un 36.11% todas aquellas agente coordinador analiza la vulnerabilidad, ver figura 2.
conductas delictivas relativas a la interferencia en el
funcionamiento de un sistema informático
Son delitos relacionados con el contenido, como la
producción, oferta, difusión, adquisición de contenidos de
10.18% pornografía infantil, por medio de un sistema informático o
posesión de dichos contenidos en un sistema informático o
medio de almacenamiento de datos.
Fuente: (Recovery Labs 2015)
Considerando los porcentajes 46.71% y 43.11% se tiene un Fig. 2. Sub sistemas de agentes inteligentes
total de 89.82%, según el porcentaje obtenido, las vulneraciones
afectan las bases de datos, que son accedidos de manera ilegal B. Agente que percibe la vulneración
produciendo vulneración y haciendo que la información no sea
confiable e integra. Lo que implica que estos accesos no Este agente será el encargado de percibir la vulneración a los
autorizados, están motivadas por diversos factores como ser: sistemas de informáticos y a la base de datos, el cual pasará
información al agente evaluador.
• Robo de información para la venta.
• Espionaje a la propiedad intelectual como diseño de C. Agente evaluador
nuevos productos, algoritmos, planes estratégicos. Este agente se encargará de evaluar el nivel y tipo de
vulneración que pretende realizar el intruso interno o externo.
En este sentido algunas empresas han invertido mucho
presupuesto en infraestructura tecnológica para proteger la D. Agente que alerta la vulneración
información, sin embargo, las PYMES no han corrido la misma Está en función a la evaluación que realiza el agente
suerte de poder implementar estos mecanismos de seguridad, evaluador, alertara de manera temprana a los administradores de
porque las mismas cuentan con recursos limitados, esto hace que bases de datos y de sistemas informáticos para puedan tomar
los sistemas informáticos sean más vulnerables, y sean un acciones correspondientes sobre estas vulneraciones.
blanco fácil para los ciber-delincuentes, a razón de esto con el
fin de reducir las vulneraciones y no pierdan la confidencialidad, Todos estos agentes interactuaran de forma directa con una
integridad y disponibilidad, se propone una alternativa de base de conocimiento que guarda información sobre las
desarrollar un modelo de seguridad aplicando los agentes vulneraciones que se realizan a los repositorios bases de datos.
inteligentes para las PYMES. Los patrones. Un patrón de diseño es una descripción para
resolver un problema de diseño general en un contexto
II. MÉTODO
particular. En nuestro caso se aplica estos patrones porque
Para dar solución esta problemática latente sobre la existen características comunes de vulneración a los repositorios
seguridad informática, y tomar las acciones correspondientes, en de bases de datos, de tal forma que estos que estos elementos
las empresas PYMES se plantea un modelo de seguridad con comunes se establezcan como patrones que simplifique la base
sistema multi-agente, cuyo esquema se muestra en la figura 1. de conocimiento y la búsqueda de solución sea efectiva [4].
12
La base de conocimiento. Donde almacenera información G. Tipos de Vulneraciones según OWASP TOP 10 (2017).
de las vulneraciones con todas las características de patrones Las medianas y pequeñas empresas por los escasos recursos
establecidos y sobre esto los algoritmos de razonamiento económicos con que cuentan no han logrado implementar estos
conjuntamente con los agentes inteligentes podrán percibir y mecanismos de seguridad para poder proteger la información
evaluar cuando se produzca una vulneración. con la que cuentan, que cada vez se vuelven más imperativos y
Agentes y Sistemas Multi-Agente [5]. La teoría de agentes necesarios para evitar las vulneraciones de los ataques
surge como una evolución de la inteligencia artificial distribuida informáticos, estas vulneraciones a las PYMES, han sufrido
[6]. La evolución del software, y más concretamente del diferentes ataques tal como se muestra en la tabla 2.
software que incorpora elementos de la inteligencia artificial, TABLA II. PORCENTAJE DE ATAQUES Y APLICACIÓN DE SEGURIDAD
tiende a la creación de entidades con comportamientos y
59% Utilizo Seguridad web en 2014
conductas similares a las de los humanos. En definitiva, los
48% Utilizó seguridad web en 2015
agentes son capaces de tomar decisiones, reaccionar ante 43% Ciberataques se concentran en las pymes en el año 2016
estímulos externos, cambiar su propio comportamiento y Fuente (Informe Anual de Cisco, 2016)
adaptarse a las necesidades del entorno. Por otra parte, un
sistema multi-agente se define como cualquier sistema El modelo de seguridad se basa en el OWASP TOP 10
compuesto de múltiples agentes autónomos con capacidades (2017), donde se considera las vulneraciones más frecuentes y
incompletas para resolver un problema global, en donde no comunes que sufre los sistemas de información y las bases de
existe un sistema de control global, los datos son datos, esta lista de vulneraciones se muestra en la tabla 3.
descentralizados y la computación es asíncrona [7].
TABLA III. TOP 10 RIESGOS DE SEGURIDAD EN LA WEB
Estos agentes inteligentes jugarán un papel importante en el
modelo de seguridad, las mismas serán las encargadas directas Tipo Descripción
de evitar las vulneraciones a los sistemas informáticos, los A1 SQL Inyección
A2 Perdida de autenticación
conjuntos de los agentes formarán el sistema Multi-Agente que A3 Exposición de datos sensibles
estará organizado de forma sistemática, de esta forma, cada A4 XML Entidades externas
agente se enfoca en su propia conducta. A5 Pérdida de control de acceso
A6 Configuración de seguridad incorrecta
E. Vulneraciones según el TOP 10 de OWASP A7 Referencia de sitios cruzados (XSS)
Open Web Application Security Project, es un documento no A8 Desacralización insegura
A9 Uso de componentes con vulnerabilidades conocidas
oficial ni estándar donde se recopilan las vulnerabilidades más A10 Registro y monitoreo insuficiente.
frecuentes y preocupantes por piratas informáticos, hay fallos de Fuente: Owasp.org (2017)
seguridad todos los años suponen una gran parte de los ataques
informáticos a nivel mundial y, a pesar de ello, no se termina de H. Arquitectura general del modelo.
desarrollar ninguna medida de seguridad que mitigue de forma Para tener un mejor enfoque para el desarrollo del modelo de
definitiva. Estas vulnerabilidades que se repiten año tras año son seguridad con agentes inteligentes se basará en la siguiente
los fallos de inyección de código y los problemas en las arquitectura que se muestra en la figura 4 que será el marco de
plataformas de autenticación [8]. trabajo que establece un conjunto de buenas prácticas para la
En base al TOP 10 se realizarán los diferentes Payloads [9] elaboración del modelo.
que estarán almacenados en la base de conocimiento y así evitar
los diferentes vectores de ataque [10] que realizan los piratas
informáticos. Es importante reconocer que un vector de ataque
podría estar conformado por más de una amenaza.
F. La metodología de desarrollo de la solución
Para la investigación de la propuesta del desarrollo del
modelo de seguridad aplicando agentes inteligentes, se seguirá
un conjunto de pasos de forma sistemática y metodológica, tal
como se muestra en la figura 3.
Fig. 4. Esquema general de la investigación
I. Descripción por fase.

Fase I: Análisis y descripción de las vulneraciones que sufre
un sistema de información y las bases de datos, es decir, cuáles
son las vulnerabilidades más frecuentes que existe en base al
OWASP TOP10 (2017). Con toda esta información se
desarrollará un modelo de seguridad para sistemas de
información web, donde los agentes inteligentes juegan un papel
importante para evitar las vulneraciones.
Fig. 3. Propuesta Metodológica de desarrollo Fase II. Desarrollo del modelo: Una vez realizado todo el
análisis y estudio pertinente sobre las vulneraciones, el siguiente
13
paso será el desarrollar el Modelo de Seguridad y Protección en TABLA IV. BASE DE CONOCIMIENTO
Sistemas de información aplicando agentes inteligentes, /* mysql comment BODY|URL | ARGS | $ $SQL:8
(/*) HEADERS_VAR:Cookie
estableciendo una base de conocimiento, los algoritmos */ msg:mysql BODY|URL| ARGS | $ $SQL:8
razonamiento de los agentes y el motor de inferencia, el cual comment (*/) HEADERS_ VAR: Cookie
reducirá las vulneraciones, alertando de forma oportuna a los | mysql keyword BODY|URL |ARGS |$ $SQL :8"
(|) HEADERS_VAR: Cookie
administradores de sistemas de información y bases de datos. && mysql keyword BODY|URL |ARGS |$ $SQL :8"
(&&) HEADERS_VAR:Cookie
Fase III. En esta fase se realizará la respectiva validación del -- mysql comment BODY|URL| ARGS |$ $SQL :4
modelo de seguridad, tomando como punto de partida el (--) HEADERS_VAR:Cookie
Semicolon BODY|URL |ARGS $SQL :4,
prototipo, el mismo que se implementará en un servidor NginX, $XSS: 8
con todo esto, se tomará una muestra simple seleccionando 10 = equal sign in probable sql/ xss ARGS|BODY $SQL :2
empresas con sitios web, que será configurado en el servidor, var
( open probable sql/xss ARGS|URL | $SQL: 4$
por otra parte, se utilizará la aplicación DVWA (Damn parenthesis BODY |$ HEADERS_VAR:Cookie XSS:8
Vulnerable Web Application), con esto verificaremos que los ) close probable sql/xss ARGS|URL| $SQL :4$
agentes inteligentes realizan el trabajo de evitar y reducir las parenthesis BODY |$ HEADERS_VAR:Cookie XSS:8
' simple quote ARGS|BODY |URL|$ $SQL :4,$
vulneraciones más frecuentes. HEADERS_VAR:Cookie XSS:8
, double arobase BODY|URL | ARGS|$ $SQL:4"
J. Modelo de arquitectura de los agentes (@@) HEADERS_VAR:Cookie
# mysql comment BODY|URL | ARGS|$ $SQL:4
La arquitectura de los agentes que se plantea para el modelo (#) HEADERS_VAR:Cookie
de seguridad, está asociado a un conjunto de agentes inteligentes @@ double arobase BODY|URL| ARGS|$ $SQL:4
que interactúan entre sí, con miras a conseguir el objetivo, la (@@) HEADERS_VAR:Cookie
http:// http:// scheme ARGS|BODY |$ $RFI:8
misma que se muestra en la Figura 5, donde se especifican los HEADERS_VAR:Cookie
diferentes componentes que interactúan en el sistema para https:// https:// scheme ARGS|BODY|$ $RFI:8
conseguir el fin, todo esto alimentado con una base de HEADERS_VAR:Cookie
ftp:// ftp:// scheme ARGS| BODY |$ $RFI:8
conocimiento, el cual evitará vulneraciones de los ataques. HEADERS_VAR:Cookie
php:// php:// scheme ARGS|BODY| $ $RFI:8
HEADERS_VAR:Cookie
sftp:// sftp:// scheme ARGS|BODY| $ $RFI:8
HEADERS_VAR:Cookie
zlib:// zlib:// scheme ARGS|BODY |$ $RFI:8
HEADERS_VAR:Cookie
data:// data:// scheme ARGS|BODY |$ $RFI:8
HEADERS_VAR:Cookie
glob:// glob:// scheme ARGS|BODY |$ $RFI:8
HEADERS_VAR:Cookie
phar:// phar:// scheme ARGS|BODY |$ $RFI:8
HEADERS_VAR:Cookie
file:// file:// scheme ARGS|BODY |$ $RFI:8
HEADERS_VAR:Cookie
gopher:// gopher:// ARGS|BODY |$ $RFI:8
scheme HEADERS_VAR:Cookie
.. double dot ARGS|URL| BODY |$ $TRAV
HEADERS_VAR:Cookie ERSAL : 4
/etc/ obvious probe ARGS|URL| BODY |$ $TRAV
passwd HEADERS_VAR:Cookie ERSAL : 4
c:\\ obvious ARGS|URL| BODY |$ $TRAV
windows path HEADERS_VAR:Cookie ERSAL : 4
cmd.exe obvious probe ARGS|URL| BODY |$ $TRAV
Fig. 5. Modelo de arquitectura de los agentes \\ Backslash ARGS|URL |BODY |$ $TRAV
La arquitectura de agentes será deliberativo, que se inicia con < html open tag ARGS|URL |BODY |$ $XSS:8
una percepción, que en este caso serán los entes externos que HEADERS_VAR:Cookie
intentan vulnerar los sistemas de información web y las bases de > html close tag ARGS|URL |BODY |$ $XSS:8
HEADERS_VAR:Cookie
datos, dentro de la arquitectura existe una parte intermedia [ open square possible js BODY| URL |ARGS|$ $XSS:4
(middleware), que será el servidor NginX, donde se instalaran backet ([) HEADERS_VAR:Cookie
los agentes inteligentes y actuaran para evitar las vulneraciones ] close square possible js BODY | URL |ARGS|$ $XSS:4
bracket (]) HEADERS_VAR:Cookie
de acuerdo al OWASP TOP 10 (2017), y la acción inmediata ~ tilde (~) BODY|URL | ARGS|$ $XSS:4
será el de proteger el sistema de información y las bases de datos. character HEADERS_VAR:Cookie
` grave accent (`) ARGS|URL | BODY|$ $XSS:8
A partir de este esta arquitectura se tiene la siguiente función HEADERS_VAR:Cookie
general matemática que se detalla a continuación. &# utf7/8 encoding ARGS|BODY | URL|$ $EVADE: 4
HEADERS_VAR:Cookie
Modelo de seguridad = G( F(TV), FA(PR,BC,AR)) %U M$ encoding ARGS|BODY |URL|$ $EVADE: 4
HEADERS_VAR:Cookie
Donde: F,FA : son funciones
G : Middleware (servidor NginX) III. RESULTADOS
TV : Tipos de vulneraciones
PR : Programas En función de la Figura 6 Esquema del modelo sistema
BC : Base de Conocimiento multi-agente, se ha desarrollado un prototipo para comprobar el
AR : Algoritmos de Razonamiento. modelo, con las respectivas pruebas, el desarrollo se ha
La base de conocimiento que se convirtió en una lista de efectuado en dos fases: primero el desarrollo de agentes
Payloads se detalla en la tabla 4. inteligentes que interactuaran con la base de conocimiento, la
14
segunda fase es la implementación y configuración del servidor

NginX, ver Figura 6.
Fig. 9. Pantalla del prototipo

Fig. 6. Contenido del prototipo de Modelo de seguridad
Con el fin de validar el modelo de seguridad se implementó
A partir del anterior esquema se implementó el modelo de un prototipo que funciona con una base de conocimiento que
seguridad, bajo una arquitectura, que se muestra en la Figura 7; esta descrito en la tabla 3 a partir de esto se realizó pruebas y se
es decir, cualquier usuario que quiera acceder al sistema de diseñó los instrumentos necesarios que permiten medir el
información y a las bases de datos, deberán de pasar por el impacto del modelo y del prototipo elaborado, siendo los
servidor NginX, el cual será una pasarela, donde se encuentra siguientes elementos que se consideran a continuación:
los programas desarrollados sobre los agentes inteligentes, las
mismas que detectaran las diferentes vulneraciones de acuerdo • La infraestructura del servidor NginX es adecuada.
al top 10 de OWASP. • Base de conocimiento actualizado.
• Mejoramiento de la seguridad en las PYMES.
• efectividad de la herramienta
• Uso y utilidad: desempeño, variedad de reportes,
facilidad toma de decisiones.
Para realizar validación mediante el prototipo se realizó
pruebas de vulneración a los siguientes sitios web, ver tabla 5.
TABLA V. LISTA DE SITIOS WEB

Fig. 7. Arquitectura del modelo de seguridad
Nro. Descripción del sitio web
Emp.1 www.zaraeli.com
A partir de esta arquitectura, se configuró el servidor
Emp.2 www.itrational.com
NGINX, el cual es un servidor HTTP libre, de código abierto, Emp.3 www.insdustrailmurillo.edu.bo
con un proxy inverso, así como un servidor proxy IMAP / POP3. Emp.4 www.itso.es
NGINX es mejor conocido por su alto rendimiento, estabilidad, Emp.5 www.industria.gnb.com.bo
conjunto de características ricas, configuración sencilla y bajo Emp.6 www.cense.edu.bo
consumo de recursos, NGINX maneja eficientemente las tareas Emp.7 www.feyalegria.org
que podrían ralentizar su servidor web. Los sitios dinámicos, Emp.8 190.129.72.239
construidos utilizando desde Node.js a PHP, suelen utilizar Emp.9 www.adrianquisbertvilela.com
NGINX como caché de contenido y proxy inverso para reducir Se elabora un cuestionario, el cual permite obtener
la carga en los servidores de aplicaciones, toda esta arquitectura información sobre la percepción del modelo de seguridad que se
se muestra en la Figura 8. aplica a las empresas de la tabla 5; las preguntas del cuestionario
de acuerdo a la funcionalidad y considerando el impacto que
tiene en la protección de la información ante diferentes
vulneraciones se ven en la tabla 6.
TABLA VI. PREGUNTAS DEL CUESTIONARIO
Variable Descripción de la pregunta

A1 Alguna vez ha sufrido una vulneración a su sistema de
información web
A2 La herramienta de seguridad es útil
A3 La herramienta de seguridad es eficiente
A4 La herramienta es accesible respecto al costo
A5 La herramienta satisface necesidades respecto a la seguridad del
Fig. 8. Arquitectura del servidor NGINX sistema de información
A6 Que tipos de ataque sufrió
Una vez implementado los agentes en servidor NGINX, se A7 En cuanto aumento el nivel de confianza con aplicación de la
implementó el prototipo que se muestra en la Figura Nro. 9 herramienta
A8 Con la herramienta ha sufrido alguna vulneración.
A9 La herramienta detecta oportunamente las vulneraciones
A10 La herramienta redujo las vulneraciones
15
El resultado de la encuesta se despliega a continuación. Pregunta 6. La herramienta de seguridad es eficiente.

Pregunta 1. Alguna vez ha sufrido una vulneración a su sistema
de información web.
Si No Total
6 4 10
40% Si
60% No
Fig. 10. Pregunta 1 Fig. 15. Pregunta 6
Pregunta 2. Con la herramienta ha sufrido alguna vulneración. Pregunta 7. La herramienta de seguridad es útil.
Si No Total
2 8 10
20% Si
80% No
Fig. 11. Pregunta 2

Fig. 16. Pregunta 7
Pregunta 3. Que tipos de ataque sufrió.
Pregunta 8. La herramienta redujo las vulneraciones.
Fig. 12. Pregunta 3

Fig. 17. Pregunta 8
Pregunta 4. La herramienta detecta oportunamente las
vulneraciones. Pregunta 9 La herramienta satisface necesidades respecto a la
seguridad del sistema de información.
Fig. 13. Pregunta 4

Fig. 18. Pregunta 9
Pregunta 5. En cuanto aumento el nivel de confianza con
aplicación de la herramienta. Pregunta 10 La herramienta es accesible respecto al costo.
Fig. 14. Pregunta 5 Fig. 19. Pregunta 10
16
A. Análisis de resultados La herramienta es Como la herramienta está dirigida para aquellas

accesible respecto empresas cuya economía es baja, la aceptación es
El análisis del modelo de seguridad, se efectúa mediante los al costo alta con un 90% de aceptación de uso de la
resultados del cuestionario, en la siguiente tabla 7. herramienta.
TABLA VII. ANÁLISIS DE RESULTADOS IV. CONCLUSIONES

Al finalizar el presente trabajo y tras la realización de la
Indicadores Preguntas Escala de valoración
misma se ha llegado a las siguientes conclusiones.
Alguna vez ha Los resultados de la encuesta indican que el 55%
vulneraciones a los
sufrido una si han sufrido por lo menos una vulneración al 1. El desarrollo de un prototipo permitió determinar que
vulneración a su sistema de información con la que cuenta, esto se
es posible mejorar la seguridad de los sistemas de
información
puede contrastar con los datos obtenidos que 43%

sistemas de
sistema de
han sufrido algún tipo de ataque (ver tabla 4.1 pág. información de las PYMES conjuntamente con la
Tipos de
información web
62), y un 45% no han sufrido ningún tipo de aplicación de los agentes inteligentes.
ataques, eso nos indica que el modelo propuesto es
necesario para poder proteger la información. 2. Los sistemas multi-agentes como una rama de la
Con la herramienta Para poder verificar esta pregunta se hizo pruebas
ha sufrido alguna donde se configura las páginas de las empresas,
inteligencia artificial, se ha convertido en una de las
Vulneraciones Frecuentes
vulneración. para luego vulnerar, se utilizó la herramienta áreas de investigación y aplicación en el campo de las
DWVA que se configuro también el servidor de ciencias de la computación, el cual permitió la
NginX, resultado de esto, se tuvo que un 80%, no
ha sufrido vulneraciones, por lo tanto, se pude implementación del prototipo.
concluir que el modelo es eficiente, también esto
se puede contrastar que un 53%, que si utiliza 3. La metodología a diseñar los agentes de una manera
mecanismos de seguridad, en contraparte el 20% más estructurada y objetiva, y como resultado es el
si ha sufrido vulneraciones, esto sirvió también desarrollo del prototipo de los agentes.
para mejorar el modelo para hacerlo más efectivo.
Que tipos de El modelo considera 5 tipos de ataques que se 4. El concepto de agente/sistema multi-agente es el área
ataque sufrió tomó del top 10 2017 como referencia de de la inteligencia artificial tuvo éxito en la elaboración
vulneraciones, el resultado la vulneración más
El modelo que tipos de
de prototipo y su implementación en el servidor NginX

vulneraciones detecta
frecuentes es el sql Injection con 67%, el resultado

es alto por que los sistemas de información web la
mayoría cuentan con una base de datos, la segunda 5. Las herramientas para el desarrollo en lado back-end
vulneración es el XSS, con un 22%, esto se debe a (bash, nodejs y Python) y en front-end (html 5,
que las páginas web utilizan en front-end java
scripts, en la vulneración RFI es el 11%, para bootstrap 4.0, css3), hicieron posible todo el desarrollo
obtener, estos resultados se realizó las de la aplicación.
vulneraciones con la herramienta DWVA
La herramienta Tras realizar las pruebas con la herramienta 6. El servidor NginX fue de gran ayuda para llevar a cabo
detecta DWVA, si hicieron varias vulneraciones, el la implementación y hacer realidad que si se puede
oportunamente las resultado de esta pregunta nos muestra que en un mejorar la seguridad en las empresas PYMES. Así
vulneraciones 90% el modelo es aceptable y cumple el objetivo,
seguridad con el modelo
En cuanto incrementa la
en un 10% no detecta oportunamente, esto se debe mismo es necesario continuar buscando nuevos
a que existen nuevos payloads para realizar mecanismos de seguridad informática que reduzca los
vulneraciones.
costos y su efectividad en diferentes empresas y
En cuanto Antes de implementar el modelo el nivel de
aumento el nivel confianza era bajo, luego de aplicar el modelo
haciendo que los agentes inteligentes sean más
de confianza con tiene un nivel de confianza del 60% como muy autónomos.
aplicación de la bueno y 20% como bueno. Esto nos indica que el
herramienta modelo tiene un grado de aceptabilidad. REFERENCIAS
la herramienta de La herramienta es eficiente y tiene una aceptación
[1] Ardita, J CYBSEC S.A, http://www.cybsec.com/upload/ataque.pdf
En cuanto reduce las vulneraciones
seguridad es como muy bueno con un 60% de eficiencia, lo que

eficiente. implica si se la herramienta se empieza a utilizar Recuperado el 10 de septiembre de 2018
tendría una aceptación muy buena. El 40% lo [2] Estadísticas, Recuperado 20 oct 2018 http://www.delitosinformaticos.
cataloga como bueno, pero sumando los dos se info/peritaje_informatico/estadisticas.html
tendría una aceptación del 100%.
[3] Desing Patterns. E. Gamma, R. Helm, R. Johnson, and J. Vlissides.
La herramienta de Referente sobre la utilidad de la herramienta, como
Design Patterns. Addison Wesley, 1995.
seguridad es útil resultado se tuvo que en un 80% es muy bueno y
de las empresas
20% como bueno, sin embargo, se considera que [4] J. Gómez-Sanz, 2002, Metodología de Desarrollo de Sistemas
en un 100% la herramienta es útil Multiagente (Ph.D. Tesis). Universidad Complutense de Madrid.
La herramienta Con el uso de la herramienta se redujo las [5] Russell S & Norvig P,2008, Inteligencia Artificial Un Enfoque Moderno,
redujo las vulneraciones en un 90% lo que significa que la Segunda Edición, Pearson Educaction España
vulneraciones herramienta, permite reducir.
[6] Wooldridge, M. (2009). An Introduction to MultiAgent Systems. Wiley
La herramienta En este punto se tiene un resultado de satisfacción
satisface necesidades del 30% como muy buena y un 60% como buena,
Publishing, 2nd edition
El modelo
reduce los
seguridad
[7] open software security, https://mega.nz/#!qdJiza4Z!DFD2QMrV1M7n

costos de
respecto a la sin la suma de ambos resultados no da un 90% de

seguridad del satisfacción. TL1R539S 4jNj3vrgvgU1Bor126ftEM20
sistema de
[8] https://openwebinars.net/blog/que-es-payload/
información
https://tecnofor.es/que-es-un-vector-ataque-ciberseguridad
Breve CV del autor

Adrian Eusebio Quisbert Vilela es Licenciado en Informática.
Su actividad laboral consiste en el desarrollo de software, soporte en seguridad informática y docencia universitaria.
Su interés investigativo abarca temas de seguridad de la información y la inteligencia artificial. Email: aquisbertvilela@gmail.com.
17
Cultura tecnológica en las empresas

La Paz - Bolivia
aliciahec@gmail.com
Resumen—La tecnología está en constante evolución por lo cantidad de información (big data) en tiempo real y con ello
cual debemos tener mecanismos para su uso, que permitan asegurar también a los agricultores o empresarios
mejorar las ventas de las empresas paceñas y como generar agroindustriales un mayor rendimiento en la producción. Esto
mayores ingresos y sus efectos multiplicadores lograr un mayor significa que estamos proporcionando poder de decisión tanto a
desarrollo regional, como parte de la cultura tecnológica. Es productores como a clientes y empleados, e implica una
necesario realizar una gestión de conocimiento, alfabetizando a los atomización de los procesos de negocio y un aumento de la
empresarios paceños para que adquieran una cultura tecnológica, competitividad.
que se les induzca a invertir en tecnología y realizar innovaciones
a nivel de startups y spin offs, que además les permita potenciarse II. PROBLEMÁTICA
comparativa y competitivamente y puedan precautelar la
seguridad alimentaria a futuro. La Federación de Empresarios Privados de La Paz, al ser un
ente cúpula de los empresarios privados paceños, desde octubre
Palabras clave—consumerización, cultura tecnológica, 2016 viene impulsando programas y proyectos para capacitar y
industria 4.0, agricultura 4.0, agtech, bioeconomía. lograr que las empresas privadas accedan a las TIC [2].
I. INTRODUCCIÓN El Banco Interamericano de Desarrollo (BID) hizo un

informe sobre innovación en Bolivia [3] y realiza énfasis en el
La tecnología y el Universo Digital están cada vez más eje central (La Paz, Cochabamba y Santa Cruz), ver tabla 1:
presentes en la sociedad actual y La Paz–Bolivia no es la
excepción. El mercado de consumo es más grande que el TABLA I. CARACTERÍSTICAS GENERALES DE LAS EMPRESAS SEGÚN TAMAÑO,
mercado corporativo en la industria de las Tecnologías de la ORIGEN DEL CAPITAL, ORIENTACIÓN EXPORTADORA Y SECTOR DE ACTIVIDAD,
Información y la Comunicación1 (TIC). Este proceso, conocido 2013 -2015 (EN PORCENTAJE).
como consumerización de las TIC, ya es un proceso imparable.
Categoría Cantidad Porcentaje (%)
Muchos estudiosos han llegado a conclusiones como la TOTAL 431 100.00
siguiente “la adopción de estas nuevas tecnologías no debe verse La Paz 110 25.50
únicamente como una amenaza en la destrucción de la cadena Cochabamba 164 38.10
de valor tradicional, sino como una potente herramienta de la Santa Cruz 157 36.40
competitividad de las empresas” 2. Pequeña 287 66.59
Las nuevas tecnologías [1] y las inmensas posibilidades que Mediana 68 15.78
ofrece la web 2.0, facilitan una comunicación bidireccional, en Grande 76 17.63
la que los clientes tienen más que nunca la posibilidad de Manufactura 271 62.88
expresarse de forma directa con la empresa, durante todo el Sectores 160 37.12
proceso en el que interactúan con ella, por ello revisaremos Exportadora 44 10.21
también el uso de web 3.0 y web 4.0. que ingresó en la era post No Exportadora 387 89.79
PC: con plataformas móviles que ganan terreno al PC Capital Nacional 406 94.20
tradicional. De hecho también se ingresó a la era de la Capital Extranjero 25 5.80
nanotecnología y en el Instituto Interamericano de Cooperación
para la Agricultura (IICA) en Bolivia, utiliza los equipos
Raspberry Pi 4, con múltiples sensores para el monitoreo de A. Planteamiento del Problema
insectos plaga, cuya información se almacena en Francia, en Las empresas paceñas, sin un buen uso de la tecnología,
tiempo real y en plataformas Linux, como parte de la carecen de competitividad a nivel global.
transformación del uso de tecnología en un contexto de clima Muchas empresas, sobre todo las Micro y Pequeñas
cambiante como ocurre en la agricultura, para generar gran Empresas Productivas (MYPES) que constituyen el 90% de las

[N] A. Estrada, «Cultura tecnológica en las empresas», Revista PGI. Investigación, Ciencia y Tecnología en
Informática, nº 8, pp. 18-21, 2020.
1 y los usan para compartir archivos y datos, dentro y fuera de la oficina
Según Gartner Inc. es la tendencia más significativa que afectará las
2
Tecnología de Información (TI) durante los próximos 10 años. Esta tendencia Javier Zamora hizo esta alusión con motivo de una conferencia organizada
se basa en una tecnología sencilla, accesible y omnipresente que permite a los para relievar la relación de las TIC con la competitividad empresarial. Emerge
usuarios trabajar en cualquier ambiente, momento y lugar. Es lo que se una disyuntiva entre el empleo y el uso de tecnología.
denomina BYOD referido a los dispositivos que los empleados traen a la oficina
18
existentes en el mercado, ve el uso de TIC como un costo y no MEDIANA Entre 31 hasta Entre 1.400.0001 Entre 2.450.001
como una inversión, hay una desinformación que los orilla a EMPRESA 100 trabajad. hasta.21.000.000 hasta 35.000.000
utilizar TICs obsoletas.
GRAN Igual o mayor a Igual o mayor a Igual o mayor a
La ley 947 [4], en su sección III, Articulo 17, establece que EMPRESA 101 trabajad. 21.000.0001 35.000.001
las MYPES deben articularse para el Desarrollo, con las
tecnología e innovación., en armonía con la madre tierra, TABLA III. CATEGORIZACIÓN DE MICRO, PEQUEÑA Y
situación que comienza a cobrar vigencia. GRAN EMPRESA DE SERVICIOS.
Existe analfabetismo digital que está extendido en todos los PERSONAL PATRIMONIO VENTAS
sectores de la industria y que, gran parte de su rezago se debe al OCUPADO NETO (Bs) ANUALES (Bs)
poco contacto con la tecnología. MICRO Entre 1 a 5 Entre 0 Entre 0
EMPRESA trabajadores hasta 210.000 hasta 420.000
B. Formulación del Problema de Investigación.
PEQUEÑA Entre 5 hasta 20 Entre 210.001 Entre 420.001
¿La aplicación de una cultura tecnológica en las empresas EMPRESA trabajadores hasta 700.000 hasta 1.750.000
paceñas mejorará el performance de sus ventas?
MEDIANA Entre 21 hasta Entre 700.0001 Entre 1.750.001
Objetivo general EMPRESA 50 trabajadores hasta 14.000.000 hasta 28.000.000
GRAN Igual o mayor a Igual o mayor a Igual o mayor a
Contribuir a solucionar el problema de investigación EMPRESA 51 trabajadores 14.000.0001 28.000.001
aumentando la performance de ventas de las empresas paceñas,
con la implementación de una cultura tecnológica.
El concepto de emprendedurismo en Bolivia [5] deriva de la
Objetivos específicos palabra emprendedor que etimológicamente es aquella persona
• Evaluar la performance de ventas de las empresas. que enfrenta con resolución acciones difíciles4.
• Revisar la madurez tecnológica de las empresas. Las expresiones 4.0 o premisas de industria y agricultura 4.0
[7]. Los negocios a nivel mundial están cada vez más influidos
• Implementar una plataforma educativa colaborativa por la digitalización, se denomina 4.0 al renacer de las industrias
para la alfabetización digital. u otras actividades productivas y de servicios a las que se da ese
• Implementar procesos productivos en el marco de la rótulo. Lo importante es que la información debe llegar de
cultura tecnológica. manera automatizada y en tiempo real para mejorar los procesos,
que deben tornarse más flexibles y más eficientes.
III. MÉTODOS
En la Figura 1 se muestra las revoluciones industriales desde
Empresa se define como una unidad económica que
la primera revolución a la cuarta revolución [8].
legalmente es una persona jurídica dedicada a la actividad
productiva, comercial y de servicios, regulada por el Código de
Comercio vigente en el que se define su carácter mercantil y
asociativo que puede ser unipersonal, sociedad de
responsabilidad limitada (SRL) o una sociedad anónima (S.A.)
y que también puede tener carácter público, privado o mixto,
acorde a la composición de las acciones, participaciones o
control que se tiene en la empresa3 . Las empresas legalmente
establecidas de carácter privado se registran en el registro de
comercio denominado FUNDEMPRESA, para habilitar su
funcionamiento y estar sujetos a regulación.
Los tamaños de las empresas están clasificados en el
reglamento para el Registro y acreditación de Unidades
Productivas del Ministerio de Desarrollo Productivo y
Economía Plural (MDPyEP), mediante la R.M. 143/2017 [6]. En Fig. 1. Revoluciones industriales. Fuente: Tecnología, innovación y
las siguientes tablas se muestra cómo se clasifican: creatividad (T.I.C.) ¿Convienen en el aula? ScolarTIC.
TABLA II. CATEGORIZACIÓN DE MICRO, PEQUEÑA Y En la industria 4.0 [9]. tiene nueve aplicaciones que son: 1)
GRAN EMPRESA DE PRODUCCIÓN.
Big Data y Análisis, 2) Computación en la nube, 3)
PERSONAL PATRIMONIO VENTAS Ciberseguridad, 4) Integración horizontal y vertical. 5)
OCUPADO NETO (Bs) ANUALES (Bs) Robótica, 6) Realidad Aumentada, 7) Manufactura Aditiva. 8)
MICRO Entre 1 a 10 Entre 0 Entre 0 Simulación y 9) Internet de las cosas (IoT).
EMPRESA trabajadores hasta. 420.000 hasta 700.000
La industria 4.0. tiene los retos que son: Interoperabilidad,
PEQUEÑA Entre 11 hasta Entre 420.001 Entre 700.001 virtualización, descentralización, Capacidades de tiempo real,
EMPRESA 30 trabajadores hasta 1.400.000 hasta 2.450.000 orientación al servicio y modularidad.
3 4
Definición pronunciada por el Presidente de la Federación de http://innovacionbolivia.blogspot.com/2011/emprendedurismo-en-
Empresarios Privados de La Paz Ing. Javier Calderón Eduardo (gestión
2015-2019), con motivo de la inauguración de la Feria La Paz Expone 2016 bolivia.html?m=1
19
La agricultura 4.0 o agricultura digital (AD) [10] se entiende

como la aplicación de las tecnologías de información y
comunicación (TIC) en la agricultura, con el objetivo de contar
con datos en tiempo real para la toma de decisiones, facilitar el
intercambio de información y tener la capacidad de prevenir
eventos futuros [11].
AgTech es un concepto que se aplica a la Agricultura y
Ganadería de Precisión. Fue acuñado desde finales del siglo
pasado, instando a que los productores, empresarios agrícolas y
pecuarios se capaciten en temas relacionados a las innovaciones
y empleo de tecnologías aplicadas al agro.
Fig. 4. Cursos disponibles en la plataforma.
“La Bioeconomía viene a constituirse en una herramienta
poderosa que emplea tecnología y se define como la
optimización de lo biológico en el proceso económico. Es el uso
de recursos, procesos y tecnologías biológicas para la
producción de bines y servicios. Estamos hablando de un
cambio de paradigma de desarrollo, vinculado a nuevos desafíos
y oportunidades emergentes de los avances en la ciencia y la
tecnología” [12].
La educación es importante para que las empresas la gestión
del cocimiento de la tecnología, la realizamos por plataformas
educativas son utilizadas las más conocidas tenemos: Moodle,
Com8s, Schoology, Udemy, Claroline, Dokeos,
El campus virtual de IICA, es una plataforma web
especializada para conocimientos en la agricultura, ver Figura 2. Fig. 5. Material del curso
Sector farmacéutico es el sector donde el uso de la tecnología

es más intensivo.
Sector Agroindustrial (alimentos y bebidas) la industria
manufacturera tiene la composición mayoritariamente
dominada por el sub sector de alimentos y bebidas, de hecho,
más del 40% del PIB sectorial proviene del rubro de alimentos
y bebidas.
B. Desarrollo de la propuesta
Se utilizará una encuesta para las empresas del departamento
de La Paz. El tamaño muestral es de 139 empresas. La muestra
Fig. 2. Plataforma Campus Virtual IICA 2019 fue tomada durante la Feria La Paz Expone, realizada el 20 de
julio 2017.
A. Plataforma Alfabetizatic empresarial
De las 35 industrias manufactureras encuestadas, 25
Es una herramienta TIC, que sirve para alfabetizar corresponden al rubro agroindustrial. La encuesta está ordenada
digitalmente a los empresarios o emprendedores bolivianos. de tal forma que el entrevistado, en este caso el ejecutivo de la
Surge como fruto de una encuesta realizada el año 2017 en empresa seleccionada, no sabía el tema de la misma, para que de
la feria la Paz Expone, corroborado por el estudio del Banco esa manera no sesgue sus respuestas.
Interamericano de Desarrollo (BID), donde se mostró que el Las preguntas de la encuesta hacen énfasis en:
85% de los empresarios son analfabetos digitales.
• Índice de variación de ventas.
Las figuras 3,4 y 5 muestran la plataforma cuando ingresa el
empresario. En la plataforma puede inscribirse, pasar el curso y • Experiencia en el uso de tecnologías.
certificarse. • Experiencia tecnología por sector por uso.
• Tecnologías utilizadas.
• Ámbito de aplicación tecnológica.
• Estado de desarrollo de tecnología utilizada.
• Derechos de propiedad de la tecnología utilizada.
• Tecnologías de relacionamiento con los clientes.
• Externalidades que impiden acceso a la tecnología.
C. Modelo propuesto
Se utilizará un modelo econométrico [13] con las siguientes
Fig. 3. Ingreso a la Plataforma Alfabetizatic empresarial variables:
20
• Tecnologías utilizadas. La adopción de estrategias tipo industria 4.0. y agricultura

• Áreas de aplicación. 4.0 tienen la potencialidad de ofrecer a sus usuarios mayores
saltos no sólo en ventas sino en beneficios y contribución a un
• Aplicación en comercialización. medio ambiente más amigable.
• Sistemas relacionamiento con clientes.
Dentro de la cadena de valor de los procesos productivos
• Uso de sistemas de apoyo en ventas.
industriales, el estabón donde mayor uso de tecnología existe es
• Variación de ventas. en la producción en primer término y la comercialización en
segundo término. En la encuesta respondieron que en la pre
TABLA IV. MODELO ECONOMÉTRICO ESTIMADO producción (agricultura) el uso de tecnología de los proveedores
Dependent Variable: Y de insumos, es todavía incipiente.
Method: Least Squares
Sample: 1 139 Se debe realizar otros estudios para mostrar la madurez
Included observations: 139
tecnológica de las empresas y su situación de conocimientos en
Variable Coefficient Std. Error t-Statistic Prob. tecnologías, con capacitaciones en plataformas especializadas
V9_VENTAS 0.679623 0.239375 2.839156 0.0053 como ejemplo IICA Play y el Campus virtual de IICA.
V9 -1.130679 0.451047 -2.506788 0.0134
Se debe tomar en cuenta la intervención de la tecnología en
V8_GRATUITA -0.414958 0.222250 -1.867078 0.0641
toda la cadena de valor en el caso de la agricultura utilizando
V7 1.473302 0.499813 2.947705 0.0038
V6_COMER 0.113200 0.078265 1.446374 0.1505
desde la siembra, minimizar los riesgos (plagas, fenómenos
V6 0.427313 0.118451 3.607513 0.0004
atmosféricos y otros).
V5 -0.104181 0.050380 -2.067903 0.0406
V4 -0.432047 0.247197 -1.747785 0.0829
REFERENCIAS
C 0.011020 0.009790 1.125615 0.2624 [1] L. n. t. y. s. i. e. l. c. empresarial, Las nuevas tecnologías y su impacto en
R-squared 0.898002 Mean dependent var 0.235463 la competitividad empresarial, IESE Universidad de Navarra., 2013.
Adjusted R-squared 0.891726 S.D. dependent var 0.234269 [2] Federación de Empresarios Privados de La Paz, Memorias 2013-2015,
S.E. of regression 0.077086 Akaike info criterion -2.225222 La Paz: FEPLP, 2016.
Sum squared resid 0.772502 Schwarz criterion -2.035220 [3] J. y. Z. Beverinotti, Resultados del Informe sobre Innovación en Bolivia.
Log likelihood 163.6529 Hannan-Quinn criter. -2.148010 - BID, La Paz - Bolivia, 2018.
F-statistic 143.0674 Durbin-Watson stat 2.533973 [4] Estado Plurinacional de Bolivia, Ley 947 - las Micro y Pequeñas
Prob(F-statistic) 0.000000 Empresas Productivas (MYPE), 2007.
[5] I. C. L. A. Parada, «Innovacion Bolivia,» 2011. [En línea]. Available:
IV. RESULTADOS http://innovacionbolivia.blogspot.com. [Último acceso: 28 8 2020].
En primer lugar, identificamos que existe una correlación [6] ProBolivia, «Resolución Ministerial MDPyEP/143/2017 (2017)
positiva y significativa entre uso de tecnología y nivel de ventas Reglamento de Registro y Acreditación Nacional de Unidades
para cualquier tamaño de establecimiento. Productivas, artesanos, Proveedores a Unidades Productivas e
Instituciones y Consultores Individuales de capacitación al Sector
Análisis cuantitativo, nos muestra una correlación sólida y Productivo.,» [En línea]. Available:
http://www.probolivia.gob.bo/marcolegal/. [Último acceso: 28 08 2020].
positiva entre el acceso y el uso de tecnología con el nivel de
ventas: a mayor tecnología más ventas. [7] B. S. E. Quiroga J. Condori, La Agricultura 4.0. Presentación en la
Federación de Empresarios Privados de Cochabamba, 2019.
Los objetivos, la abundante evidencia hay una correlación [8] J. C. Campero Ñ de P, ¿La cuarta revolución industrial en Bolivia?, La
entre el uso de tecnologías y ventas, tenemos un alto rezago Paz - Bolivia: Friedrich Ebert Stiftung Bolivia., 2016.
tecnológico en las empresas de base tecnológica. [9] J. L. Quiroga, La Economía Digital de Bolivia, Camino a la Industria
4.0., La Paz, 2017.
Las empresas de alimentos y las de fármacos, utilizan la
[10] F. -. IICA, Nota Técnica: Apuntes sobre agricultura digital, retos y
tecnología para ser competitivos, por lo cual estos rubros será oportunidades., San José, Costa Rica., 2019.
más fácil implementar una política industrial 4.0.
[11] IICA, Tecnologías digitales para la transformación de la agricultura en
las Américas: una visión desde el IICA., 2019.
V. DISCUSIÓN
[12] J. L. Quiroga, El papel de la agricultura en la Bioeconomía Santa Cruz -
Las empresas paceñas usuarias de tecnología (aun cuando Bolivia., Santa Cruz - Bolivia., 2019.
ésta sea rezagada) tienen mejor desempeño que aquellas [13] R. S. &. R. D. L. Pindyck, Econometría modelos y pronósticos., México
empresas que no utilizan tecnología de manera activa. D.F.: McGraw HILL, 1998.
Breve CV de la autora
Alicia Heydy Estrada Cava es Licenciada en Informática, diplomada en Organización y Administración Pedagógica del aula en
Educación Superior (CEPIES), diplomada en Desarrollo de aplicaciones con software libre (EGPP). Actualmente realiza la Maestría
en Alta Gerencia en Tecnologías de la Información y las Comunicaciones e Innovación para el Desarrollo (PGI-UMSA).
Es miembro de la Asociación Boliviana de Videojuegos, Representante INETA Latinoamérica. Email: aliciahec@gmail.com.
ORCID ID: https://orcid.org/0000-0001-8756-2003.
21
Modelo Para Tratamiento Forense de Incidentes

Informáticos en la Nube
Bismark Francachs Castro
La Paz - Bolivia
bfrancachs@gmail.com
Resumen—La Computación en Nube ha permitido que las En 2020 el uso de la Computación en Nube ha sido una de
organizaciones puedan extender sus servicios economizando en las alternativas adoptadas por la fuerza para una mayoría de las
gastos de infraestructura y con el beneficio de dar acceso desde organizaciones. Esto debido a la Pandemia de Covid-19. La
Internet a sus usuarios. Este fenómeno al potenciar el alcance de pandemia ha obligado a las organizaciones a implementar
los usuarios a diferentes servicios, también ha generado el recursos electrónicos para poder brindar servicios vía internet
almacenamiento de información confidencial en equipos en la ante la emergencia que no permite que los usuarios puedan
Nube, lo cual implica que información crítica queda almacenada acceder a servicios de forma presencial [2]. En Bolivia también
en servidores de proveedores y podría verse comprometida o se han adoptado soluciones orientadas a la Nube sobre todo en
expuesta a delitos informáticos. Si se materializa un incidente
el aspecto educativo, siendo Google la alternativa más utilizada,
informático, el mismo puede derivar en un proceso legal que
implique el trabajo de operadores legales y peritos informáticos.
sobre todo en aspecto de almacenamiento [3].
En el presente trabajo se detallan los aspectos de la pericia forense Estas circunstancias influyen en que los operadores de
en la nube, como los especialistas se enfrentan a nuevos retos en justicia y especialistas en forensia deban ajustar sus
este entorno, las normas existentes y la situación de la forensia conocimientos en el campo de la Computación en Nube,
informática en Bolivia. pasando por aspectos legales hasta aspectos técnicos.
Palabras clave—Computación en nube, Informática Forense, De acuerdo con lo descrito en párrafos anteriores, es que se
Investigación, Peritaje Informático, Incidente Informático. propone el presente trabajo de investigación, mismo que se
enfoca en la elaboración de un modelo informático forense para
I. INTRODUCCIÓN tratamiento de incidentes en la Nube.
La evolución de la tecnología en los últimos años ha
Para la investigación se ha identificado como problema la
permitido que las organizaciones implementen herramientas
ausencia de normas o leyes para la pericia forense orientada a
para automatizar diferentes procesos y tareas. El uso de
la Nube en Bolivia y se ha definido la siguiente hipótesis: El uso
Dispositivos Móviles, Aplicaciones Web y Sistemas
de un modelo esquematizado para informática forense orientado
Conectados a Internet, permite que la información esté
a la nube responde al vacío técnico en informática forense en
disponible en tiempo real en cualquier parte del mundo. De esta
Bolivia.
manera la información se ha convertido en el activo más
importante dentro y fuera de las organizaciones en el mundo. El II. MARCO TEÓRICO
uso de los sistemas también ha incrementado el volumen de
información que se genera y almacena a diario, lo que implica A. Metodología de la Investigación
que las organizaciones aumenten sus costos en adquisiciones de La investigación es de tipo Propositiva, en la que se
infraestructura tecnológica [1]. propondrá un modelo, esta investigación corresponde al nivel
Bajo este contexto surge el Cloud Computing o aplicativo de la línea de investigación. Dadas esta situación se
Computación en Nube como una solución para ofrecer el debe desarrollar resultados correspondientes al nivel
servicio de almacenamiento, procesamiento y transmisión de Explicativo, con el fin de evidenciar la relación causa-efecto de
información de forma rápida y segura desde servidores fuera de variables independiente y dependiente definidas en la hipótesis.
las organizaciones y como alternativa para disminuir costos e [4].
inversión en infraestructura [1]. Las técnicas a utilizar en la investigación son de tipo
La implementación de estas alternativas tecnológicas ha experimental y observacional, se utilizará información
abierto nuevos desafíos de seguridad en las infraestructuras proveniente de bancos de datos existentes, se desarrollarán
informáticas de las organizaciones permitiendo en algunos casos entrevistas no estructuradas, en especial a los operadores de
que se materialicen incidentes informáticos que interfieren con justicia y especialistas del área forense informática [4].
el servicio que prestan las mismas, además de exponer B. Computación en la Nube
información confidencial de la organización, así como de
De acuerdo con la definición del Instituto Nacional de
clientes y usuarios que trabajan con estos servicios.
Normas y Tecnologías (NIST), la computación en Nube es un

[N] B. Francachs, «Modelo Para Tratamiento Forense de Incidentes Informáticos en la Nube», Revista PGI.
Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 22-25, 2020.
22
modelo que permite el acceso bajo demanda a redes ubicuas con • Infraestructure as a Service (IaaS). – En este servicio
el fin de compartir un conjunto configurable de recursos como el proveedor proporciona el software y las Aplicaciones
ser Redes, Servidores, Almacenamiento, Aplicaciones y atraves de Internet, los usuarios acceden mediante la
Servicios que se pueden proveer y liberar rápidamente con un Web o API’s del proveedor [7].
mínimo esfuerzo de administración o interacción del proveedor
de servicio. Se compone por cinco características que son [5]:
• Autoservicio bajo demanda.
• Acceso amplio a la red.
• Agrupamiento de recursos.
• Elasticidad rápida.
• Servicio medido.
El concepto de Nube no es algo que se haya acuñado de
forma reciente, al contrario, en 1955 John McCarthy, el
informático que acuño el término de Inteligencia Artificial
propuso la teoría del tiempo compartido la cual consistía en
compartir de forma concurrente los recursos computacionales
como el tiempo de ejecución en CPU y el uso de la memoria Fig. 2. Modelos de los servicios de la Nube [7]
entre muchos usuarios, dado que en ese tiempo solo se tenían
250 computadoras en el mundo [6]. C. Incidentes Informáticos en la Nube
En 1960 el Laboratorio Nacional de Física en 1960 introdujo Como ejemplo, se pueden citar la filtración de datos de
el concepto de conmutación de paquetes que permitían Capital One en 2019 y la filtración de datos de Facebook
descomponer información en paquetes más pequeños, también en 2019. En ambos casos los entornos afectados fueron
permitiendo de esta manera que más usuarios utilicen la red. 6 en la Nube siendo que en el caso de Capital One se expuso de
manera pública y sin autenticación información de Buckets S3
En 1970 se creó el concepto de máquinas virtuales (VM) de Amazon Web Services (AWS), en la información expuesta
permitiendo que se desarrolle software como VMWare que hace se encontraba información sensible de clientes. En el caso de
posible ejecutar sistemas operativos en un entorno aislado al Facebook se expusieron registros de 540 millones de usuarios,
mismo tiempo [6]. incluidos datos personales, fotos y contraseñas, esto debido a
No mucho tiempo después DARPA (Agencia de Proyectos que un grupo de desarrolladores dejo expuesta la base de datos
de Investigación Avanzada de la Defensa) dio origen a las redes almacenada en Amazon Web Services (AWS) [8].
que se convertirían posteriormente en la Internet, que dieron D. Informática Forense
acceso a la comunicación en el nivel que la conocemos
La Informática Forense son el conjunto de procesos
actualmente [6].
científicos que permiten la colección, preservación, análisis,
En 1980 con la llegada de las computadoras personales identificación, interpretación, validación y documentación de
permitieron una mayor expansión de la red, siendo que en 1996 información obtenida en la escena de un incidente informático
George Favaloro y Sean O’Sullivan, ambos ejecutivos de con el fin de presentar evidencia digital en un proceso legal [9].
Compaq Computer usaron por primera vez el término “Cloud
El inicio de la Informática Forense se remonta al año 1984,
Computing” llevándonos en este nuevo milenio a ver la
cuando el FBI crea un programa conocido como el Programa de
implementación de la Computación en Nube a diferentes niveles
Medios Magnéticos que con el tiempo se convertirá en el CART
pasando por servicio orientado a personas u organizaciones [6].
(Computer Analysis and Response Team). o Equipo de
Respuesta y Análisis Informático. El llamado padre de la
Informática Forense Michael Anderson un agente de la División
de Investigación Criminal (IRS) hasta 1990, fue el que trabajo
inicialmente en el campo de la forensia digital fundando la
compañía New Technologies Inc. Décadas después y hasta la
actualidad los organismos policiales y militares siguen
Fig. 1. Principales usos de la Computación en Nube [6] expandiendo las ciencias forenses digitales [10].
Los servicios en la nube se agrupan de la siguiente manera: De la misma manera organizaciones del sector privado han
logrado abrirse camino en la Informática Forense esto debido a
• Software as a Service (SaaS). – En este esquema el la demanda que existe para realizar investigaciones forenses en
software se aloja en los servidores de los proveedores y las disputas de carácter civil. Y también contribuyendo con el
el acceso se realiza mediante el navegador web. Todo el desarrollo de Software Forense [10].
mantenimiento soporte y disponibilidad es manejado
por el proveedor [7]. En la década de los noventas es cuando la Informática
Forense es cimentada formalmente. En 1993 se lleva a cabo la
• Plataform as a Service (PaaS). – En este servicio se primera Conferencia Internacional Sobre Evidencia Digital. En
ofrece acceso a un entorno en el cual el usuario puede 1995 se forma la Organización Internacional de Evidencia
crear y distribuir sus propias Aplicaciones [7]. Digital (IOCE). En 1997 los países miembros del G8 en Moscú
23
declaran que los funcionarios que hacen cumplir la ley deben • Arquitectura
estar capacitados para hacer frente a delitos de alta tecnología. • Colección
De la misma manera en 1998 en el G8 se crean los principios
internacionales, los procedimientos regessem relacionados a la • Análisis
evidencia digital. El mismo año la Interpol lleva a cabo el • Respuesta a Incidentes
Forensi Science Symposium. En el año 2000 el FBI crea le • Retos Legales
primer laboratorio forense lo cual lleva en 2003 a que el trabajo
forense en el FBI exceda los 6500 casos con un total de 782 • Estandarización
terabytes de datos [10]. La forensia informática en la Nube es un subconjunto de la
E. Análisis Forense Digital forensia informática en Redes, por lo que sigue las fases
principales de esta, siendo que adapta sus técnicas al entorno en
El Análisis Forense Digital consiste en la aplicación de la Nube.
técnicas para extraer información de interés desde medios
digitales como discos duros, memorias usb, memorias volátiles La Dra. Keyun Ruan y el Dr. Joe Carthy en su investigación
etc. para una investigación en procesos legales, esto sin alterar proponen el modelo para la evaluación, el desarrollo y la mejora
el estado de la información. Esto con la finalidad de analizar y de la madurez del cloud forense “Cloud Forensic Maturity
encontrar patrones de comportamiento que revelen algún indicio Model” CFMM el cual cuenta con dos partes relacionadas entre
de manipulación, alteración o eliminación de información crítica sí.
para una organización [11].
La primera es Cloud Forensic Investigative Architecture
El primer paso en los procesos forenses y por lo tanto el más (CFIA), la cual es una arquitectura de referencia conceptual para
delicado es el de la adquisición, proceso en el cual el perito investigaciones digitales en entornos de computación en la
forense hace el levantamiento de una copia exacta de los medios Nube. Y la segunda Cloud Forensic Capability Matrix (CFCM),
a analizar, sin alterar la escena de investigación, esta adquisición consistente en una matriz de evaluación de las capacidades
de información se realiza en presencia de autoridades de la parte correspondientes a componentes del (CFIA).
legal las cuales levantan un acta en la cual se detalla la escena
en la cual se trabaja, los medios a analizar, las herramientas de G. Legislación y Estándares
adquisición de datos y el Hash obtenido en el proceso de En cuanto a legislación y estándares para la investigación y
recuperación y detalles de la cadena de custodia de los medios planteamiento del modelo se usarán los siguientes:
que se verificaran en el peritaje. El Hash servirá en el proceso
RFC 3227
forense para verificar y validar que la información adquirida y
la analizada no ha sido alterada en ningún momento del análisis Los RFC (Request For Comments) son documentos que
forense y ayudara a validar los hallazgos realizados como recopilan propuestas de expertos en un área, con el fin de
evidencia en un proceso legal [11]. establecer pautas para llevar a cabo un proceso, la creación de
estándares o la implantación de algún protocolo [12].
El tener una copia exacta de los medios permite acceder a los
sistemas de archivos y realizar la inspección de actividades de El RFC 3227 es un documento que recoge las directrices
cuentas de usuario, documentos, programas, etc. De la misma para la recuperación de evidencias y su almacenamiento en
manera mediante el uso de herramientas forenses se puede incidentes informáticos, y se puede usar como un estándar para
realizar búsquedas indexadas por palabras clave, recuperación la recopilación de información en incidentes de seguridad [12].
de archivos borrados, revisar correos electrónicos, historiales de ISO/IEC 27037:2012
chat y navegación por internet inicios de sesión e interacciones
de dispositivos [11]. La norma ISO/IEC 27037:2012 es una norma que establece
directrices para la identificación, recopilación, adquisición y
F. Forensia en la Nube preservación de evidencia digital [13].
En base a la perspectiva que se tiene sobre el análisis forense
III. DISCUSIÓN
de una manera general, podemos indicar que la evolución a
realizar análisis forense en los entornos de la Nube no es una Según la investigación realizada y de forma preliminar, se
trivialidad, e implica que tanto el perito informático como los puede evidenciar que en Bolivia no se cuenta con una legislación
operadores judiciales involucrados en la informática Forense que norme la pericia forense informática.
deben adecuar su conocimiento para este fin, por lo que uno de De acuerdo con un artículo publicado en 2020 por el experto
los modelos a usar para esta circunstancia es el análisis de Guido Rosales de la empresa Yanapti, la pericia forense es un
forense de redes [1]. campo en el cual el país se encuentra atrasado. Esto puede
A su vez el adaptar los procedimientos forenses informáticos deberse no solamente a la inexistencia de una legislación, sino
y la legislación no siempre es lo más adecuada, ya que entornos también a que los delitos informáticos no cuentan con una
virtualizados se deben aplicar otras técnicas como por ejemplo legislación adecuada, siendo que solo se sancionan mediante el
la toma de snapshots [1]. código penal los delitos de manipulación informática y
alteración, acceso y uso indebido de datos informáticos. Esto
El hacer pericia forense digital orientada a la nube, aun implica vacíos técnicos y legales que pueden dejar delitos
implica muchos retos que van desde aspectos legales, técnicos u informáticos sin ser juzgados o llevar a resoluciones que no
organizativos. En el documento de Instituto Nacional de brinden una respuesta en el aspecto informático para víctimas de
Estándares y Tecnología de Estados Unidos (NIST) se delitos como la porno venganza, grooming, etc. [14].
establecen 65 problemas en la aplicación de técnicas forenses en
la nube, entre los que se pueden citar [1]:
24
Establecer en el modelo los roles que deben intervenir en el

proceso informático forense y los aspectos técnicos y legales que
deben cumplir los mismos.
Esquematización de los pasos para el análisis forense de la
escena del incidente informático en la nube basado en ISO/IEC:
27042:2015 (Guía para el Análisis e Interpretación de Evidencia
Digital).
Categorización de las herramientas forenses a utilizar en el
modelo para la obtención de información desde la Nube.
Fig. 3. Articulo G. Rosales sobre informática forense en Bolivia [14] Elaboración de una plantilla para la presentación de
hallazgos forenses en el Entorno de la Nube basado en la norma
De la misma manera al no tener un estándar fijo, los RFC 6283.
procedimientos forenses en proceso legales pueden verse
entorpecidos por el uso de herramientas que dejen sin validez IV. CONCLUSIONES
los hallazgos de un delito. Basados en lo expuesto en este artículo, podemos ver que se
debe investigar e implementar soluciones orientadas a los
Esto nos lleva a cuestionarnos del porque la forensia en entornos en Nube, más aún en el contexto que se vive a nivel
Bolivia no avanza y como puede afectar este fenómeno a futuro mundial con la pandemia de Covid-19 que ha obligado a
a los incidentes informáticos. organizaciones grandes y pequeñas a digitalizar sus operaciones,
Si hablamos de reglamentación en la Nube, la Autoridad de además de aprovechar el uso de tecnologías para brindar sus
Supervisión del Sistema Financiero (ASFI), reglamenta en la servicios de forma más rápida a los clientes.
Ley de Servicios Financieros las condiciones para la adquisición El planteamiento de un modelo forense orientado a la Nube
de servicios en la Nube por parte de instituciones reguladas en no solo puede ayudar en los procesos forenses informáticos,
el Sistema Financiero y de Valores. No obstante, esta también puede servir como apoyo para la creación de
reglamentación no incluye aspectos para lidiar con controversias reglamentos y leyes a nivel nacional que sean más de carácter
legales en caso de incidentes en un entorno de la Nube, dejando proactivo que reactivo.
como recurso de respaldo a los acuerdos legales entre
proveedores y organizaciones los aspectos de seguridad de REFERENCIAS
acuerdo al servicio adquirido. Esto puede tornarse en un [1] J. Oviedo Mercado, Explorando Cloud Forensics, Especialización en
problema para equipos forenses en aspectos técnicos y legales Seguridad Informática, 2015
dado que los servicios orientados a la Nube están alojados en [2] Y. Vásquez, Computación en la nube como estrategia en tiempos de cero
servidores extranjeros y proveedor y contratante deben contar contacto, https://andina.pe/agencia/noticia-la-computacion-la-nube-
con sus equipos forenses. De esta manera si una empresa como-estrategia-tiempos-cero-contacto-807409.aspx, 2020
pequeña se ve afectada por un incidente y requiere una pericia [3] G. Miranda, La Nube – Cloud Computing
forense digital, al no contar con el presupuesto para contratar a ,https://www.eldiario.net/noticias/2020/2020_09/nt200923/opinion.php?
una empresa extranjera se verá en la necesidad de contratar una n=13&-la-nube-cloud-computing, 2020
empresa local o recurrir al sistema judicial local para poder [4] J. Supo, Portafolio de Aprendizaje Para la Docencia en Investigación
Científica, 2017
apoyarse en un proceso de esta índole.
[5] C. Primorac, Computación en Nube, 2014
El objetivo de la investigación es el planteamiento de un [6] M Navarro-Pelayo, Historia de Cloud Computing, https://clinic-
modelo informático forense orientado a la nube que apoye en la cloud.com/blog/breve-historia-la-nube-del-cloud-computing/
preservación de la escena, orientación en aspectos legales para [7] B. Fernández, Gestión de Vulnerabilidades en Entornos Cloud,
el proceso forense, el análisis de la información obtenida y la Catalunya, España, 2020
presentación hallazgos de un incidente informático desde los [8] A. Colmenares, D. Cruz, Importancia de la informática forense, 2013
siguientes pilares: [9] Artículo http://seginformaticacarolinavillamil.blogspot.com/p/el-campo-
de-la-informatica-forense-se.html
Diseño de un manual de procedimientos para la preservación [10] Artículo https://www.welivesecurity.com/la-es/2013/08/12/en-que-
de la escena y recolección de datos de un incidente informático consiste-analisis-forense-de-informacion/
en la nube basado en el documento RFC 3227 (Directrices para [11] Artículo https://ciberseguridad.com/normativa/espana/iso-iec-27037-
la recopilación de evidencias y su almacenamiento), la norma evidencia-digital/
ISO/IEC 27037:2012 (Directrices para la identificación, [12] Artículo https://www.incibe-cert.es/blog/rfc3227
recopilación, adquisición y preservación de evidencia digital) y [13] Artículo G. Rosales, Informática Forense en Bolivia,
las normas UNE del gobierno español. https://yanapti.com/2020/informatica-forense-en-bolivia/, 2020
Breve CV del autor

Bismark Francachs Castro es Ingeniero de Sistemas por la Universidad de Aquino, Bolivia. Actualmente realiza la Maestría en
Informática Forense, Seguridad de la Información y Auditoria Informática en el Postgrado en Informática de la UMSA.
Miembro del comité editorial-científico de la Revista PGI – Ciencia, Innovación y Tecnología en Informática (2019-2020).
Miembro del grupo de investigación GI-FORSAI UMSA. Ha trabajado como desarrollador en Banco Solidario S.A., La Boliviana
Ciacruz Seguros Personales y en el Gobierno Autónomo Municipal de La Paz.
Email: bfrancachs@gmail.com. ORCID ID: https://orcid.org/0000-0002-2792-8808.
25
Modelo de clasificación de nódulos tiroides a través

de imágenes de centellografía utilizando tecnologías
de Machine Learning
Bladimir Rodolfo Calcina Choque
La Paz - Bolivia
bladimir.calcina@gmail.com
Resumen—La tiroides es una glándula endocrina en forma de En el año 2013 el 9% de la población española tenían
mariposa, que produce hormonas que ayudan al cuerpo a enfermedades tiroideas, el cáncer de tiroides supone el 3,8% del
controlar el metabolismo. Existen varias enfermedades como el total mundial de casos de cáncer, siendo responsable del 0,3%
hipertiroidismo, hipotiroidismo, nódulos tiroideos, estos últimos se de la mortalidad, es decir, una de cada mil personas fallece por
pueden clasificar utilizando imágenes de centellografía. El análisis cáncer de tiroides [4]. La Asociación Española de Cáncer de
médico a través de imágenes tiene un rol importante en muchos de Tiroides indica que la incidencia anual estimada de aparición de
los procedimientos para el diagnóstico de enfermedades. nódulos tiroideos es del 0.1%, en una población estimada de
46.116.779, se espera que se desarrollen alrededor de 46.000
Palabras clave—machine Learning, redes neuronales
convolucionales, matriz de confusión, centellografía, tiroides,
nuevos nódulos tiroideos [3].
nódulos fríos. El hospital Miguel Servlet de Zaragoza – España, realizó una
evaluación de la capacidad de los árboles de clasificación y
I. INTRODUCCIÓN regresión para la valoración ecográfica de los nódulos tiroideos
Los avances tecnológicos permiten a las diferentes ciencias malignos, donde se concluyó que esta tecnología proporciona
mejorar los procesos que realizan, incorporar nuevas una herramienta muy simple [7]. El departamento de Ingeniería
funcionalidades para optimizar tiempos. Una ciencia que está Médica de la universidad de Otto-von-Guericke (Alemania)
apostando por el uso de estas nuevas tecnologías es medicina, utilizó imágenes obtenidas por ultrasonido para clasificar por
puesto que los pacientes generan una enorme cantidad de tamaño y forma de la tiroides mediante algoritmos como: Active
información, brindando la posibilidad de crear herramientas que Countours without Edges (ACWE), Pixel Based Classifier
permitan colaborar en el diagnóstico y estudio de diferentes (PBC), Random Forest Classifier (RFC) y Convolutional Neural
patologías. Network (CNN), donde los algoritmos RFC y CNN tuvieron
mejor rendimiento [9].
Las enfermedades tiroideas son un problema para la
sociedad, porque generan una disminución en la calidad de vida En Bolivia se ha encontrado una investigación sobre el
de las personas, manifestándose como dolor de garganta, diagnóstico de cáncer de tiroides en la UMSA, basándose en un
cansancio excesivo, irritabilidad, subida de peso sin motivo conjunto de reglas usando una base de conocimientos generada
entre otras. La tiroides es una glándula perteneciente al sistema a partir de la experiencia de un especialista [6]. En una entrevista
endocrino, cuya función principal es liberar a la sangre del periódico Los Tiempos a un galeno de CNS, se observó que
hormonas tiroideas T3 (triyodotironina) y T4 (tiroxina o el 25% de las consultas a endocrinología son por enfermedades
tetrayodotironina), las cuales intervienen en el desarrollo del de la glándula tiroides y uno de cada 3 pacientes operados tiene
sistema nervioso, procesos cognitivos, regulan el metabolismo y cáncer [5].
quema de calorías que influyen en todas las células del
organismo que son necesarias para controlar las funciones de Para el tratamiento de algunas enfermedades se necesita
casi todos los órganos del cuerpo [1]. centros de salud especializados, en el país se cuenta con el
Instituto Nacional de Medicina Nuclear (INAMEN) para
Las enfermedades tiroideas más comunes son: colaborar en los diagnósticos. Según información proporcionada
hipertiroidismo (exceso de generación de hormonas tiroideas), desde el año 2011 hasta octubre de 2018 se tienen
hipotiroidismo (no se producen suficientes hormonas), bocio aproximadamente más de 6.000 casos de enfermedades de
(agrandamiento de la hormona tiroidea) el cual puede ser difuso, tiroideas, teniendo un promedio de 6 a 8 casos por día, los
nodular o multinodular o cáncer de tiroides, a las protuberancias pacientes provienen de diferentes centros de salud del país, dada
se las llaman nódulos tiroideos, la mayoría son benignos, pero la cantidad de solicitudes que reciben se tiene demora en la
dos o tres de veinte casos son cancerosos [3]. Dentro del grupo entrega de resultados en 24 horas adicionales. Para la evaluación
de nódulos tiroides los nódulos fríos son los más importantes en del diagnóstico se recurre al criterio de los especialistas, pero
identificar, puesto que del 15 al 20% tienen probabilidad de ser con los avances tecnológicos que se tiene, se pretende crear una
cancerosos [2].
[N] B. Calcina, «Modelo de clasificación de nódulos tiroides a través de imágenes de centellografía
utilizando tecnologías de Machine Learning», Revista PGI. Investigación, Ciencia y Tecnología en
26
herramienta que permita colaborar en el diagnóstico médico y utilizadas para el reconocimiento y análisis de imágenes, gracias
comenzar a generar estadísticas. a sus capacidades de reconocer características como detección
de bordes, líneas, etc.
Al comenzar la investigación, nos preguntamos ¿Con que
nivel de precisión se puede crear un modelo basado en machine F. Matriz de confusión
Learning que permita colaborar en el diagnóstico del médico Una herramienta útil para evaluar si un algoritmo de
especialista a partir de imágenes de centellografía de tiroides?, clasificación funciona de manera adecuada o no, es la matriz de
determinar el nivel de precisión en el desarrollo del modelo es confusión, mediante ella podemos obtener métricas para evaluar
el objetivo de la investigación, para eso se estudió el las predicciones del modelo [14]. La matriz tiene la siguiente
procedimiento que realiza la institución y recopilamos imágenes estructura:
tomadas por centellografía, para crear un modelo de ayude en el
diagnóstico médico. TABLA I. MATRIZ DE CONFUSIÓN
Predicción
II. INTELIGENCIA ARTIFICIAL Y MACHINE LEARNING N (modelo) P (modelo)
A. Inteligencia Artificial N (real) Negativos reales (a) Falsos positivos (b)
P (real) Falsos negativos (c) Positivos reales (d)
Entre muchas de las definiciones que existen, podemos decir
Fuente: Recuero, 2018.
que: la inteligencia artificial es la rama de las ciencias
computacionales que se encarga del estudio de la inteligencia Las métricas que se obtienen a partir de esta matriz son:
humana en elementos artificiales, desde el punto de vista de la
ingeniería, propone la creación de elementos que posean un • Precisión, representa la proporción entre el número de
comportamiento inteligente [10], en otras palabras es la ciencia diagnósticos correctas (tanto positivas como negativas)
que trata de imitar la inteligencia humana a través de diferentes y el total de diagnósticos:
𝑎+𝑑
técnicas y dar a una computadora la capacidad de pensar como 𝐴𝐶 = ()
humano, reconocer de manera visual los objetos o texto, etc. 𝑎+𝑏+𝑐+𝑑
• Sensibilidad, es la proporción de casos positivos que

B. Machine Learning
fueron correctamente identificadas por el algoritmo:
Machine Learning o aprendizaje automático, es un área de la 𝑑
inteligencia artificial, cuyo objetivo es el estudio de los patrones 𝑇𝑃 = ()
𝑐+𝑑
usando ciencias como matemáticas, estadística, ciencias de la
• Especificidad, es la proporción de los casos negativos
computación y procesos de ingeniería para que las
que el algoritmo ha clasificado correctamente:
computadoras puedan aprender [11]. 𝑎
𝑇𝑁 = ()
C. Aprendizaje Supervisado 𝑎+𝑏
En los algoritmos de aprendizaje supervisado se genera un III. MÉTODOS

modelo predictivo utilizando datos de entrada y salida, se habla Esta fue una investigación aplicada y tiene un diseño no
de aprendizaje supervisado cuando se tiene un conjunto de datos experimental porque solo se observó y analizó la información en
que han sido anteriormente etiquetados y clasificados, es decir, su situación actual, sin manipular ningún dato, además fue
que ya sabemos los datos a que grupo, valor o categoría longitudinal porque se recolectaron imágenes en diferentes
pertenecen [12]. periodos de tiempos [8]. La técnica de investigación fue por
D. Redes Neuronales observación, donde se siguieron los siguientes pasos:
Las redes neuronales son un intento de reproducir el • Revisión de material bibliográfico
funcionamiento del cerebro humano en una computadora, • Aplicación de la metodología
simulando las capacidades de memorizar y asociar hechos, lo o Establecer los objetivos a ser medidos
que permite ir generando experiencia que posteriormente puede o Seleccionar las imágenes para la investigación
ser usada para resolver algún problema a través de esas o Establecer algoritmo para el estudio
capacidades [13]. Las redes neuronales son modelos o Recopilar y analizar datos
matemáticos que permiten hacer el tratamiento de información o Informar y documentar los resultados
inspiradas en neuronas humanas, las neuronas son las unidades
básicas que están organizadas en capas (entrada, oculta y salida). Para la creación del modelo, se realizó el siguiente trabajo:
Para generar los datos de salida se utilizan funciones de A. Análisis de situación actual
activación, estas definen los valores que pasan o se quedan, El INAMEN para el estudio de los nódulos tiroideos
siendo muy importantes en el aprendizaje profundo para la mediante imágenes con centellografía utiliza algunos
clasificación, entre las usadas tenemos a: función threshold, radiofármacos (yodo radioactivo y pertecnetato). El yodo
sigmoide, ReLU, etc. radioactivo es ingerido vía oral y es retenido selectivamente por
la tiroides, donde se organifica e incorpora en las hormonas
E. Redes Neuronales Convolucionales
tiroideas, debido a la rápida absorción, captación y
Las redes neuronales convolucionales (CNN por las siglas organificación del yodo, la radioactividad es detectada en la
en ingles de Convolutional Neural Network), son similares a las glándula tiroides a los pocos minutos, alcanzando la luz tiroidea
redes multicapa, con la principal ventaja que cada parte de la red a los 20 o 30 minutos. Por otro lado, el bajo coste del
se entrena para realizar una tarea específica, esta característica pertecnetato Tc-99m y la fácil disponibilidad, han contribuido a
permite reducir el número de capas ocultas, generando que el que este radio radiofármaco se haya empleado como alternativa
entrenamiento sea más rápido [11]. Este tipo de redes son muy
27
al yodo radioactivo para la obtención de gammagrafías tiroideas, TABLA II. CANTIDAD DE IMÁGENES UTILIZADAS
la administración es vía intravenosa [1]. Tipo Cantidad
Nódulo difuso 841
Todos los pacientes que acuden a la institución son referidos, Nódulo frío 2.853
vale decir, que todos acuden con una orden médica de algún Bocio Nodular 644
centro de salud, que previamente ha identificado alguna Nódulo normal 1.209
Tiroiditis 151
anomalía en la tiroides del paciente, entonces se programa una
Total: 5.698
fecha y hora para toma de la imagen, remitiéndose el resultado
al especialista de endocrinología para la evaluación y El modelo de clasificación utilizó dos convoluciones para
elaboración del respectivo informe. extraer las diferentes características como bordes, sombras,
B. Recopilación de información y construcción del modelo texturas y contrastes, usando 32 filtros de 3x3, el incremento de
convoluciones solo aumentó el tiempo de procesamiento y no
Para el desarrollo del modelo se consideró la metodología ayudo a mejorar la precisión. Al final se utilizó una capa de
propuesta por Román [15] como se muestra en la figura 1, para aplanamiento con función de activación softmax con 5 neuronas
tener una guía sobre el trabajo a realizar. dense (todas las neuronas estarán conectadas) por las 5 etiquetas
utilizadas (ver figura 3) y así poder normalizar la salida y este
de acuerdo al “hot encoding” (codificación de variables).
Fig. 1. Metodología para desarrollo. Fuente: [ROMAN, 2019]

Fig. 3. Modelo de clasificación de imágenes
El modelo de clasificación busca coadyuvar a los
profesionales médicos en el proceso de diagnóstico de nódulos Las herramientas utilizadas para el desarrollo del modelo, se
tiroideos por imágenes de centellografía. usó Anaconda Navigator, Tensorflow, Scikit-Learn y Python.
Las imágenes proporcionadas se encontraban en archivos Se usó el 80% para el entrenamiento y 20% para la
Word ordenados en carpetas y para obtener las imágenes se validación, se construyó en el modelo con CNN, de las
realizaron los siguientes pasos: iteraciones realizadas se obtuvieron los siguientes valores:
• Se creó una aplicación en .net para leer los archivos TABLA III. PRECISIÓN CALCULADA
POR SCIKIT-LEARN POR ITERACIONES
Word, obtener las imágenes y guardarlas en carpetas.
Nro. de Micro Macro Promedio
• Los informes tienen una sección de conclusiones, donde épocas promedio promedio ponderado
el especialista luego de haber examinado las imágenes, 50 64 68 64
establece una conclusión y especifica el diagnóstico en 80 67 64 66
el documento mencionado (Fig.1), a partir de este dato 150 67 66 67
se desarrolló una aplicación en .net para realizar la 250 66 68 68
clasificación y organización de imágenes para el 500 67 68 67
1000 69 69 69
entrenamiento y validación de la red neuronal. 2000 67 69 67
• Las imágenes tenían información no relevante para el 3000 67 69 66
entrenamiento, como ser bordes demasiados gruesos,
Donde, las iteraciones con 1000 épocas fue la que obtuvo
manchas o texto al lado de las imágenes de la tiroides,
mejor promedio en la precisión (ver figura 4), al incrementar las
tamaños diferentes, se tuvo que limpiar lo mencionado.
iteraciones no mejoró la red neuronal, uno de los motivos se
debe a que existen imágenes que pertenecen a un mismo grupo,
pero no seguían un mismo patrón, como se puede ver en las
figuras 5 y 6. Entonces al realizar más iteraciones se
proporcionaba más información que solo confundía a la red
neuronal.
Fig. 2. Imagen de nódulo frío. Fuente: [INAMEN, 2018]
C. Entrenamiento
Una vez obtenidas y preparadas las imágenes, se comienza
el entrenamiento, se trabajó con un total de 5.698 imágenes: Fig. 4. Exactitud y pérdida de entrenamiento y validación
28
Para el cálculo de los indicadores de sensibilidad (también

llamada recall), especificidad y precisión del modelo, se tuvo
que calcular por cada etiqueta y promediar los valores:
TABLA V. VALORES DE SENSIBILIDAD, ESPECIFICIDAD Y PRECISIÓN
Clase o Sensibilidad Especificidad Precisión

etiqueta (TP/(TP+FN)) (TN/(TN+FP)) (TP/(TP+FP))
Tiroiditis 0,4242 0,9830 0,8335
Bocio Nodular 0,4338 0,4897 0,7283
Tiroides Normal 0,7432 0,9224 0,7028
Bocio Difuso 0,4939 0,9172 0,5912
Nódulo Frio 0,8333 0,6709 0,7233
Los indicadores anteriormente obtenidos, no se pueden

promediar de forma común: sumar todos los valores y dividirlo
Fig. 5. Imagen de bocio difuso. Fuente: [INAMEN, 2018] entre el número de elementos, porque se tomaron diferentes
cantidades de imágenes por clase, que no son proporcionales en
cantidad por clase, entonces para este caso se utiliza el promedio
ponderado (PP) que toma cada valor obtenido por el número de
instancias de la clase:
Precisión PP = (instancias TI * precisión TI) + (instancias BN * precisión
BN) + (instancias TN * precisión TN) + (instancias BD * precisión bocio BD)
+ (instancias NF * precisión NF)
# 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑇𝐼 # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝐵𝑁
Precisión PP = (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑝𝑟𝑒𝑐𝑖𝑠𝑖ó𝑛 𝑇𝐼) + (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗
# 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑇𝑁
𝑝𝑟𝑒𝑐𝑖𝑠𝑖ó𝑛 𝐵𝑁) + (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑝𝑟𝑒𝑐𝑖𝑠𝑖ó𝑛 𝑇𝑁) +
# 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝐵𝐷 # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑁𝐹
(𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑝𝑟𝑒𝑐𝑖𝑠𝑖ó𝑛 𝐵𝐷) + (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗
𝑝𝑟𝑒𝑐𝑖𝑠𝑖ó𝑛 𝑁𝐹)
Fig. 6. Imagen de bocio difuso. Fuente: [INAMEN, 2018] 33 136 261
Precisión PP = (1140 ∗ 0,8335) + (1140 ∗ 0,7283) + (1140 ∗ 0,7028) +
IV. RESULTADOS (
164
∗ 0,5912) + (
546
∗ 0,7233)
1140 1140
a) Evaluación
Precisión PP = 0,7031
Para la evaluación de los resultados obtenidos, se utilizó la
# 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑇𝐼
matriz de confusión, para calcular precisión, especificidad y Sensibilidad PP = (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑠𝑒𝑛𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑇𝐼) +
sensibilidad. Scikit-learn permite obtener valores del modelo # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝐵𝑁 # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑇𝑁
creado. (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑠𝑒𝑛𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝐵𝑁) + (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗
# 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝐵𝐷
Las columnas representan las predicciones que realizó el 𝑠𝑒𝑛𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑇𝑁) + (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑠𝑒𝑛𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝐵𝐷) +
modelo y las filas son los valores reales, luego calculamos los # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑁𝐹
(𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑠𝑒𝑛𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑁𝐹)
valores falsos positivos (FP) y falsos negativos (FN):
33 136 261
Sensibilidad PP = (1140 ∗ 0,4242) + (1140 ∗ 0,4338) + (1140 ∗
TABLA IV. CÁLCULO DE FALSOS POSITIVOS (FP) Y FALSOS NEGATIVOS (FN) 164 546
0,7432) + ( ∗ 0,4939) + ( ∗ 0,8333)
1140 1140
Predicción Totales
T BN TN BD NF FN Sensibilidad PP = 0,7031
T 14 0 2 2 15 19 # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑇𝐼
BN 0 59 6 7 64 77 Especificidad PP = (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑒𝑠𝑝𝑒𝑐𝑖𝑓𝑖𝑐𝑖𝑑𝑎𝑑 𝑇𝐼) +
Valores # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝐵𝑁 # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑇𝑁
TN 0 2 194 19 46 67
reales (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑒𝑠𝑝𝑒𝑐𝑖𝑓𝑖𝑐𝑖𝑑𝑎𝑑 𝐵𝑁) + (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗
BD 1 3 30 74 81 83
# 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝐵𝐷
NF 2 17 44 28 455 91 𝑒𝑠𝑝𝑒𝑐𝑖𝑓𝑖𝑐𝑖𝑑𝑎𝑑 𝑇𝑁) + (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑒𝑠𝑝𝑒𝑐𝑖𝑓𝑖𝑐𝑖𝑑𝑎𝑑 𝐵𝐷) +
Totales FP 3 22 82 56 174 # 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 𝑁𝐹
Donde: T = Tiroiditis, BN = Bocio Nodular, TN = Tiroides Normal, (𝑇𝑜𝑡𝑎𝑙 𝑖𝑚á𝑔𝑒𝑛𝑒𝑠 ∗ 𝑒𝑠𝑝𝑒𝑐𝑖𝑓𝑖𝑐𝑖𝑑𝑎𝑑 𝑁𝐹)
BD = Bocio Difuso, NF = Nódulo Frío
33 136 261
Especificidad PP = (1140 ∗ 0,9830) + (1140 ∗ 0,4897) + (1140 ∗
El indicador de exactitud del modelo se calcula mediante la 164 546
suma de los valores correctamente identificados (TP) entre la 0,9224) + (1140 ∗ 0,9172) + (1140 ∗ 0,6709)
suma del total de elementos de la matriz:
Especificidad PP = 0,7514
∑ 𝑐𝑖𝑖 803
Exactitud = ∑ ∑ =
𝐶𝑖𝑗 1140 Entonces a través de la matriz de confusión se obtuvieron los
Exactitud = 70,43 indicadores mencionados en la operacionalización de variables:
29
• Precisión, el modelo llegó a un 70,31 %. precisión para ser considerado una herramienta que realmente
• Sensibilidad, se obtuvo un 70,43 % de casos colabore en el diagnóstico médico.
correctamente identificados. Se necesita realizar un trabajo más detallado junto a los
• Especificidad, se obtuvo un 75,14 % de casos negativos especialistas para mejorar la precisión, puesto que a un inicio la
clasificados correctamente. precisión era del 29%, pero con el ajuste de tamaño, la limpieza
de manchas, líneas o textos en las imágenes, llegamos subir el
b) Predicción
nivel de precisión. Existen técnicas adicionales como la
Una vez que se entrenó y se ajustó el modelo de la red clasificación con etiquetas que pueden trabajar junto a CNN o
neuronal, se utilizó el modelo generado durante la fase de SVM, donde el especialista médico tendría que indicar las
entrenamiento, el cual a través de una pequeña aplicación características más relevantes que el modelo de Machine
desarrollada con Python, se proporcionó diferentes imágenes al Learning tiene respecto a una enfermedad.
modelo para que realice la predicción a cuál de las etiquetas
pertenece. Se utilizó 50 imágenes que fueron proporcionadas por REFERENCIAS
la institución, donde se obtuvo los siguientes resultados: [1] L. F. M. Barragán, Guía de Aplicaciones Clínicas de Medicina Nuclear,
TABLA VI. PREDICCIONES EN BASE A IMÁGENES La Paz - Bolivia, 2004.
ENVIADAS AL MODELO DE ML [2] H. Ziessman, J. O'Malley and J. Thrall, Medicina Nuclear - Los
Requisitos, Elsevier Mosby, 2007.
Datos Reales Predicciones
Bocio Tiroides Bocio Nódulo [3] Asociación Española de Cáncer, "Impacto Social de las enfermedades
Diagnóstico Cantidad tiroideas en España," 2014. [Online]. Available:
nodular normal difuso frío
Bocio nodular 10 5 5 https://www.aecat.net/wp-content/uploads/2014/07/Analisis-Impacto-
Social-de-las-Enfermedades-Tiroideas-.pdf.
Tiroides normal 10 8 2
Bocio difuso 10 2 2 6 [4] La voz de Galicia, "Bocio afecta la población y habitantes de zonas
montañosas" 2014. [Online]. A: https://www.lavozdegalicia.es/noticia
Nódulo frío 18 3 15
/lugo/lugo/2014/09/03/bocio-afecta-128-poblacion-30-habitantes-zonas-
Tiroiditis 2 1 1 montanosas-deficit-yodo/00031409768617772166240.htm.
De los resultados obtenidos en la predicción podemos [5] Los Tiempos, "Preguntas sobre la tiroides," 27 marzo 2017. [Online].
Available: http://www.lostiempos.com/oh/tendencias/20170327/10-
mencionar lo siguiente: preguntas-tiroides.
• En el caso de bocio nodular, solo 5 de las 10 imágenes [6] M. C. Chambi, Sistema experto para el diagnóstico de cáncer tiroideo
basados en redes neuronales, La Paz - Bolivia, 2014.
fueron predicciones acertadas, en los otras 5 la
[7] C. Franco, F. Pardo, R. Laborda and C. Pérez, "Aplicación de la técnica
predicción indicó que era un nódulo frío. de árboles de clasificación y regresión en la valoración ecográfica de los
• En el caso de una tiroides normal, 8 imágenes fueron nódulos tiroideos," Revista Argentina de Radiología, p. 11, 2017.
predicciones acertadas, en las otras 2 predicciones el [8] R. Fernández, C. C. Fernández y P.L. Baptista, "Metodología de la
modelo indicó que era un nódulo frío. Investigación", México DF: McGraw Hill, 2014.
[9] P. Poudel, A. Illanes, D. Sheet and M. Friebe, "Evaluation of commonly
• En el caso de bocio difuso, debido a las características used algorithms for thyroid ultrasound images segmentation and
de las imágenes, 2 predicciones indicaron que era una improvement using Machine Learning approaches," Journal of Healthcare
tiroides normal, 2 predicciones fueron acertadas y las Engineering, p. 13, 2018.
otras 6 las predicciones indicaban nódulo frío. [10] J. J. Romero, C. Dafonte, Á. Gómez and F. Penousal, Inteligencia
Artificial y Computación Avanzada, Santiago de Compostela, 2007.
• En el caso de los nódulos fríos, 15 de las predicciones
[11] F. Contreras, "Introducción a Machine Learning," 2016. [Online].
fueron acertadas, 3 indicaron que era tiroides normal. Available: https://www.zemsania.com/recursos-
• Para la tiroiditis ninguna predicción fue acertada. zemsania/whitepapers/DTS/Machine_learning.pdf.
De los 50 casos de predicción que se utilizaron, 30 fueron [12] J. G. Luna, "Medium," 8 febrero 2018. [Online]. Available:
https://medium.com/soldai/tipos-de-aprendizaje-autom%C3%A1tico-
predicciones acertadas, lo que equivale a decir que 60 % fueron 6413e3c615e2.
predicciones acertadas. [13] D. Matich, "Redes neuronales: Conceptos básicos y aplicaciones" p.55,
2001
V. DISCUSIÓN
[14] P. Recuero, "Machine Learning a tu alcance: La matriz de confusión" 23
Por lo expuesto, en el trabajo realizado se ha llegado a tener enero 2018. [Online]. Available: https://data-speaks.luca-
un nivel de precisión que fue considerado como aceptable por d3.com/2018/01/ML-a-tu-alcance-matriz-confusion.html.
parte del personal de la institución, pero tiene que mejorar la [15] P. Roman, "Introducción a Machine Learning", 6 febrero 2019. [Online].
Available: https://medium.com/datos-y-ciencia/introduccion-al-machine-
learning-una-gu%C3%ADa-desde-cero-b696a2ead359.
Breve CV del autor

Bladimir Rodolfo Calcina Choque es Licenciado en Informática.
Cumple actividad laboral como desarrollador de software en el sector gubernamental y privado. Su interés investigativo es sobre
nuevas tecnologías. Email: bladimir.calcina@gmail.com.
30
COBIT como herramienta para la implementación

de la Norma Internacional Electoral ISO 54001
Brenda Isabel Fernández Robles
La Paz - Bolivia
brendasu2000@hotmail.com
Resumen—La Certificación de Norma Internacional Electoral El Marco de Referencia COBIT está basado en varios
ISO/TS 54001:2019 representa calidad, transparencia y confianza estándares ISO, es el objetivo de este artículo presentar a COBIT
en los procesos electorales llevados a cabo por un organismo como una herramienta que contribuya a la implementación de la
electoral, implica el cumplimiento de requisitos específicos que Norma Electoral ISO/TS 54001:2019.
promueven la mejora de procesos y procedimientos, en la gerencia
de la información, en el proceso de toma de decisiones, hacia una II. ANTECEDENTES
cultura organizacional orientada al mejoramiento continuo, para
aumentar la satisfacción del cliente y con un pensamiento basado
En julio de 2009 los Superiores del TSE de Costa Rica
en el riesgo. De manera similar el Marco de Referencia COBIT solicitaron apoyo y patrocinio de la OEA para el desarrollo de
busca satisfacer las necesidades de las partes interesadas, una norma específica para procesos electorales, donde Gary
mediante la toma de decisiones de acuerdo a las metas Cort, presidente del Comité Técnico ISO/176, uno de los
organizacionales, la realización de beneficios, optimización de creadores de las normas ISO 9000 de calidad aportó al desarrollo
riesgos y recursos, buenas prácticas, procesos eficientes, de esta nueva norma ISO Electoral. Las Sesiones de trabajo en
información disponible y confiable, además de tener como objetivo el Comité ISO TC/176/WG03 inició en mayo de 2011y tuvieron
la mejora continua, todo esto en el marco de las Tecnologías de la el primer borrador de la ISO 17582 que denominaron Sistema
Información (TI). En este sentido COBIT es una herramienta de Gestión Electoral [3].
importante que contribuye a la implementación de la Norma
Internacional Electoral ISO/TS 54001:2019. Posteriormente la norma ISO/TS 17582:2014 fue sustituida
por la norma ISO/TS 54001:2019 a partir de su publicación el
Palabras clave—Norma Internacional Electoral ISO/TS 08 de abril de 2019[4].
54001:2019, certificación, COBIT, TI Tecnologías de la La OEA acompañó al Tribunal de Elecciones (TE) de Costa
Información, herramienta, implementación.
Rica en el diagnóstico para la documentación, implementación
I. INTRODUCCIÓN y certificación de un Sistema de Gestión de Calidad, de dos de
sus procesos clave: Procesos de Registro Civil y Proceso
En la actualidad toda institución que ofrece servicios, Electoral. Dentro de los productos entregados mediante el
privada o pública, busca una certificación de calidad, como toda diagnóstico se encuentran un plan estratégico, un estudio de
organización e institución pública el lograr la certificación bajo viabilidad, análisis de brechas, plan de trabajo detallado, análisis
la Norma Electoral ISO/TS 54001:2019, es una aspiración del de las fortalezas, oportunidades, debilidades y amenazas
Órgano Electoral de Bolivia [1]. (FODA) del órgano electoral, análisis de la estructura
Por otro lado, de acuerdo a las investigaciones la organizacional del Tribunal y un mapeo de procesos sustantivos
Organización de los Estados Americanos (OEA), señala que el y de apoyo [5].
uso de nuevas tecnologías en la administración electoral de los La Junta Central Electoral de la República Dominicana
países de la región es cada vez mayor. Desde la utilización de recibió su certificación en la norma 9001 y la ISO/DIS 17582 en
programas informáticos en los procesos de inscripción de el mes de febrero de 2014. La implementación de un sistema de
ciudadanos, candidatos u otros procedimientos que aplican en gestión de calidad electoral al interior de la JCE le permite
una elección, a modernos sistemas para la transmisión de satisfacer de manera más adecuada las expectativas de los
resultados y la utilización de máquinas electrónicas de votación, votantes, de los candidatos y de las organizaciones políticas [6].
muy pocos procesos han estado ajenos a la utilización de estas
tecnologías [2]. Bolivia no es una excepción, dado que varios de En Perú la Oficina Nacional de Procesos (ONPE) se
los subprocesos que lleva a cabo el Órgano Electoral dentro de convirtió en el primer organismo electoral de Sudamérica en
un proceso electoral se encuentran automatizados, lo cual hace obtener de la OEA una certificación internacional de gestión de
evidente la necesidad de un marco referencial para la seguridad calidad para organismos electorales, el ISO /TS 17582:2014.
y el control de tecnología de información (TI), como COBIT, Los procesos certificados con este ISO son: Logística Electoral,
con el fin de obtener una efectiva dirección y controles Emisión del Voto, Conteo de Votos, Educación Electoral y
adecuados. Fiscalización del Financiamiento de Campañas Electorales [7].

[N] B. Fernández, «COBIT como herramienta para la implementación de la Norma Internacional Electoral
ISO 54001», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 31-35, 2020.
31
La OEA en mayo de 2016, recomendó otorgar la embargo las mismas al no ser planificadas, ni revisadas con los
Certificación en la Especificación Técnica ISO/TS 17582 al usuarios finales tienen bastantes errores de procedimiento y de
Consejo Nacional Electoral (CNE) de Ecuador, destacando el procesamiento.
trabajo del talento humano del CNE, como competente y
comprometido en cada uno de los procesos. La implementación Dentro de un proceso electoral existen subprocesos, los
del mencionado sistema de calidad permitió establecer cuales implican procedimientos, roles y responsabilidades, que
beneficios como: Integrar y desarrollar la planeación estratégica no se encuentran formalizados ni detallados y se realizan de
y operativa del organismo electoral, basado en requisitos de un manera empírica, por lo cual no existen políticas de control de
modelo de sistema de gestión de calidad con resultados procedimientos ni de fallas en las soluciones tecnológicas,
probados; confianza y transparencia en la gestión del organismo; dando lugar a errores en tiempo de ejecución de los procesos,
proporcionar el control de la gestión de diversas operaciones, tampoco existe un análisis de riesgos, ni planes de contingencia.
permitiendo evaluar el servicio al ciudadano, organizaciones Al no existir roles y responsabilidades claramente establecidas
políticas, públicas y privadas; mayor énfasis en el liderazgo, las y documentadas surgen confusiones sobre quien realiza el
comunicaciones y la gestión de cambio; entre otras [8]. trabajo, los funcionarios no asumen responsabilidad sobre las
tareas que se deben realizar, dando lugar a errores y retrasos.
Dentro de las Organizaciones que han decidido implementar
COBIT se puede mencionar al Banco Supervielle es uno de los B. Formulación del Problema
principales Bancos privados de la República Argentina, entre ¿En qué medida un modelo de implementación de COBIT
sus principales temas que motivaron a su formación eran los de en los en los procesos, procedimientos, roles y responsabilidades
mejorar la alineación estratégica al negocio, tratar de generar un de la Sección de Tecnologías de la Información (TI) contribuye
lenguaje que el negocio pueda interpretar y que las áreas de TI a la implementación y certificación de la Norma Internacional
también lo puedan manejar, mejorar y entender el cumplimiento Electoral ISO /TS 54001:2019 del Órgano Electoral?
del control interno de la TI como así también concientizar en la
responsabilidad que cumple cada rol dentro de los procesos de IV. OBJETIVO
TI. Utilizando los objetivos de control y procesos de COBIT El objetivo del presente artículo es el de establecer que el
como marco de referencia, permitieron al Banco Supervielle, marco de referencia COBIT cumple con varios requisitos que
trazar un camino para alcanzar el nivel de madurez fijado como exige la Norma Internacional Electoral ISO /TS 54001:2019
meta tanto en tiempo como en calidad [9]. realizando un mapeo entre ambas demostrando por lo tanto que
es una herramienta poderosa que aplicándola en los procesos,
Otro caso de estudio referenciado en una Tesis de Maestría
procedimientos, roles y responsabilidades de la Sección de
en Gestión de TI en la Universidad de Greenwich presentado en
Tecnologías de la Información (TI) contribuirá a la
conferencias del IIA, ISACA y referenciado por varias empresas
implementación y certificación de la Norma Internacional
en procesos de implementación es Ecopetrol la compañía más
Electoral ISO/TS 54001:2019 del Órgano Electoral.
grande de Colombia y es una empresa integrada en la cadena del
petróleo. El modelo actual de evaluación de procesos de V. SUSTENTO TEÓRICO
Ecopetrol incorpora elementos claves de mejores prácticas como
PMI, COBIT, ITIL, ISO 27000, TOGAF. Adicionalmente, A. Gestión de Calidad y Certificación Bajo Normas ISO
aborda la evaluación de madurez de los procesos bajo las La implementación de sistemas de gestión de calidad (SGC)
perspectivas de “capacidad” y “desempeño” lo que permite tener permite que los procesos institucionales se ajusten a niveles y
un marco de evaluación comparable con el adoptado por COBIT estándares definidos por normas internacionales que mejoran
5®. Se comprobó la alineación de la función con el marco sustancialmente su productividad, eficiencia y eficacia. Entre las
COBIT 5 (Principios, Catalizadores y Procesos), la extensión se principales ventajas que trae su implementación se encuentran:
genera de una vista integrada y fuerte orientación a la gestión la mejora de procesos y procedimientos, en la gerencia de la
por procesos, medición y mejora continua [10]. información, en el proceso de toma de decisiones. Todo esto
favorece el cambio hacia una cultura organizacional orientada al
III. PROBLEMÁTICA mejoramiento continuo [11].
A. Identificación del Problema B. Creación de la Norma Internacional Electoral ISO/TS
Si bien el Tribunal Supremo Electoral de Bolivia busca tener 54001:2019
la certificación de la Norma Internacional Electoral ISO/TS A partir de las ventajas que trae consigo la implementación
54001 con el objeto de brindar las garantías, la transparencia y de Sistemas de Gestión de Calidad en el ámbito electoral, surgió
la confianza necesarias respecto de todos los procesos y acciones la idea de impulsar la creación de una norma ISO electoral bajo
que desarrolla el Órgano Electoral Plurinacional, tiene un largo la cual órganos electorales de las Américas y del resto mundo
camino por recorrer. Tomando el ejemplo de otros países como puedan ser certificados. La nueva Norma Internacional Electoral
los que ya se mencionaron previamente, ha iniciado con la ISO, ISO/TS 54001:2019, fue publicada en abril de 2019
auditoría al Padrón Electoral y ha firmado un convenio de sustituyendo a la ISO/TS 17582: 2014.
cooperación con el Presidente del Consejo Nacional Electoral de
Ecuador (CNE), Juan Pablo Bozo. La Norma Electoral define los requisitos específicos para
ocho procesos que se entienden como fundamentales en
Es evidente que en la actualidad debido al creciente uso de cualquier elección: el registro de los votantes, el registro de las
la tecnología varios procesos han sido automatizados por lo que organizaciones políticas y de los candidatos, la logística
es necesario tener claramente establecidos los usuarios finales y electoral, la emisión del voto, el recuento de votos y la
los de mantenimiento y soporte de los sistemas o aplicaciones, publicación de resultados, la educación electoral, la fiscalización
además que en cada nuevo proceso surgen nuevas aplicaciones de la financiación de campañas y la resolución de disputas
que son implementadas de acuerdo a las necesidades, sin
32
electorales. Esta es una herramienta de mejoramiento de la ayudar a aumentar la confianza en, y el valor de los sistemas de
gestión pública, que promueve una administración más información. COBIT 5 se construye y se expande en COBIT 4.1
transparente, eficiente y alineada con los objetivos mediante la integración de otros marcos mayores, estándares y
organizacionales, la cual tiene sin duda un considerable impacto recursos, incluyendo de Val IT de ISACA, RISK TI y BMIS.
en el aumento de la confianza por parte de la ciudadanía, También han alineado COBIT 5 con orientaciones y normas
partidos políticos, candidatos, organizaciones políticas en sus significativas, incluyendo ITIL e ISO [15].
organismos electorales [12].
D. Principios de COBIT
Esta Norma Internacional promueve la adopción de un COBIT 5 se basa en cinco principios claves para el gobierno
enfoque basado en procesos cuando se desarrolla, implementa y y la gestión de las TI empresariales (Fig. 2) [15]:
mejora la eficacia de un sistema de gestión de la calidad, para
aumentar la satisfacción del cliente mediante el cumplimiento
de sus requisitos, este enfoque implica la definición y gestión de
los procesos que se puede lograr utilizado el ciclo PDCA
(Planificar-Hacer-Verificar-Actuar) con un enfoque general en
el pensamiento basado en el riesgo dirigido a aprovechar las
oportunidades y prevenir resultados indeseables. La aplicación
del enfoque de procesos en un sistema de gestión de calidad
permite: (Fig. 1) [12]:
a) la comprensión y consistencia en el cumplimiento de los requisitos,
b) la consideración de los procesos en términos de valor agregado,
c) el logro de un desempeño efectivo del proceso, y
d) mejora de los procesos basados en la evaluación de datos e información.
Fig. 2. Principios de COBIT 5

Fuente: ISACA, ITGI, “COBIT 5,” 2012
Principio 1. Satisfacer las Necesidades de las Partes

Interesadas Las empresas existen para crear valor para sus
partes interesadas manteniendo el equilibrio entre la realización
de beneficios y la optimización de los riesgos y el uso de
recursos. COBIT 5 provee todos los procesos necesarios y otros
catalizadores para permitir la creación de valor del negocio
mediante el uso de TI.
Principio 2. Cubrir la Empresa Extremo-a-Extremo
COBIT5 integra el gobierno y la gestión de TI en el gobierno
corporativo. Cubre todas las funciones y procesos dentro de la
Fig. 1. Modelo de un sistema de gestión de la calidad basado en procesos
empresa. Considera que los catalizadores relacionados con TI
Fuente: ISO (2014). International Organization for Standardization para el gobierno y la gestión deben ser a nivel de toda la empresa
y de principio a fin.
C. COBIT
Principio 3. Aplicar un Marco de Referencia único
Los Objetivos de Control para la Información y las integrado. COBIT 5 se alinea a alto nivel con otros estándares y
Tecnologías Relacionadas (COBIT), es una definición del marcos de trabajo relevantes, y de este modo puede hacer la
resultado o propósito que se desea alcanzar implementando función de marco de trabajo principal para el gobierno y la
procedimientos de control específicos dentro de una actividad gestión de las TI de la empresa.
de TI, provee buenas prácticas a través de un dominio y el marco
referencial de los procesos y presenta actividades en una Principio 4: Hacer Posible un Enfoque Holístico. COBIT 5
estructura manejable y lógica [13]. define un conjunto de catalizadores (enablers) para apoyar la
implementación de un sistema de gobierno y gestión global para
Misión de COBIT: Investigar, desarrollar, hacer público y las TI de la empresa. Los catalizadores se definen en líneas
promover un marco de control de gobierno de TI autorizado, generales como cualquier cosa que puede ayudar a conseguir las
actualizado, aceptado internacionalmente para la adopción por metas de la empresa. El marco de trabajo COBIT 5 define siete
parte de las empresas y el uso diario por parte de gerentes de categorías de catalizadores (Fig. 3):
negocio, profesionales de TI y profesionales de aseguramiento
[14]. • Principios, Políticas y Marcos de Trabajo
COBIT 5 proporciona una visión de negocio de extremo a • Procesos
extremo de la gobernabilidad de TI de la empresa que refleja el • Estructuras Organizativas
papel central de la información y la tecnología en la creación de • Cultura, Ética y Comportamiento
valor para las empresas. Es el único marco de negocio para el • Información
gobierno y la gestión de TI de la empresa. Esta versión evolutiva • Servicios, Infraestructuras y Aplicaciones
incorpora las ideas más recientes en las técnicas de gobierno y • Personas, Habilidades y Competencias
gestión de la empresa, y proporciona los principios aceptados a
nivel mundial, prácticas, herramientas y modelos analíticos para
33
Fig. 3. Catalizadores Corporativos de COBIT 5

Principio 5: Separar el Gobierno de la Gestión. El marco de

Fig. 6. Las siete fases de implementación del Ciclo de Vida
trabajo COBIT 5 establece una clara distinción entre gobierno y Fuente: ISACA, ITGI, “COBIT 5,” 2012
gestión. Estas dos disciplinas engloban diferentes tipos de
actividades, requieren diferentes estructuras organizativas y
F. Comparación ISO/TS 54001:2019 vs COBIT
sirven a diferentes propósitos. El Gobierno contiene cinco
procesos de gobierno; dentro de cada proceso se definen a) La Norma ISO 54001 busca aumentar la satisfacción del
prácticas de evaluación, orientación y supervisión (EDM). La cliente a través de la aplicación eficaz del sistema,
gestión contiene cuatro dominios, en consonancia con las áreas incluidos los procesos para la mejora continua del
de responsabilidad de planificar, construir, ejecutar y supervisar sistema y el aseguramiento de la conformidad con los
(Plan, Build, Run and Monitor - PBRM), (Fig. 4 y 5). requisitos del cliente y los legales y reglamentarios
aplicables.
b) Primer principio de COBIT5 es satisfacer las necesidades
de las partes interesadas, COBIT provee todos los
procesos necesarios y otros catalizadores para permitir la
creación de valor del negocio mediante el uso de TI.
c) La Norma ISO 54001 está enfocada a procesos y en la
mejora continua.
d) Uno de los catalizadores de COBIT es precisamente los
procesos, enfocado a un ciclo de vida de mejora continua.
e) De acuerdo a ISO 54001, la alta dirección debe estar
comprometida con la mejora continua, establecer
políticas de calidad, asegurar que se cumplan llevando a
cabo revisiones y asegurando disponibilidad de recursos.
Fig. 4. Las Áreas Clave de Gobierno y Gestión de COBIT 5
Fuente: ISACA, ITGI, “COBIT 5,” 2012 f) El Gobierno en COBIT asegura que evalúen necesidades,
condiciones y opciones, estableciendo la dirección a
través de la priorización y la toma de decisiones; y
midiendo el rendimiento y el cumplimiento respecto a la
dirección y metas acordadas. Contiene cinco procesos de
gobierno; dentro de cada proceso se definen prácticas de
evaluación, orientación y supervisión (EDM).
g) Uno de los puntos importantes dentro la ISO 54001 la
alta dirección debe demostrar liderazgo y compromiso
con respecto al sistema de gestión de calidad orientando,
supervisando y evaluando los resultados.
h) La Norma ISO 54001 promueve el uso del enfoque
basado en procesos y el pensamiento basado en riesgos,
planificando acciones para enfrentar el riesgo.
i) COBIT propone la optimización de riesgos mediante los
procesos EDM03 Asegurar la optimización del Riesgo y
APO12 Gestionar el Riesgo.
j) La Norma ISO 54001 tiene como uno de los requisitos la
planificar un programa de auditorías internas, establecer
Fig. 5. Modelo de Referencia de Procesos de COBIT 5 los registros e informar los resultados.
k) Dentro de los roles que recomienda COBIT se encuentra
Auditoria responsable de proveer auditorías internas y
E. Enfoque de Ciclo de Vida de COBIT
realizar el seguimiento.
El ciclo de vida tiene tres componentes (Fig. 6) [15].
34
VI. PROPUESTA DE SOLUCIÓN dentro de una actividad de TI, buenas prácticas de TI

Se proponen los siguientes pasos: contribuyen de gran manera a la implementación y
certificación de la Norma Internacional Electoral ISO/TS
Fase 1. Evaluar los procesos, procedimientos, roles y 54001:2019.
responsabilidades establecidos aplicando técnicas estadísticas, • Se puede concluir que la aplicación de los Objetivos de
para realizar un diagnóstico del tiempo de ejecución de procesos, Control de COBIT en la definición y organización de
utilización de los recursos tecnológicos y humanos, y errores en procesos institucionales basados en políticas de control y las
procedimientos y aplicaciones actuales de TI, de acuerdo a los mejores prácticas de TI durante Procesos Electorales
requerimientos y objetivos de la Institución respecto a los contribuirá a un mejor desempeño y a la implementación y
Procesos Electorales. certificación de la Norma Internacional Electoral ISO/TS
Fase 2. Diseñar el modelo de implementación de COBIT 54001:2019 del Órgano Electoral.
aplicando los Objetivos de Control de COBIT en la definición y REFERENCIAS
organización de procesos institucionales basados en políticas de
[1] La Paz/ABI. (29 julio 2016). El país en expansión nacional. Disponible
control y las mejores prácticas de TI para mejorar el desempeño en http://www.elpaisonline.com/index.php/2013-01-15-14-16-26/
de TI durante Procesos Electorales del Órgano Electoral. nacional/item/224032-el-tse-busca-obtener-el-certificado-iso-electora
Fase 3. Implantar el modelo diseñado en el Órgano Electoral [2] Gustavo Aldana, “Observación del Uso de Tecnología Electoral: Un
Manual para las Misiones de Observación Electoral de la OEA” Secretaría
para validar el modelo y comprobar su factibilidad de uso. General de la Organización de los Estados Americanos, 2010.
Fase 4. Evaluar el desempeño de TI en Procesos Electorales [3] Protti Quesada M. A., “Sistema de Gestión Electoral: en busca de la
del Órgano Electoral, luego de la aplicación del modelo de mejora continua”. Tribunal Supremo de Elecciones Republica de Costa
Rica, 18 septiembre 2013. Disponible en http://www.tse.go.cr
implementación COBIT, aplicando el Modelo de Madurez de
[4] ISO. (2019). International Organization for Standardization. Disponible
COBIT. en https://www.iso.org/standard/75288.html.
VII. CONCLUSIONES [5] OEA. (febrero 2010). Organización de los Estados Americanos.
Disponible en http://www.oas.org/es/sap/deco/NormasISO.asp
De acuerdo a la investigación realizada se ha podido [6] OEA. (2014). Organización de los Estados Americanos. Disponible en
comprobar que: http://www.oas.org/es/sap/deco/NormasISO.asp
[7] ONPE. (10 marzo 2016). Oficina Nacional De Procesos Electorales del
• Los organismos electorales que se han certificado bajo la Perú. Disponible en https://www.web.onpe.gob.pe/sala-prensa/notas-
norma ISO/TS 17582:2014 anterior a la última actualizada, prensa/onpe-es-primer-organismo-electoral-sudamerica-obtener-
han logrado confianza y transparencia en la gestión del certificacion-internacional-gestion-calidad-de-oea/
organismo; calidad en sus servicios, control de la gestión de [8] OEA. (2016). Organización de los Estados Americanos. Disponible en
diversas operaciones y sobre todo satisfacción de la http://www.oas.org/es/sap/deco/NormasISO.asp
ciudadanía. [9] ISACA (2009). Information Systems Audit and Control Association.
Recuperado el 2016, de http://www.isaca.org/Knowledge-Center/cobit/
• Las organizaciones que han decidido implementar COBIT Pages/COBIT-Caso-de-Estudio-Banco-Supervielle-SA-Argentina.aspx
han logrado definición e implementación de estructura de [10] León Lozano, A. “Alineando el Gobierno, Riesgo y Cumplimiento de TI
servicios, soportados por procesos que gobiernan y con COBIT 5,” ISACA, 2014
gestionan la tecnología requerida, su infraestructura y [11] ISO. (2014). International Organization for Standardization. Disponible
aplicaciones dentro de un marco de valor, calidad, seguridad en https://www.iso.org/obp/ui#iso:std:iso:ts:17582:ed-1:v1:es
y continuidad. [12] ISO. (2014). “Quality management systems -Particular requirements for
• COBIT se desarrolló teniendo en cuenta un número the application of ISO 9001:2008 for electoral organizations at all levels
considerable de estándares y marcos de referencia, entre of government, ISO /TS 54001:2019” 2014.
ellas varias Normas ISO, en consecuencia, también cumple [13] ISACA, ITGI, “COBIT 3ra Edición,” 2000.
con varios requisitos que exige la Norma Internacional [14] ISACA, ITGI, “COBIT 4.1,” 2007.
Electoral ISO/TS 54001:2019. [15] ISACA, ITGI, “COBIT 5,” 2012
• COBIT es una herramienta poderosa que, mediante su marco
de trabajo integral, procedimientos de control específicos
Brenda Isabel Fernández Robles es Licenciada en Informática mención en Ingeniería de Sistemas por la Universidad Mayor de
San Andrés 2001. Diplomada en Educación superior 2005; Diplomada en Estadística 2006; Diplomada en Derecho Informático 2006;
Diplomada en Gestión Administrativa 2007; Diplomada en Tecnologías de la Información y las Comunicaciones 2011; Diplomada
en Gerencia y Planificación Estratégica 2011.
Laboralmente se desempeña como Jefa de Sección de Tecnologías en el Tribunal Electoral Departamental de La Paz; anteriormente
en el Servicio de Registro Cívico Departamental de La Paz. Email: brendasu2000@hotmail.com.
35
Modelo Predictivo de Regalías Mineras

aplicando Técnicas de Analítica Predictiva con R
Carla Gabriela Calisaya Choque
La Paz - Bolivia
carla.calisaya24@gmail.com
Resumen—El presente trabajo de investigación hace que permitirán desarrollar un modelo predictivo de regalías
referencia a la carencia de patrones de comportamiento que mineras para optimizar la toma de decisiones y minimizar el
permitan tener un análisis integral de la información de la regalía nivel de incertidumbre, mejorar el conocimiento sobre el tema y
minera, formulándose la siguiente pregunta de investigación obtener la capacidad de poder predecir sus acciones futuras.
¿Cuál es la incidencia de un modelo predictivo de regalías mineras
a través de técnicas de analítica predictiva, en el nivel de II. MARCO DEL PROBLEMA
incertidumbre de la toma de decisiones gerenciales u operativas?
Consecuentemente el objetivo de la investigación, es desarrollar A. Planteamiento del problema
un modelo predictivo de regalías mineras a través de técnicas de La carencia de patrones de comportamiento que permita
analítica predictiva para reducir el nivel de incertidumbre en la tener un análisis integral de la información de la regalía minera,
toma de decisiones gerenciales u operativas. Para ello se puede ocasionar una toma de decisiones inadecuada o
implementa el prototipo del modelo predictivo de regalías mineras extemporánea en la distribución de recursos que los Gobiernos
utilizando técnicas de analítica predictiva con la metodología Autónomos Departamentales y Municipales deben destinar a
CRISP-DM, utilizando datos de regalías mineras y las variables actividades como la prospección y exploración minera,
que forman parte de su cálculo delimitada a cuatro minerales. El
reactivación productiva y monitoreo ambiental; y proyectos de
análisis de información y creación de modelos predictivos es
realizado con el lenguaje de programación R, se valida el resultado
inversión pública en el área de impacto de la operación minera,
de los modelos aplicando el método de validación cruzada de k- respectivamente; así como una toma de decisiones inoportuna
iteraciones o k-fold cross validation, y se selecciona el modelo que en la aplicación de políticas públicas, a nivel gerencial u
se ajusta mejor a los datos en base a las métricas de evaluación. operativo.
B. Formulación del Problema de Investigación
Palabras clave—Modelo, predictivo, analítica predictiva, regalía
minera, toma de decisión, árboles de decisión, k-vecinos más De acuerdo a lo definido anteriormente el problema ha sido
cercanos, random forest, redes neuronales, CRISP-DM. formulado de la siguiente manera:
I. INTRODUCCIÓN ¿Cuál es la incidencia de un modelo predictivo de regalías

mineras a través de técnicas de analítica predictiva, en la toma
La minería es la segunda industria de extracción de Bolivia, de decisiones gerenciales u operativas?
entre las riquezas mineras del país, las mayores se concentran en
los departamentos de Potosí, La Paz y Oruro, productores de C. Planteamiento del objetivo
estaño, zinc, plata, cobre, wólfram, oro, antimonio entre otros. 1) Objetivo general
Santa Cruz cuenta con los yacimientos más importantes de Desarrollar un modelo predictivo de regalías mineras a
hierro y piedras semipreciosas como la bolivianita y amatista; través de técnicas de analítica predictiva para reducir el nivel de
los departamentos de Pando y Beni producen principalmente incertidumbre en la toma de decisiones gerenciales u operativas.
oro; Cochabamba, Tarija y Chuquisaca producen minerales no
metálicos, como piedra caliza, yeso, arcillas y otros. 2) Objetivos específicos
Los objetivos específicos son los siguientes:
El Estado a través de la Constitución Política del Estado, Ley
N° 535 de Minería y Metalurgia y Decreto Supremo N° 29577 • Recolectar, procesar y analizar la información de las
regulan la Regalía Minera que surge con el propósito de variables que intervienen en el cálculo de la regalía
compensar la explotación de los recursos minerales y metales no minera.
renovables, aplicada obligatoriamente a las actividades de • Desarrollar y/o construir un modelo predictivo de
explotación, concentración y/o comercialización, fundición, regalías mineras a través de técnicas de analítica
refinación e industrialización, y en la prospección y exploración predictiva.
minera. • Validar el modelo predictivo de regalías mineras.
La presente investigación se enfocará en estudiar y analizar D. Planteamiento de hipótesis
la información histórica de la regalía minera durante el periodo El desarrollo de un modelo predictivo de regalías mineras a
2010 a 2018, así como las variables peso, cotización y alícuota, través de técnicas de analítica predictiva reduce el nivel de

[N] C. Calisaya, «Modelo Predictivo de Regalías Mineras aplicando Técnicas de Analítica Predictiva con
R», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 36-40, 2020.
36
𝐶𝑂
incertidumbre de la toma de decisiones a nivel gerencial u 𝑉𝐵𝑉 = 𝑃𝐹[𝑢𝑛𝑖𝑑𝑎𝑑𝑑 𝑐𝑜𝑡 𝑖 𝑧𝑎𝑐𝑖𝑜𝑛] ∗ 1[𝑢𝑛𝑖𝑑𝑎𝑑 𝑐𝑜𝑡 𝑖𝑧𝑎𝑐𝑖𝑜𝑛] (3)
operativo.
Donde:
1) Variables dependientes RM Regalía Minera.
La variable dependiente está definida de la siguiente manera: PF Peso Fino en la unidad de cotización internacional del mineral o
metal.
Modelo predictivo de regalías mineras a través de técnicas CO Cotización Oficial del mineral o metal en dólares americanos.
A Alícuota del mineral o metal.
de analítica predictiva. VBV Valor Bruto de Venta.
2) Variables independientes C. Analítica predictiva
Nivel de incertidumbre de la toma de decisiones a nivel
gerencial u operativo. Según la International Business Machines Corporation
(IBM), la analítica predictiva combina prestaciones de analítica
3) Operacionalización de variables avanzada, que incluyen análisis estadístico ad-hoc, modelado
La variable independiente modelo predictivo de regalías predictivo, minería de datos, análisis de texto, optimización,
mineras, a través de técnicas de analítica predictiva, tiene como puntuación en tiempo real y machine learning. Estas
definición operacional una función matemática y/o secuencia de herramientas ayudan a las empresas a descubrir patrones en
pasos desarrollado a través de técnicas de analítica predictiva datos y a dar un paso más allá de saber qué ha ocurrido a
que predecirán el comportamiento de los valores de la regalía anticiparse a lo que probablemente ocurrirá a continuación [2].
minera. Y la variable dependiente nivel de incertidumbre de la
La analítica predictiva es una forma de análisis avanzado que
toma de decisiones a nivel gerencial u operativo, surgirá en
utiliza datos nuevos e históricos para predecir la actividad futura,
ocasiones donde no pueden asignarse probabilidades a los
el comportamiento y las tendencias. Implica la aplicación de
eventos posibles, a la hora de tomar una decisión.
técnicas de análisis estadístico, consultas analíticas y algoritmos
III. MARCO TEÓRICO automáticos de aprendizaje automático a conjuntos de datos para
crear modelos predictivos que sitúen un valor numérico o
A. Modelo predictivo puntuación en la probabilidad de que ocurra un evento particular
Según la definición de la Real Academia Española el modelo [3].
es el “esquema teórico, generalmente en forma matemática, de Entre las técnicas aplicables a la analítica predictiva se
un sistema o de una realidad compleja, como la evolución encuentran las de análisis estadístico, consultas analíticas y
económica de un país, que se elabora para facilitar su algoritmos automáticos de aprendizaje, para la creación de
comprensión y el estudio de su comportamiento”. Ríos (1995) modelos predictivos; entre estas herramientas se encuentran el
señala que “un modelo es un objeto, concepto o conjunto de modelo de regresión lineal, árboles de clasificación y regresión,
relaciones que se utiliza para representar y estudiar de forma redes neuronales y k-vecinos más cercanos entre otros.
simple y comprensible una porción de la realidad empírica”.
Árboles de decisión (clasificación y regresión): La
B. Regalía Minera metodología CART utiliza datos históricos para construir
Según la definición del diccionario de la Real Academia árboles de clasificación o de regresión los cuales son usados para
Española la regalía “es la participación en los ingresos o clasificar o predecir nuevos datos. Estos ´arboles CART pueden
cantidad fija que se paga al propietario de un derecho a cambio manipular fácilmente variables numéricas y/o categóricas. Son
del permiso para ejercerlo”. arboles de regresión cuando la variable dependiente es continua
(numérica) y árboles de clasificación cuando la variable
La Ley No. 535 de Minería y Metalurgia promulgada el 28
dependiente es cualitativa (categórica).
de mayo de 2014, en su Título VII, Capítulo I, Artículo 223
establece que la “Regalía Minera – RM, por el aprovechamiento Esta metodología consiste en tres pasos: Construcción del
de los recursos minerales y metales no renovables, es un derecho árbol saturado, escogencia del tamaño correcto del árbol y
y una compensación por su explotación”, regulada por la clasificación de nuevos datos usando el árbol construido.
Constitución Política del Estado y la mencionada ley.
K-vecinos más cercanos: K-NN (K-Nearest Neighbor) es un
Asimismo, en su Artículo 226 determina “La base de cálculo algoritmo de clasificación de aprendizaje supervisado. Este
de Regalía Minera – RM, es el valor bruto de venta, que resulta algoritmo clasifica cada nuevo ejemplo calculando la distancia
de multiplicar el peso del contenido fino del mineral o metal por de ese ejemplo con todos los del conjunto de train. La clase
su cotización oficial” [1]. predicha para este nuevo ejemplo vendrá dada por la clase a la
que pertenezcan los ejemplos más cercanos del conjunto de
Por lo mencionado anteriormente la Regalía Minera se
train, el valor de la k es el que determina en cuantos vecinos
define en base a la siguiente función:
debemos fijarnos para predecir la clase. Así, con un valor de k =
1, la clase predicha para cada nuevo ejemplo será la clase a la
𝑅𝑀(𝑃𝐹, 𝐶𝑂, 𝐴) (1)
que pertenezca el ejemplo más cercano del conjunto de train [4].
Asimismo, la fórmula definida para el cálculo de la Regalía Random forest: O Bosques Aleatorios es un método de
Minera es la siguiente: aprendizaje automático, propuesto inicialmente por Kam Ho de
Laboratorios Bell, y posteriormente desarrollado por Breiman.
𝐴 Random forest surge como combinación de las técnicas de
𝑅𝑀 = 𝑉𝐵𝑉 ∗ 100 (2)
Classification And Regression Tree (CART) y Booststrap
Aggregating (Bagging) para realizar la combinación de árboles
Y la fórmula para el Valor Bruto de Venta es: predictores en la que cada árbol depende de los valores de un
37
vector aleatorio probado independientemente y con la misma evaluación de resultados e implantación tal como se muestra en
distribución para cada uno de estos [5]. la Figura 1.
Redes neuronales: La red neuronal artificial es un algoritmo
de aprendizaje supervisado, Haykin [6] define las Redes
Neuronales Artificiales (RNAs) como un paradigma
computacional en el cual una gran cantidad de unidades de
cómputo simple (las neuronas) interconectadas en red, realizan
tareas de procesamiento de datos. Una RNA puede definirse
formalmente como un procesador paralelo y distribuido que
tiene la capacidad de almacenar conocimiento basado en la
experiencia. Además, se parece al cerebro humano en cuanto a
que el conocimiento es adquirido a través de un proceso de
aprendizaje y las conexiones entre las neuronas son usadas para
almacenar ese conocimiento.
D. Lenguaje de programación R Fig. 1. Fases metodológicas
La herramienta a utilizar en esta investigación será R, que es
un lenguaje de programación interpretado, de distribución libre, E. Técnicas de investigación
bajo Licencia GNU y se mantiene en un ambiente para el La realización del estudio implicará principalmente:
cómputo estadístico y gráfico [7].
• Análisis documental y bibliográfico relacionado con el
R proporciona una amplia variedad de técnicas estadísticas contenido y alcance de la investigación;
(modelado lineal y no lineal, pruebas estadísticas clásicas,
análisis de series de tiempo, clasificación, agrupación, ...) y • Técnica de análisis de contenido, que consiste en
técnicas gráficas, y es altamente extensible. Disponible como sistematizar la información contenida en registros
Software Libre bajo los términos de la Licencia Pública General escritos, en este caso publicaciones realizadas por el
GNU de la Free Software Foundation en forma de código Ministerio de Minería y Metalurgia en dossiers,
fuente. Compila y se ejecuta en una amplia variedad de anuarios y boletines estadísticos, la cual es organizada y
plataformas UNIX y sistemas similares (incluyendo FreeBSD y almacenada en una base de datos diseñada en
Linux), Windows y MacOS. PostgreSQL.
F. Universo o población de referencia
IV. MÉTODOS
Considerando que los parámetros de cálculo de la regalía
A. Diseño Metodológico minera están definidos para la comercialización interna y
El diseño a utilizar en el presente trabajo es no experimental, exportación de minerales, y que los minerales se clasifican en
debido a que se trabajará con información histórica de las minerales metálicos y no metálicos; en el presente trabajo de
regalías mineras; ya que según Hernández [8] la investigación investigación se manipulará únicamente información de las
no experimental es aquella que se realiza sin manipular exportaciones de minerales metálicos de gestiones 2010 a 2018.
deliberadamente variables, es decir, observar fenómenos tal y G. Muestra parametrizada
como se dan en su contexto natural, para después analizarlos.
De acuerdo a la población obtenida se tiene que desde la
B. Tipo de investigación gestión 2010 a 2018 se exportan en promedio anual 15 tipos de
El tipo de estudio de inicio será descriptivo para minerales metálicos. Según Suárez [10], afirma que la muestra
posteriormente utilizar el tipo de estudio correlacional. es un subconjunto de la población, y que sus principales
Considerando que el estudio descriptivo busca especificar características son: Representativa, Adecuada y válida.
propiedades, características y tendencias de las variables que Por lo mencionado, se obtiene el tamaño de la muestra de la
intervienen en el cálculo de la regalía minera; asociando las variable mineral aplicando la siguiente formula:
mismas al diseño del modelo predictivo lo que llevará al tipo de
estudio correlacional. 𝑁𝜎 2 𝑍 2
𝑛 = (𝑁−1)𝑒 2 (4)
C. Método de investigación +𝑁𝜎 2 𝑍 2
El método a utilizar en el presente trabajo de investigación Donde:

es el mixto, el método deductivo que parte de lo general a lo n: Tamaño de la muestra.
particular, aplicado en las técnicas de analítica predictiva a casos N: Tamaño de la población.
σ: Desviación estándar.
particulares de los minerales, y el método inductivo que va de lo Z: Nivel de confianza (1.96 al 95% de confianza).
particular a lo general, enfocado en los resultados de la e: Límite aceptable de error muestral.
aplicación de teorías a cada mineral para generalizar el modelo
predictivo a obtener. Obteniendo como resultado n = 4, se realiza un análisis
D. Fases Metodológicas adicional donde se identifica que los principales minerales que
El trabajo de investigación empleará la metodología CRISP- aportan regalías mineras a los gobiernos autónomos
DM [9] que en el contexto del proyecto comprende las departamentales y municipales del Estado son: plata, zinc, oro y
siguientes fases: comprensión del negocio o problema, análisis estaño.
y comprensión de los datos, preparación de los datos, modelado,
38
H. Delimitación mineras estaría basado en el algoritmo k- Nearest Neighbor, con

1) Delimitación geográfica: La delimitación geográfica en valores de k igual a 3,5,2 y 2 para los minerales zinc, plata, oro
y estaño respectivamente.
la investigación son las regalías mineras del Estado
Plurinacional de Bolivia. Para la fase de implantación se propone la construcción de
2) Delimitación temporal: Información de las regalías un dashboard1 en Power BI2, que permite ver gráficamente el
mineras de las gestiones 2010 a 2018. comportamiento histórico de las variables peso, cotización,
alícuota y regalía minera, tal como se observa en la Figura 2.
V. RESULTADOS
La Tabla I muestra un resumen del desempeño de los
modelos construidos con árboles de regresión, k-nearest
neighbor, random forest y redes neuronales para los minerales
zinc, plata, oro y estaño. Aplicando métricas de evaluación error
porcentual absoluto medio (MAPE), error cuadrático medio
(MSE) y R cuadrado (R2).
TABLA I. RESULTADO DE MÉTRICAS DE EVALUACIÓN DE LOS MODELOS

CONSTRUIDOS POR MINERAL
Fig. 2. Dashboard información histórica
Asimismo, se propone uno similar para mostrar las

predicciones de las regalías mineras por mineral en la Figura 3
que servirá de apoyo a la toma de decisiones.
Las técnicas de analítica predictiva empleadas en el proceso

de modelado han permitido encontrar una respuesta a las
preguntas planteadas desde la fase de conocimiento del negocio,
determinando el modelo que mejor se ajusta a los patrones de
comportamiento de la variable regalía minera para los minerales Fig. 3. Dashboard predicción de regalías mineras por mineral
zinc, plata, oro y estaño. A continuación, se expone la Tabla II,
con el resultado de la exactitud de los modelos construidos por VI. DISCUSIÓN
mineral.
A. Conclusiones
TABLA II. EXACTITUD DE LOS MODELOS POR MINERAL Se realizó la recopilación, procesamiento y análisis de
información de regalías mineras y variables que intervienen para
su cálculo, tomando como muestra 4 minerales: zinc, plata, oro
y estaño de las exportaciones de minerales.
Se desarrolló el prototipo de Modelo Predictivo de Regalías
Mineras utilizando técnicas de analítica predictiva, que
permitieron establecer el patrón de comportamiento de las
variables que componen el cálculo de la regalía minera para
reducir el nivel de incertidumbre en la toma de decisiones
Tal como se observa en la tabla precedente, los modelos
gerenciales u operativas.
construidos con K-Nearest Neighbor son los que tienen mejor
exactitud, por lo que nuestro modelo predictivo de regalías
1 2
Un dashboard es una representación visual de la información más importante Power BI es un servicio de análisis empresarial de Microsoft, proporciona
y necesaria para lograr uno o más objetivos, de forma consolidada y organizada información detallada para permitir la toma de decisiones rápidas e informadas
en una sola pantalla [11]. a través de las visualizaciones interactivas y capacidades de inteligencia
empresarial [12].
39
Se procedió a la validación del modelo (prototipo) con el REFERENCIAS

método de validación cruzada de k-fold cross validation y
[1] E. P. d. Bolivia, Ley Nº 535 de Minería y Metalurgia, 2014.
métricas de evaluación (error absoluto medio, error cuadrático
[2] IBM, «Analítica Predictiva,» [En línea]. Available:
medio y R cuadrado), con el objetivo de evaluar los resultados https://www.ibm.com/es-es/analytics/predictive-analytics.
obtenidos en la aplicación de técnicas de analítica predictiva.
[3] M. Rouse, «Tech Target,» Abril 2017. [En línea]. Available:
Se construyeron modelos predictivos con base en árboles de https://searchdatacenter.techtarget.com/es/definicion/Analitica-
decisión, k-nearest neigbor, random forest y redes neuronales, predictiva-o-analisis-predictivo.
de los cuales se obtuvo el modelo con mejor desempeño que fue [4] Berastegui A. G. y Galar I. M., «Implementación del algoritmo de los k
el construido con k-nearest neigbor. vecinos más cercanos (k-NN) y estimación del mejor valor local de k
para su cálculo,» Pamplona, 2018.
B. Recomendaciones [5] J. Alarcón, «Modelos de minería de datos: random forest y adaboost,
para identificar los factores asociados al uso de las TIC (internet,
En cuanto a recomendaciones que surgen del presente telefonía Fija y televisión de paga) en los hogares del Perú. 2014,»
trabajo se tendría las siguientes: 2017. [En línea]. Available:
https://cybertesis.unmsm.edu.pe/bitstream/handle/cybertesis/7404/Ala
• Implementar técnicas de analítica predictiva en rcon_fj.pdf?sequence=3&isAllowed=y.
diferentes campos de estudio.
[6] S. Haykin, Neural Networks: A Comprehensive Foundation, Prentice-
• Desarrollar e implantar modelos predictivos en otros Hall, 2007.
campos de estudio con muestras cuantitativas [7] Santana S., Farfán E., «El arte de programar en R: un lenguaje para la
relacionadas a cambios temporales utilizando estadística,» 27 Noviembre 2014. [En línea]. Available: https://cran.r-
project.org/doc/contrib/Santana_El_arte_de_programar_en_R.pdf.
herramientas informáticas como R, Python, Power BI,
[8] Hernández, R., Fernández, C. y Baptista M. P., Metodología de la
Tableau y otras tecnologías informáticas relacionadas. Investigación, México: Mc Graw Hill, 2010.
C. Discusión [9] IBM Corporation, «Guía de CRISP-DM de IBM SPSS Modeler,» 1994-
2019. [En línea]. Available: https://www.ibm.com/support/
Por lo antes expuesto, se acepta la hipótesis de que el knowledgecenter/es/SS3RA7_sub/modeler_crispdm_ddita/clementine/
desarrollo de un modelo predictivo de regalía mineras a través crisp_help/crisp_modeling_phase.html.
de técnicas de analítica predictiva reduce el nivel de [10] M. Suárez, Interaprendizaje Holístico de Matemática, Quito-Ecuador,
incertidumbre en la toma de decisiones a nivel gerencial u 2004.
operativo. Considerando que, de los modelos construidos, [11] D. Martínez, «Metodología para el diseño de Dashboards orientado
aplicando las técnicas de modelado predictivo: árboles de hacia el registro de evidencias en el proceso de evaluaciones
decisión, k-nearest neigbor, random forest (bosques aleatorios) institucionales,» 24 Julio 2017. [En línea]. Available:
y redes neuronales, permiten obtener el modelo con mejor https://reunir.unir.net/bitstream/handle/123456789/6171/MARTINEZ
exactitud en relación a las otras técnicas mencionadas, con la %20ROBALINO%2C%20DANIEL%20ANDRES.pdf?sequence=1&i
sAllowed=y.
construcción K-Nearest Neighbor se podrá realizar la mejor
[12] Microsoft Power BI, «Power BI,» 2019. [En línea]. Available:
predicción a futuro del valor de la regalía minera. https://powerbi.microsoft.com/es-es/.
Carla Gabriela Calisaya Choque es Licenciada en Informática con mención en Ingeniería de Sistemas Informáticos por la
Universidad Mayor de San Andrés. Actualmente realiza la Maestría en Alta Gerencia en Tecnologías de la Información y
Comunicaciones e Innovación para el Desarrollo (MAG-TIC) del Postgrado en Informática de la UMSA.
Ejerce profesionalmente como Analista de Sistemas de Información en la Autoridad Jurisdiccional Administrativa Minera. Trabajó
en el Servicio Nacional de Registro y Control de la Comercialización de Minerales y Metales como Administradora de Base de
Datos.
Es miembro del WiDS La Paz (Women in Data Science La Paz). Entre sus intereses investigativos están el Análisis de Datos,
Machine Learning y la Ciencia de Datos. Email: carla.calisaya24@gmail.com
40
Redes Neuronales para la identificación

de competencias legisladas
Carlos Gabriel Oblitas Villegas
La Paz - Bolivia
oblitasss@gmail.com
Resumen—El modelamiento de tópicos es un campo del territoriales autónomas y por el nivel central del Estado, en
Procesamiento del Lenguaje Natural, que permite categorizar relación con el régimen autonómico. Por lo que haciendo uso de
textos en distintos temas (tópicos), mediante algoritmos de manera los datos públicos de dicha entidad se analizaron 17.835 normas,
supervisada y no supervisada. En la presente investigación se las cuales incluyen información de las competencias legisladas,
tratará la categorización de la normativa boliviana de los y el GA. La definición de competencia según el SEA es: “Las
gobiernos autónomos (GA), de acuerdo a las competencias Competencias son la titularidad de atribuciones ejercitables
asignadas a los GA por la Constitución y la Ley Marco de respecto de las materias determinadas por la Constitución
Autonomías. De esta manera se utilizó word2vec para identificar
Política del Estado y la Ley Marco de Autonomías y
el espacio semántico de los textos a clasificar y los algoritmos LDA
Descentralización” [1].
y LSTM para el modelado de tópicos. Para mejorar los resultados
obtenidos por el LDA, se buscó el número óptimo de tópicos, y se La importancia del análisis de la normativa en función de sus
utilizó el algoritmo LDA Guiado basado en los datos de una competencias, se basa en que, el ejercicio de la autonomía
clasificación manual previa, para extraer información depende fundamentalmente del ejercicio efectivo de las
significativa que permita hallar la competencia legislada en la competencias por parte del nivel central del Estado y las
normativa boliviana. Además, este estudio realizó una evaluación entidades territoriales autónomas, pues de esta manera la
de la precisión de los algoritmos utilizados para realizar esta asignación competencial se convierte en política pública y por
clasificación.
ende, en beneficios para la población.
Palabras clave—NLP, Text mining, doc2vec, LDA, LSTM II. MARCO TEÓRICO
I. INTRODUCCIÓN El Procesamiento del Lenguaje Natural - PLN es definido
La anterior Constitución Política del Estado (CPE) otorgaba como: "un rango de técnicas computacionales motivadas
la potestad de legislar únicamente al nivel nacional a través del teóricamente para analizar y representar textos naturales en uno
Congreso de la República. Sin embargo, a partir del 7 de febrero o más niveles de análisis lingüístico con el fin de lograr un
de 2009, la actual Constitución de Bolivia otorga, en su Artículo procesamiento de lenguaje similar al humano para una variedad
272°, la facultad de legislar a todos los Gobiernos Autónomos de tareas o aplicaciones" [2]. En esta definición, se puede
(GA), a través de sus Órganos Deliberativos, quienes pueden encontrar que el objetivo a lograr es el “procesamiento de
ahora establecer normas de acuerdo a las competencias que les lenguaje similar al humano”, introduciendo el hecho que las
fueron asignadas, mediante la nueva CPE y la Ley Marco de raíces del PLN, se encuentran en la Inteligencia artificial.
Autonomías y Descentralización. Actualmente para el PLN existen algunos algoritmos basados en
Inteligencia Artificial que serán utilizados en la presente
A nueve años de la vigencia de la nueva Constitución, la investigación.
cantidad de normativa promulgada por los 348 GA (337
Municipios, 9 Departamentos y 3 Autonomías Indígenas), es A. Paragraph Vector (doc2vec)
extensa y aumenta dramáticamente cada día. Un control El algoritmo doc2vec es una red neuronal basada en
importante previsto en la nueva Constitución, para evitar que word2vec, el cual permite encontrar la representación de
ocurran conflictos en la normativa de los diferentes GA, es la palabras en un vector de n-dimensiones, de acuerdo a las
asignación competencial, sin embargo, es necesario que toda la frecuencias y un análisis del contexto (a partir de las cercanías
normativa sea analizada para evaluar el progreso que tienen los de palabras), lo cual permite mapear la semántica de palabras,
GA en normar las competencias que les fueron designadas. En en un espacio n-dimensional, haciendo posible posteriormente
este artículo, se expone el trabajo de análisis de la normativa utilizar operaciones como la distancia del coseno para encontrar
promulgada por los GA, utilizando técnicas de minería de textos sus relaciones semánticas. De acuerdo a Mikolov [3], doc2vec
e Inteligencia Artificial, para evaluar el grado de avance de los es “un algoritmo no supervisado que aprende características de
GA en su desarrollo. longitud fija a partir de fragmentos de textos de longitud
variable, como oraciones, párrafos y documentos”, que a
El Servicio Estatal de Autonomías (SEA), tiene la facultad diferencia de word2vec, aprende las características a partir de
de acuerdo al artículo 129 PIII, de la Ley Nacional 031, de palabras en una ventana fija.
administrar un registro de normas emitidas por las entidades

[N] C. Oblitas, «Redes Neuronales para la identificación de competencias legisladas», Revista PGI.
41
B. Latent Dirichlet Allocation (LDA) a las competencias legisladas de cada una de ellas, teniendo
El modelado de temas (topic modeling) descubre como base el análisis previo llevado adelante por los abogados
automáticamente los temas ocultos de los documentos dados. El de dicha entidad (alrededor de 7 mil normas analizadas), es
enfoque del modelado de temas considera cada documento importante mencionar que dicho análisis es costoso en tiempo
como una colección de temas y cada tema como una colección pues se requiere la lectura de cada ley para su análisis. Para la
de palabras clave, una aproximación inicial a los temas, sería clasificación de la situación semántica de una competencia, se
que con solo mirar las palabras clave, debería poderse identificar aplicaron los algoritmos de LDA y LDA Guiado para encontrar
de que trata el tema. la asociación de documentos. Además, este estudio realizó una
evaluación del desempeño de la precisión del modelado de
Una variación de este algoritmo (Guided LDA), es la temas, basado en redes neuronales LSTM y su eficiencia,
incorporación de “palabras semilla” (seed words ó prior words) examinando la efectividad del método propuesto. Los pasos
a los tópicos, con lo cual es posible guiar al algoritmo a seguidos en la presente investigación fueron:
encontrar ciertos tópicos buscados, pues el LDA, encuentra
tópicos sin supervisión. De acuerdo a Andrzejewski and Zhu [4], a) Conversión de los PDFs de normas a Imágenes por página
estas palabras semillas son identificadas de forma manual (Wand y PIL).
mediante la sistematización realizada por un experto, sin b) Optimización de imagen de cada hoja de los PDFs y
embargo en esta investigación seleccionaremos priors de aplicación de filtro binario, para separar el fondo del texto.
acuerdo a las fórmulas de Ganancia de Información y Entropía c) Aplicación de OCR sobre las imágenes procesadas, para la
de acuerdo a lo sugerido por Jagadeesh [5]. generación de textos en un archivo Pickle (PyTesseract).
C. Long-Short Term Memory (LSTM) d) La etapa principal de pre procesamiento, el tokenizado, la
eliminación de stopwords y la lematización del texto.
Esta red neuronal es un tipo de Red Neuronal Recurrente, (NLTK, Gensim).
con la diferencia que las redes recurrentes, van olvidando en su
e) Generación de un diccionario con palabras utilizadas.
estado la historia más lejana (problema del vanishing gradient),
por lo cual este tipo de red, permite recordar en su f) Identificación de tópicos con LDA y pruebas de
entrenamiento, en su estado actual historias lejanas. Los LSTM coherencia.
están diseñados explícitamente para evitar el problema de g) Identificación de palabras clave, para LDA Guiado y
dependencia a largo plazo. Recordar información durante largos pruebas de coherencia.
períodos de tiempo es prácticamente su comportamiento h) Implementación de red neuronal LSTM, para
predeterminado. categorización de competencias y pruebas de exactitud.
De acuerdo con Olah [6]LSTM puede entenderse Los anteriores pasos se encuentran enmarcados en el proceso
considerando tratar de predecir la palabra en el texto "Crecí en estándar existente para la minería de textos CRISP-DM, que
Francia, hablo ------- con fluidez". La información reciente divide el proceso de Descubrimiento de Conocimiento (KD) en
sugiere que la palabra a predecir, es probablemente el nombre cinco partes: comprensión de datos, selección de datos, limpieza
de un idioma, pero si queremos deducir a qué idioma se refiere, de datos, modelado de datos y evaluación [8].
necesitamos considerar el contexto: “Francia”, que está en un
estado anterior. Es completamente posible que la brecha entre la IV. RESULTADOS
información relevante y el punto donde se necesita sea muy A. LDA
grande. Los LSTM están diseñados explícitamente para evitar el
problema de dependencia a largo plazo. Un primer acercamiento al algoritmo LDA, fue la
generación de tópicos y palabras clave para 274 tópicos, a fin de
III. METODOLOGÍA poder enlazar posteriormente cada tópico con las competencias,
Dado que el objetivo del estudio es clasificar la normativa de sin embargo, se pudo ver que la identificación de un tópico y
acuerdo a las competencias legisladas por los Gobiernos asignación a una o varias competencias, era un proceso manual
Autónomos, se recurrirá a un diseño no experimental que se muy complicado pues muchos de los tópicos tienen palabras
aplicará de manera longitudinal, a través de las gestiones, a partir duplicadas, con espacios semánticos muy similares. En la Tabla
del 2010. 1 se puede ver palabras clave identificadas de los 274 tópicos,
en las que se puede encontrar palabras comunes (como gestión)
La investigación no experimental es aquella que se realiza por lo que se encuentran en espacios semánticos muy cercanos.
sin manipular deliberadamente variables. Es decir, es
investigación donde no hacemos variar intencionalmente las TABLA I. TÓPICOS PALABRAS SIMILARES (7 PALABRAS POR CADA TÓPICO).
variables independientes. Lo que hacemos en la investigación no
Tópicos Keywords
experimental es observar fenómenos tal y como se dan en su
contexto natural, para después analizarlos. Como señala 1 Anual, operativo, plan, presupuestar, gestión, gasto, según…
Kerlinger: “La investigación no experimental o expost-facto es Documentar, detallar, consignar, aprobar, anual, operativo,
18
cualquier investigación en la que resulta imposible manipular gestión…
variables o asignar aleatoriamente a los sujetos o a las ··········
condiciones” [7]. De hecho, no hay condiciones o estímulos a Propiedad, gestión, proponente, habilitar, gabinete, Teófilo,
los cuales se expongan los sujetos del estudio. Los sujetos son 57
reconstrucción…
observados en su ambiente natural, en su realidad. Cualquier, propiedad, gestión, organigrama, habilitar,
145
Para el presente estudio se procesó la información textual recontratación, subalcaldesa…
proveniente de las normas recopiladas en formato PDF por el 274
Presupuestaria, ley, programar, traspasar, anual, gestión,
SEA de los GA a partir del 2010, a fin de categorizar de acuerdo incrementar…
42
De los tópicos anteriores se puede ver que los mismos tienen utilizó la entropía y ganancia de información basados en la
en muchos casos palabras similares o duplicadas, por lo que la matriz de ocurrencias de las normas, de acuerdo a lo
identificación incluso por parte de un ser humano es muy difícil, recomendado por Jagadeesh [5].
ya que todos ellos se encuentran en espacios semánticos muy
cercanos, lo que se pudo evidenciar al hacer una visualización Para la matriz de ocurrencias se generó 4452 columnas (el
en dos dimensiones mediante pyLDAvis (Figura 1). vocabulario sin stopwords) y 274 filas (las competencias), donde
en cada celda se colocaba la cantidad de veces que la palabra
aparece en todas las normas que legisla sobre cierta
competencia. Del procesamiento de dicha matriz, se consiguió
armar un listado de palabras clave inicial (Tabla 2), que fue a
alimentar el algoritmo LDA Guiado, con las palabras semilla
encontradas.
TABLA II. ALGUNOS TÓPICOS IDENTIFICADOS MEDIANTE ENTROPÍA Y

GANANCIA DE INFORMACIÓN
Topic Keywords
Ademaf, administrativa, anh, comando, delincuencia,
1
administrativa, …
Arquitectura, huerta, momento, Pérez, agricultor, bimestral,
2
convención, …
Artesanía, censo, conamaq, despoblamiento, confederación,
4
núcleo,…
Atendió, burocracia, defunción, demográfico, divorcio,
5
matrimonio…
Tic, electromagnéticas, radiodifusión, radio, telefonía, antena,
6
soporte, …
…
Fig. 1. Espacio semántico para 277 tópicos
A partir, de las palabras semilla introducidas en el algoritmo
De acuerdo a la figura 1 y la Tabla 1 se puede evidenciar que LDA, se pudieron identificar de mejor manera las competencias,
los espacios semánticos son muy cercanos y en muchos casos sin embargo, al momento de realizar la prueba de coherencia del
sobrepuestos, lo cual es demostrado en las palabras similares modelo, se vio que la perplejidad bajo, del 47% usando LDA, al
encontradas en varios tópicos, por lo que se buscó hacer correr 45% usando las palabras clave identificadas en el algoritmo
el algoritmo LDA, de 2 a 280 tópicos, y encontrar el mejor índice LDA Guiado.
de coherencia para la cantidad de tópicos, de acuerdo a los textos
de las normas procesados. El índice de coherencia, sirve para C. LSTM
indicar que tan seguro se encuentra el modelo para realizar sus Para el caso de la categorización de 274 competencias de la
predicciones, y de acuerdo a lo encontrado la mejor coherencia normativa analizada, se desarrolló un modelo de red neuronal
para la cantidad de textos procesados de las normas, es de 277 LSTM Multivariable, procesando el vocabulario de entrada por
tópicos, sin embargo, existe una gran cantidad de clusters muy identificador de palabra (id). Se analizó todas las entradas y los
cercanos, con pocas coincidencias, lo cual puede evidenciarse párrafos de entrada ya etiquetados con las competencias,
en los espacios semánticos graficados. correspondientes a 7144 ejemplos, haciendo el mismo pre
procesado de tokenización, eliminación de stopwords y
lematización, llegando a un vocabulario de 4452 palabras. Se
hizo un barrido para determinar la cantidad máxima de palabras
por ejemplos, a fin de determinar el tamaño máximo de entrada
a la Red Neuronal, obteniendo un máximo de entrada de 76
palabras de solo corpus. A partir de esto se generó una matriz de
7144 x 76, como entrada X y una matriz de 7144 x 274, como
ejemplos etiquetados para la matriz Y.
Mediante el algoritmo LSTM, utilizando
categorical_crossentropy, con 70% de los ejemplos para
training y 30% para test, se alcanzó un 91% de accuracy en 100
epoch (Figura 3).
Fig. 2. La mejor coherencia está en los 277 tópicos
B. LDA Guiado
Al observar que la coherencia del modelo LDA para 274
tópicos aún era baja y que además los tópicos encontrados no
representaban las competencias sobre las cuales se requiere
categorizar las normas, se decidió utilizar LDA Guiado, para
encontrar las competencias de mejor manera. Para esta tarea, se
43
Una de las razones de estos resultados es que los datos de

entrada son relativamente bajos a los requeridos por algoritmos
que usan vectorización de palabras, para la identificación de
espacios semánticos, como lo son LDA y el LDA Guiado.
En base a los resultados obtenidos en el presente estudio el
Servicio Estatal de Autonomías registrará el análisis de normas
de acuerdo a la información generada por el modelo desarrollado
y se modificará también el registro normativo, incluyendo el
texto de la norma, a fin de evitar errores al momento de procesar
las normas mediante OCR. Además, con esta información
sistematizada, se espera que se empiecen a realizar análisis sobre
las competencias legisladas, a fin de conocer los avances en el
desarrollo de los GA, pues las competencias son materializadas
en la prestación de servicios a la sociedad, mediante el
Fig. 3. La curva de exactitud alcanza al 90% en 100 epochs establecimiento de políticas públicas en la normativa.
V. DISCUSIÓN REFERENCIAS
De acuerdo a los resultados obtenidos por los algoritmos
(Tabla 3), el mejor algoritmo para el análisis de las normas en [1] S. Durán, «Cartilla Ejercicio de Competencias,» Servicio Estatal de
base a las 274 competencias del presente artículo, fue la red Autonomías, La Paz, 2012.
neuronal LSTM con un 91% de precisión. Una de las razones [2] D. Ferati, «Text Mining in Financial Industry Implementing Text Mining
para este resultado, fue la gran cantidad de tópicos a catalogar Techniques on Bank Policies,» Utrecht, Netherlands, Utrecht University,
(274 competencias), esto se puede evidenciar en el hecho de que 2017.
normalmente las palabras clave para los tópicos a categorizar [3] Q. Le y T. Mikolov, Distributed Representations of Sentences and
son sugeridas por un experto en el área a modelar [4], sin Documents.
embargo el hacerlo para el presente estudio sería una labor muy [4] D. Andrzejewski y X. Zhu, Latent Dirichlet Allocation with Topic-in-Set
ampulosa para un experto, pues la elección de palabras para los Knowledge, Wisconsin: Association for Computational Linguistics, 2009.
tópicos sería muy compleja, y más considerando que se [5] J. Jagadeesh, D. I. Hal y U. Raghavendra, Incorporating Lexical Priors
recomienda no repetir palabras para cada tópico [5], es por esa into Topic Models, Maryland: Association for Computational Linguistics,
2012.
razón que se utilizó la ganancia de información, como el método
[6] C. Olah, «Christopher Olah's Blog,» GitHub Pages, 27 August 2015. [En
de identificar palabras clave, sobre la matriz de ocurrencias.
línea]. Available: https://colah.github.io/posts/2015-08-Understanding-
LSTMs/. [Último acceso: 15 10 2019].
TABLA III. RESULTADOS ALCANZADOS CON LOS ALGORITMOS UTILIZADOS
[7] Kerlinger, La investigación del comportamiento, México: Interamericana,
Algoritmo Resultados 1979.
[8] R. Wirth, CRISP-DM: Towards a Standard Process Model for Data,
LDA 49%
Manchester, UK: Conference on the Practical Applications of Knowledge
Guided LDA 45% Discovery and Data Mining, 2000.
LSTM 91%
Breve CV del autor

Carlos Gabriel Oblitas Villegas es Licenciado en Informática por la Universidad Mayor de San Andrés (La Paz, 2005). Actualmente
realiza la Maestría de Gerencia Estratégica de Sistemas de Información GETSI del Postgrado en Informática UMSA.
Ejerce profesionalmente en la Unidad de Análisis Económico Financiero del Servicio Estatal de Autonomías.
Publicó el artículo “Redes Neuronales para la identificación de competencias legisladas”, PGI-Review Nro 7, Postgrado en
Informática UMSA, La Paz 2019.
Sus intereses investigativos incluyen Ciencia de Datos, Aprendizaje de Maquina y Procesamiento del Lenguaje Natural.
Email: oblitasss@gmail.com.
44
Modelo Multiagente para la prevención de riesgo

operativo de tipo fraude interno en IFDs
Carmen Rosa Mollinedo Laura
La Paz - Bolivia
carmenrosamollinedo@gmail.com
Resumen—La gestión de riesgo operativo es un proceso disminuir el tiempo entre el inicio del evento riesgoso y su
complejo en toda organización. Particularmente, el tratamiento de detección, para poner medidas más o menos inmediatas [4].
eventos de fraude interno (evento de riesgo operativo) en
Instituciones Financieras de Desarrollo (IFD), es una actividad La prevención de eventos de fraude interno (FI) requieren el
que repercute en la necesidad de plantear soluciones cada vez más conocimiento de expertos, quienes analizan e identifican
innovadoras, que permitan aplicar el conocimiento de expertos y patrones de comportamiento que salen de la norma y que
aplicar soluciones que respondan a normativas y recomendaciones podrían repercutir en eventos de FI. No obstante, el crecimiento
nacionales (Ley de Servicios Financieros) e internacionales de las IFDs conlleva crecimiento poblacional del personal, de
(Basilea). En el presente artículo se plantea un modelo, como base los clientes, la tecnología y crecimiento de las necesidades de
referencial, que permita a profesionales en ciencias de la prevención. En la actualidad, los sistemas de información
computación la incorporación de Sistemas Multiagente en el implementados (SIRO) contienen datos importantes acerca de
desarrollo de sistemas de gestión de riesgo operativo de tipo fraude los procesos y comportamientos del personal ante estos eventos.
interno. Las IFD principales en nuestro medio son: Promujer,
Crecer y Diaconía. La investigación se realizó con datos de las En el último año, el desarrollo tecnológico en las IFD se ha
publicaciones de Finrural y la ASFI, acerca de las IFD impulsado de manera considerable, gracias a la pandemia. El
mencionadas y los resultados se validaron mediante encuestas a desarrollo e implementación de la Automatización Robótica de
personal con experiencia en Sistemas, Riesgos y Operaciones en Procesos (RPA) es cada vez más común. Sin embargo, no se
IFD. encontraron desarrollos basados en agentes, aplicados a la
gestión integral de riesgo operativo.
Palabras clave—riesgo operativo, fraude interno, normativa,
modelo, sistema multiagente En el presente estudio se plantea la incorporación de agentes
software, como parte del proceso de gestión de riesgo operativo.
I. INTRODUCCIÓN Para el planteamiento, se utiliza la concepción de Wooldridge y
Las Instituciones Financieras de Desarrollo o IFD, son Jennings, quienes definen agente como “un programa
entidades de intermediación financiera no bancaria incorporadas autocontenido capaz de controlar su proceso de toma de
al ámbito de la Ley de Bancos y Entidades Financieras mediante decisiones y de actuar, basado en la percepción de su ambiente,
la Resolución de la Superintendencia de Bancos y Entidades en persecución de uno o varios objetivos” [5]. Se plantea
Financieras Nº SB 034/2008 y que están organizadas como también un sistema de agentes colaborativos, es decir, sistemas
Asociaciones o fundaciones civiles sin fines de lucro [1]. con más de un agente dedicado a satisfacer los requerimientos
Las IFD, se caracterizan por trabajar en el área urbana, peri- de sus usuarios.
urbana y rural, y operan con tecnologías financieras acordes a Un sistema multiagente es aquel sistema que permite la
las condiciones económicas de los usuarios. La ASFI, gestiona gestión inteligente de otro sistema complejo, coordinando los
la central de información de riesgo operativo (CIRO). distintos elementos que lo componen e integrando los objetivos
La Gestión de Riesgo Operativo (GRO) es el proceso particulares de cada subsistema en un objetivo común.
estructurado, consistente y continuo para identificar, medir, El esquema de comunicación que se plantea para la Gestión
monitorear, controlar, mitigar y divulgar el riesgo operativo al de Riesgo Operativo de tipo Fraude Interno (GROFI) es el de
cual la entidad supervisada se encuentra expuesta [2]. Cuando pizarra multicapa.
un procedimiento no es desarrollado como fue definido, o el
personal actúa de forma intencionada, para apropiarse de bienes II. MODELO MULTIAGENTE FRAUDE INTERNO
de la institución financiera, se denomina fraude interno. El modelo se compone de: definición del ciclo de gestión de
Los eventos de fraude interno (FI) han mostrado en los riesgo operativo, definición formal del agente y diseño del
últimos años la fragilidad del sistema financiero [3] y la esquema de comunicación entre agentes.
necesidad de incorporar soluciones cada vez más innovadoras. A. Ciclo de gestión de riesgo operativo
Los eventos de fraude interno, generalmente se detectan de
forma reactiva y posterior al hecho. Las auditorías constituirían Como resultado del relevamiento de información y con
una aproximación más proactiva, como medio de análisis para ayuda de los especialistas en el área, se plantea en la Figura 1, el

[N] C. Mollinedo, «Modelo Multiagente para la prevención de riesgo operativo de tipo fraude interno en
IFDs», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 45-47, 2020.
45
ciclo de vida para la Gestión de Riesgo Operativo de tipo Fraude III. PROTOTIPO DEL SISTEMA
Interno (GROFI). Se desarrolló el prototipo aplicando la metodología GAIA
(metodología para el diseño de sistemas multiagente) y se pone
especial énfasis en el diseño del agente identificador, puesto que
la identificación del evento de riesgo se considera como el
proceso más complejo:
A. Diagrama de agentes
TABLA I. DIAGRAMA DE AGENTE IDENTIFICADOR
Agente Identificador
Descripción
Lleva a cabo las tareas de búsqueda de posibles eventos de riesgo de tipo
Fig. 1. Ciclo de gestión de riesgo operativo Fraude Interno.
Accede a las transacciones del SIRO, al registro de Inventario de procesos
B. Definición formal del agente y al histórico de fraudes y a los resultados de la evaluación del personal
El sistema multiagente propuesto se representa como una n- para generar información de posibles eventos de Fraude Interno.
tupla: Roles
SMAFI = (E, C, A, R, Op, L) (1) Identificador de posibles eventos de riesgo de tipo Fraude Interno
Que se define como: Servicios
- Recopilación de eventos de riesgo (revisión de transacciones del
E: Entorno interno de la institución. E se caracteriza teniendo en cuenta las
sistema)
características del entorno propuestas por Russell y Norvig (2008) por ser
- Recopilación de posibles eventos de riesgo de los diferentes procesos
parcialmente observable y no determinístico. El entorno está compuesto por:
financieros (registros del SIRO y transacciones del Core Financiero)
• Core financiero
• Sistema de Información de Riesgo Operativo de tipo Fraude Interno - Revisión de denuncias de posibles eventos de riesgo
• Sistema administrativo - Registro de posibles eventos de riesgo identificados en las revisiones de
C: Base de conocimiento las áreas de control
A: es el conjunto de agentes que participan en la GROFI. - Revisar fraudes históricos
• Agente identifica Creencias
• Agente medición - Inventario de procesos - SIRO
• Agente divulgación - Fraudes históricos - Base de conocimientos
• Agente mitiga - Evaluación de personal
Cada agente trabajara con las instancias y conceptos de C con el fin del logro de
Deseos
sus objetivos y los del sistema en general.
- Identificar posibles eventos de Riesgo Operativo de Fraude Interno
C. Comunicación Intenciones
- Generar la Matriz de Riesgos
Para la comunicación entre agentes se usa el esquema de
- Generar la trazabilidad de acciones susceptibles de riesgo del personal
comunicación pizarra, tal y como se describe en la figura 2.
- Registro de eventos en la pizarra
TABLA II. DIAGRAMA DE AGENTE MEDIDOR DE RIESGOS
Agente medidor de riesgos

Descripción
El Agente cuantifica los niveles de riesgo a los que está expuesto la IFD,
realizando la medición de frecuencia e impacto de pérdidas que podrían
ocurrir, como consecuencia de la materialización de los eventos adversos.
Fig. 2. Esquema pizarra Roles
Medidor de niveles de RO
Un esquema de comunicación pizarra es considerada como Servicios
un paradigma de comunicación, cuya estructura consta de tres - Cuantificación de pérdidas por Riesgo Operativo de Fraude Interno
componentes principales: la pizarra, un conjunto de fuentes de - Medición de frecuencia e impacto de los eventos de RO
conocimiento (KSs, Knowledge sources) y un mecanismo de Creencias
control. La pizarra es una base de datos global (compartida por - Pizarra - Base de conocimientos
todas las KSs) que contiene datos e hipótesis (soluciones - Estados Financieros - Límites financieros
parciales potenciales). Se suele estructurar la pizarra en niveles, - Apetito de riesgo
asociando clases de hipótesis a un nivel, y las hipótesis suelen Deseos
estar ligadas a hipótesis de otro nivel [5]. - Medición confiable y útil de los niveles de RO
Este esquema permite que los agentes logren sus objetivos Intenciones
de forma independiente, registrando en la pizarra los eventos - Lectura de eventos en la pizarra - Lectura de Base de conocimientos
posibles (identificación), evaluarlos (medición), proponer - Lectura de Estados Financieros - Lectura de Limites Financieros
- Lectura del apetito de Riesgo - Cálculos del impacto
estrategias y elabora la matriz de riesgos (control) y aplicar las
- Medición de frecuencias
estrategias (mitigación).
46
Se denomina PNP al conjunto de Documentos de las cada una de las etapas del modelo: respuesta a los objetivos,
Políticas Normas y Procedimientos detallados donde los completitud del ciclo de vida, integración, validaciones,
funcionarios de la IFD acuden en caso de ocurrir posibles exactitud, comunicación, entorno dinámico, pedagogía,
eventos de Riesgo Operativo. evolución y mejora. Los resultados obtenidos se ven en la fig. 4:
B. Modelo de roles
En el modelo de roles se documenta los roles que ocurren en Mejora
el sistema, permisos y responsabilidades, también se identifica Evolución
los protocolos y actividades. Pedagogía
Entorno dinámico
TABLA III. DIAGRAMA DE ROLES, AGENTE IDENTIFICADOR Comunicación
Diagrama de rol: Exactitud
Identificador de posibles eventos de riesgo de tipo Fraude Interno Validaciones
(IPER_FI) Integración
Descripción: Completitud del ciclo de vida
Consiste en leer transacciones, evaluación de personal y eventos de Respuesta a los objetivos
riesgo del SIRO (eventos plasmados) que según la base de 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1
conocimiento de fraude interno tienen probabilidad de repercutir en
eventos, dado que existe un patrón de comportamiento, establecimiento Fig. 4. Resultados de la valoración del modelo propuesto
de pautas anómalas de fraude interno, aquellos con ranking alto
(sospechosas) serán registrados en la pizarra. Como se puede apreciar en la figura 4, los resultados son
Protocolos y actividades: alentadores.
Evalúa-Transacción, Compara-Inventario, Compara-Histórico-
EventosFraude, Evalúa-Caso, Registra-Pizarra Permisos Lectura- V. DISCUSIÓN
Transacción, Lectura-Inventario, Lectura-HistóricoEventos, Escritura- Es prácticamente imposible que un ser humano pueda
Pizarra, Lee-Base_Conocimientos monitorizar la actividad de cualquier organización en tiempo
Responsabilidades: Viveza real [6]. Los Sistemas Multiagente, proveen una alternativa que
IPER-FI = (((Lectura-Transacción. Compara-Inventario) permite apoyar el proceso de prevención de fraude,
w|(LecturaTransacción. Lectura-Histórico-Eventos) w). principalmente desde la identificación del riesgo.
Evalúacaso) | Registra-Pizarra Particularmente las IFDs son instituciones en crecimiento y a
Seguridad pesar de que su tecnología aún no alcanza la magnitud ni
El registro en pizarra se realiza siempre y cuando exista un positivo de organización de las financieras, las posibilidades de Riesgo
comparación entre la transacción leída y la comparación. Operativo de tipo Fraude Interno son latentes y requieren
atención oportuna.
C. Modelo de relaciones
No obstante, no todas las variables son controlables, aún
El Modelo de Relaciones contiene los posibles enlaces de existe mucho por investigar y solucionar respecto al
comunicación existentes entre los diferentes tipos de agentes comportamiento de las personas.
dentro del MMA GIRO. En la figura 3 se puede apreciar la
relación entre los agentes propuestos, donde la principal tarea la REFERENCIAS
ejerce el agente encargado de gestionar la pizarra. [1] Finrural (2019). Nuestras socias. Recuperado de
https://www.finrural.org.bo/nuestras-socias.php.
[2] ASFI, Autoridad de Supervisión del Sistema Financiero de Bolivia
(2015). “Normas para servicios financieros”.sa diciembre de 2015.
http://servdmzw.asfi.gob.bo/circular/circulares/ASFI_358.pdf
[3] López, O. (2018), “De riesgos operativos y operativos, el desafío
boliviano”, Agencia de Noticias Fides, (21 23).
[4] Jennings, N.; Wooldridge, M. Agent Technology - Foundations,
Applications, and Markets. Springer-UNICOM. 1998.
[5] Dalmau Espert, Juan (2015), “Sistema multiagente para el diseño,
ejecución y seguimiento del proceso de planificación estratégica ágil en
las organizaciones inteligentes” (Doctorado en Informática Avanzada).
Fig. 3. Diagrama de relaciones Universidad de Alicante, España.
[6] Tomás y Valiente, F. Instituto de Ingeniería del Conocimiento. Machine
IV. RESULTADOS Learning para detectar el fraude interno. Junio 2019.
Para evaluar la eficiencia de la solución propuesta se

encuestó a profesionales con experiencia en desarrollo de
aplicaciones en IFD. Se plantearon los siguientes criterios en
Carmen Rosa Mollinedo Laura es Licenciada en Informática por la Universidad Mayor de San Andrés (La Paz, 1999).
Email: carmenrosamollinedo@gmail.com.
47
Proyecto de Sistema de Recomendación de Filtrado

Colaborativo basado en Machine Learning
Cesar Enrique Pita Perez
La Paz – Bolivia
cesar.aapv@gmail.com
Resumen—En el presente trabajo se describe conceptos de algún mecanismo que les permita conocer los gustos y
sistemas de recomendación, machine learning y la aplicación de preferencias de sus clientes y/o usuarios.
estas tecnologías en diferentes áreas. Se realiza un estudio del
estado del arte sobre los sistemas de recomendación y se presenta Los sistemas de recomendación surgen como una respuesta
el diseñó de la investigación. a estas necesidades, estos sistemas recopilan datos que son
ingresados por los usuarios; datos que son capturas de manera
Palabras clave—Sistema de recomendación, filtrado explícita con algún mecanismo de puntuación a cada ítem; y
colaborativo, machine learning. datos que son capturados de manera explícita en base a la
actividad registrada por el usuario. En base a este historial de
I. INTRODUCCIÓN datos es que se realizan predicciones para sugerir artículos.
Debido al avance tecnológico hoy en día las empresas tanto Dado que las expectativas de los usuarios siempre están
públicos como privados generan una gran cantidad de cambiando y que estos modelos generalmente se basan en
información relativa a sus productos, contenidos y/o servicios modelos basados en memoria, surge el problema de la calidad
que en algunos casos son expuestos mediante sus sistemas de de la predicción que es ofrecida al usuario, ¿Cómo lograr mayor
información [1]. efectividad en la predicción de preferencias de usuarios?
La información que es expuesta a los usuarios y/o clientes Los sistemas de recomendación aplicando técnicas de
por parte de estas empresas contiene en muchos casos una Machine Learning son una respuesta para lograr una mayor
infinidad de productos, servicios y/o contenidos cada uno con efectividad en las recomendaciones y de esta manera lograr que
características diferentes que fueron diseñados para llenar las las organizaciones a través de sus portales web puedan llegar al
expectativas de cada uno de sus clientes o usuarios. Ante esta mayor número de clientes y/o usuarios, con el fin de elevar sus
variedad de productos, contenidos y servicios los usuarios ingresos o brindar un mejor servicio.
intentan discriminar la información presentada y seleccionar un
producto que cubra sus necesidades, gustos y/o preferencias de B. Formulación del Problema de Investigación
manera óptima. ¿En qué grado mejorara las métricas de predicción de
A. Planteamiento del Problema preferencias de usuario si se utiliza un modelo basado en
Machine Learning?
Muchas de las empresas en Bolivia tanto públicas como
privadas, ante el inminente avance tecnológico invierten en el C. Planteamiento de Objetivos
desarrollo de portales web de tal forma que puedan presentar y 1) Objetivo General
brindar sus bienes y/o servicios en línea a sus clientes y/o
usuarios. Si bien invierten recursos económicos, humanos y Plantear las fases para el desarrollo de un modelo de Sistema
tiempo en el desarrollo de páginas web o aplicaciones móviles, de Recomendación de Filtrado Colaborativo utilizando técnicas
éstos no generan valor o ventaja competitiva si no se enfocan en de Machine Learning que permita mejorar las métricas de
las necesidades o preferencias de sus clientes y/o usuarios. predicción de preferencias de usuarios.
Las empresas son conscientes de la importancia de la 2) Objetivos Específicos
fidelización de los clientes y/o usuarios para el rendimiento de
la empresa, en este sentido un cliente y/o usuario satisfecho • Diagnosticar sistemas de recomendación automáticas.
probablemente volverá a comprar o recurrir a sus servicios. En • Identificar vulnerabilidades y puntos a mejorar.
tal sentido una buena recomendación es sinónimo de • Diseñar un mecanismo de recuperación de datos que
fidelización del cliente. Esta sugerencia debe satisfacer las sea eficaz y fácil de implementar.
necesidades del cliente; esto implica conocer bien los gustos y • Identificar las fases metodológicas para el diseño del
preferencias de éste. Modelo de Machine Learning para el sistema de
recomendación.
Con la llegada del comercio electrónico y la compra de • Proponer la secuencia de pasos necesarios para el
productos, contenidos y/o servicios por internet es desarrollo del Sistema de Recomendación.
imprescindible que las páginas web desarrolladas cuenten con

[N] C. Pita, «Proyecto de Sistema de Recomendación de Filtrado Colaborativo basado en Machine
Learning», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 48-51, 2020.
48
D. Planteamiento de Hipótesis que el usuario suele calificar positivamente puede ser

La elaboración de un modelo de Sistema de solucionado con el filtrado colaborativo, ya que, basándonos en
Recomendaciones basado en Machine Learning permitirá el comportamiento pasado de otros usuarios podemos encontrar
mejorar las métricas de predicción de preferencias de usuarios. ítems novedosos para el usuario actual. El problema del
arranque en frío que tienen los sistemas de filtrado colaborativo
TABLA I. OPERACIONALIZACIÓN DE VARIABLES puede ser solucionado parcialmente aplicando las técnicas
basadas en contenido utilizando, por ejemplo, la información
demográfica del usuario para encontrar los ítems calificados por
usuarios similares [13].
5) Machine Learning
Machine Learning (técnicas de aprendizaje automático) es
un conjunto de métodos capaces de detectar patrones en un
conjunto de datos para realizar predicciones o para otro tipo de
toma de decisiones [5].
F. Aprendizaje Supervisado y No Supervisado
E. Marco Teórico
El aprendizaje supervisado es cuando se tiene una variable
1) Sistemas de Recomendación de salida, sea cualitativa o cuantitativa que se desea predecir en
Los sistemas de recomendación forman parte de un sistema base a un conjunto de características. Se debe establecer un
de filtrado de información, los cuales presentan distintos tipos modelo que relacione el conjunto de características y la variable
de temas o ítems de información (películas, música, libros, de salida. Para el aprendizaje supervisado se debe considerar un
noticias, imágenes, páginas web, etc.) que son del interés de un conjunto de datos de entrenamiento que permite predecir los
usuario en particular. Generalmente, un sistema recomendador valores de salida [12].
compara el perfil del usuario con algunas características de
referencia de los temas, y busca predecir el "ranking" o
ponderación que el usuario le daría a un ítem que aún el sistema
no ha considerado. Estas características pueden basarse en la
relación o acercamiento del usuario con el tema o en el ambiente
social del mismo usuario [9].
2) Recomendaciones Basadas en Contenido Fig. 2. Aprendizaje supervisado. [5]
Los sistemas basados en contenido realizan G. Algoritmos de Aprendizaje Supervisados

recomendaciones utilizando tanto las características del usuario
como de los ítems que le han interesado al usuario [14]. 1) K vecinos más cercanos (Hearest-neightbor)
Gran parte de la investigación de este tipo de sistemas de El método de machine learning de los K vecinos más
recomendación se ha enfocado en recomendar ítems con cercanos (kNN - k nearest neighbor) es uno de los más simples
contenido textual, tales como páginas web, libros y películas. y generalmente se refiere a un aprendizaje perezoso ya que el
Por eso, muchas aproximaciones han tratado este problema aprendizaje no se implementa realmente hasta que la
como una tarea de recuperación de información, donde el clasificación o la predicción es requerida [7].
contenido asociado con las preferencias del usuario es tratado
como una consulta y los ítems no calificados son puntuados por 2) Naive Bayes
su relevancia para dicha consulta [4]. El clasificador de tipo Naive Bayes, es un modelo
3) Filtrado Colaborativo probabilístico eficiente basado en el teorema de Bayes, el cual
examina la probabilidad de que características aparezcan en las
Los sistemas basados en filtrado colaborativo, utilizan clases predichas [11].
solamente la información contenida en la matriz de utilidades
para realizar recomendaciones y sus modelos se basan en las 3) Tabla de Decisión
similitudes que presentan las calificaciones entre pares de Un clasificador de tipo tabla de decisión se construye sobre
usuarios o de ítems [1]. la idea conceptual de una tabla de búsqueda. El clasificador
retorna la clase mayoría del conjunto de entrenamiento si la
celda de la tabla de decisión que coincide con la nueva instancia
está vacía. En ciertos conjuntos de datos, se puede conseguir
una mayor performance de clasificación usando tablas de
decisión en vez de otros modelos más complejos [3].
4) Máquinas de Soporte Vectorial
Fig. 1. Filtrado Colaborativo. Portal inmobiliario.com
Son capaces de manejar de manera eficiente los datos
4) Aproximaciones Híbridas multidimensionales. Originalmente fueron diseñadas como un
clasificador de dos clases, aunque pueden funcionar con más
Este tipo de filtrado combina las dos estrategias anteriores. clases realizando múltiples clasificaciones binarias (una a una
El problema de recomendar ítems que no sean parecidos a los
49
entre cada par de clases). El algoritmo funciona clasificando II. MÉTODOS

instancias basadas en una función lineal de la característica [6].
A. Marco Metodológico
5) Redes Neuronales Artificiales 1) Diseño Metodológico
Una red neuronal artificial (ANN - artificial neural network) Para el desarrollo del presente trabajo de investigación es
es un grupo interconectado de nodos con la intención de realizada por medio de una investigación tecnológica no
representar la red de neuronas en el cerebro [3]. experimental en las ciencias de la computación que presenta una
6) Arboles de decisión serie de características que la vinculan a la innovación
tecnológica. Con innovación tecnológica se designa la
Los árboles de decisión son clasificadores muy utilizados incorporación de nuevos procesos orientados al cliente o
debido a que el algoritmo crea reglas que son fáciles de entender consumidor final. Para nuestro caso en la incorporación de
e interpretar [3]. sistemas de recomendación automáticas [10].
7) Ensambles 2) Tipo de Investigación
Un ensamble (conjunto) es una colección de múltiples Se utilizará un tipo de investigación descriptiva en el que se
clasificadores base que toman un nuevo ejemplo, pasado a cada examinará el problema en cuestión y se describirá los
uno de los clasificadores base, y luego combina esas componentes que comprenden el modelo propuesto.
Predicciones de acuerdo a algún método, como por ejemplo a
través del voto. La motivación es que, mediante la combinación 3) Método de Investigación
de las predicciones, el conjunto es menos probable de clasificar El método de investigación será deductivo pues se realizará
erróneamente [3]. una investigación de principios generales de sistemas de
H. Estado del Arte recomendación para deducir por medio del razonamiento lógico
los aspectos que involucran la aplicación de un modelo de este
1) Recomendaciones en tiempo real mediante filtrado tipo.
colaborativo incremental y real time big data
4) Fases Metodológicas
En el presente trabajo se desarrolla una plataforma trabajo
bajo filtrado colaborativo planteando un algoritmo que se pueda La metodología que se seguirá durante el desarrollo de
actualizar de forma incremental en memoria, implementando investigación se basará en las siguientes fases:
una arquitectura de respuesta en tiempo real. Se realizó el diseño
Fase 1: Recopilación y clasificación de información
de la lógica de la aplicación y la interfaz de usuario. Dentro los
resultados obtenidos pudieron comprobar que el algoritmo Fase 2: Planteamiento del problema.
desarrollado satisface el objetivo planteado y que es capaz de Fase 3: Definición de Hipótesis y Objetivos.
aprender incrementalmente [2]. Fase 4: Desarrollo de la investigación.
2) Inducción de preferencias a partir del contexto de Fase 5: Conclusiones
elección del usuario en sistemas de recomendación B. Técnicas de Investigación
En este trabajo de tesis presentamos las modificaciones 1) Observación. En base la experiencia de trabajo, se podrá
hechas a los algoritmos clásicos de filtrado colaborativo basado realizar las observaciones de los flujos o actividades o procesos
en memoria para que utilicen el contexto de elección del usuario de la entidad para la implementación de un sistema de
al momento de predecir sus preferencias por nuevos ítems. recomendaciones.
Como no se conocen conjuntos de datos públicos que tengan el
contexto de elección del usuario y que permitan probar los 2) Test. Para obtener datos sobre los usuarios y/o clientes
algoritmos modificados, implementamos dichas modificaciones C. Universo o población de referencia
en un sistema de recomendación real para poder recolectar los
datos necesarios para la etapa de experimentación. Finalmente, El presente trabajo está dirigido a los portales encargados de
se realizó una serie de experimentos sobre tres conjuntos de difundir películas en formato digital.
datos, que permitieron verificar que la propuesta tiene un mejor D. Delimitación geográfica
desempeño que los sistemas de recomendación clásicos [6].
La muestra o población de estudio está enfocada a la
3) Clasificación multilingüe de documentos utilizando información recolectada de los usuarios que calificaron
machine learning y la Wikipedia películas en MovieLens.
En el trabajo realizado se propone la utilización de machine E. Delimitación temporal
learning para la clasificación automática de documentos, Los datos que serán considerados para la realización del
utilizando para este fin se utiliza una representación de modelo trabajo de investigación propuesto serán enmarcados en base al
bolsa (Bag of Words, BoW) basada en Wikipedia. La principal dataset publicado por Movielens (2018).
contribución es la elaboración de un modelo para la
clasificación monolingüe y multilingüe de los documentos de F. Método de Investigación
texto. Dentro los sistemas de recomendación de filtrado
colaborativo existen dos clasificaciones, basados en memoria y
Al final del documento se puede apreciar que los resultados
basado en modelos.
obtenidos con el modelo propuesto son bastante ventajosos y
que si corroboran la hipótesis planteada [8].
50
5. Construir la Red Neuronal Artificial.

6. Definir la capa de entrada y las capas ocultas.
7. Ajustar la red neuronal al conjunto de entrenamiento
8. Evaluar el modelo y calcular predicciones.
9. Validación cruzada.
IV. CONCLUSIONES
Los sistemas de recomendación han cobrado gran
Fig. 3. Filtrado Colaborativo. [4] importancia en organizaciones que ofrecen productos/servicios,
ya que incrementan sus utilidades y fidelizan a sus clientes.
La gran mayoría de los trabajos estudiados trabajan sobre
Desde sus inicios estos sistemas han evolucionado con el fin
modelos basados en memoria, los más utilizados K-NN y
de mejorar sus métricas de predicción.
Correlación. Estos modelos no son complejos de implementar,
pero presentan problemas cuando de escalamiento y En el presente trabajo se presenta una propuesta de
procesamiento cuando el volumen de los datos va creciendo. modificación al algoritmo de filtrado colaborativo aplicando
redes neuronales con el fin de mejorar las métricas de
SVD es un método que utiliza alguna de las características
predicción.
de los sistemas basados en modelos y los aplica a los basados
en memorias. En los trabajos revisados se puede apreciar que en REFERENCIAS
las técnicas SVD se mejoran las métricas de predicción.
[1] C. A. R. Morales, «Algoritmo SVD aplicado a los sistemas de
Los métodos basados en modelos no se implementaron recomendación en el comercio,» Tecnología, Investigación y Academia,
debido a la complejidad que representa el procesamiento de los p. 10, 2018.
datos y el diseño del modelo. [2] P. P. Yague, P. R. Jiménez y M. M. Patiño, «Recomendaciones en
tiempo real mediante filtrado colaborativo incremental y rel time Big
Hoy en día este problema ya no es una limitante debido al Data,» Madrid, 2019.
gran avance tecnológico. En la revisión bibliográfica, la gran [3] D. P. Sastre, Deep Learning para Sistemas de Recomendación basados
mayoría indica que el volumen de datos es un factor importante en contenido, Madrid: Propia, 2017.
para optimizar las métricas de predicción. [4] C. C. Aggarwal, Recommender Systems, New York: Springer, 2016.
Machine Learning, es una tecnología ampliamente utilizada [5] J. C. P. Gallegos, S. A. Torres y F. S. Quezada Aguilera, Inteligencia
Artificial, Europa Aid.: Iniciativa Latinoamericana de Libros de Texto
en diferentes áreas del conocimiento con excelentes resultados. Abiertos., 2014.
Agrupar conjuntos de datos con determinadas características,
[6] A. Roberto, Inducción de Preferencias a partir del contexto de elección
predecir comportamientos e identificar patrones son algunas de del usuario en sistemas de recomendación, Buenos Aires, Argentina.:
las tareas que podemos realizar con esta tecnología. Propia, 2013.
Considerando estos avances tecnológicos, se plantea diseñar [7] J. Ávila, Sistemas de Recomendaciones de Contenido de TV digital
un sistema de recomendación de filtrado colaborativo basado en basado en Ontologías., Cuenca, Ecuador: Propia., 2014.
machine learning. [8] M. A. M. García, Clasificación multilingüe de documentos utilizando
machine learning y la Wikipedia, Vigo, España.: EIDO, 2017.
III. RESULTADOS ESPERADOS [9] M. C. M. Álvaro y F. J. Segovia Perez, Sistema de Recomendación
híbrido para la predicción de calificaciones em Yelp.com, Madrid,
Como planteamiento de solución se trabajará en una España: U. Politécnica, 2016.
solución hibrida en el ámbito del filtrado colaborativo. [10] C. M. A. Álvarez, Metodología de la investigación cuantitativa y
Para el problema de arranque en frio se propone una cualitativa, Neiva: Universidad Sur Colombiana, 2011.
clasificación de los videos más populares. Se tiene planificado [11] E. R. N. Valdez, Sistemas de Recomendación de Contenidos para Libros
Inteligentes, Oviedo: Propia, 2012.
trabajar con un dataset proporcionado por MovieLens, el cual
contiene la calificación de películas por parte de los usuarios. [12] R. Alvarado, J. Hernández y E. Villatoro, «Sistema de recomendación
de música basado en aprendizaje semi supervisado,» Research in
A continuación de describe la secuencia de pasos como Computing Science 94, p. 13, 2015.
propuesta de solución: [13] D. Jannach, M. Zanker y A. Feldering, Recommender Systems an
Introductions, Estados Unidos: Cambridge, 2011.
1. Identificación de variables. [14] V. Patricia, C. Cornelis y M. De Cock, Trust Networks for
2. Tratamiento de datos categóricos. Recommender Systems, Ámsterdam Paris: Atlantis Press, 2011.
3. División de dataset en conjunto de entrenamiento y
pruebas
4. Escalado de variables para agilizar los resultados.
Breve CV del autor

Cesar Enrique Pita Perez es Ingeniero de Sistemas por la Universidad Técnica de Oruro. Diplomado en Planificación y Gerencia
de Sistemas. Actualmente realiza la maestría en Alta Gerencia y en TICs e Innovación para el Desarrollo MAG-TIC en el Postgrado
en Informática de la Universidad Mayor de San Andrés. Inscrito a la SIB con Matrícula 28122
Profesional en desarrollo en el Ministerio de Economía y Finanzas Públicas. Sus intereses: Investigación de Operaciones, Ciencia de
Datos, Ingeniería de Datos. Email: cesar.aapv@gmail.com.
51
Modelo Blockchain para el aseguramiento de la

Información en Certificados de Notas SSA-UMSA
(Sistema de Seguimiento Académico - UMSA)
Cristhian Jesús Mejía Fernández
La Paz - Bolivia
crismefe@gmail.com
Resumen—Desde sus inicios la palabra Blockchain está organizaciones puedan proteger y mantener la confidencialidad,
relacionada con Bitcoin. También heredó la especulación y la la disponibilidad y sobre todo la integridad de la misma.
exageración. Se mencionó y se continúa mencionando que
Blockchain es la tecnología disruptiva de esta década. La Ante diferentes riesgos y amenazas que sufre la información
tecnología que cambiará los silos de información centralizados en incluso cuando está siendo administrada por algún intermediario
la nube por bases de datos descentralizadas. La tecnología que que proteja la misma, el contratista desconoce las medidas de
quitará los intermediarios y proveerá confianza entre seguridad que están siendo tomadas para el resguardo de esta.
desconocidos en todo tipo de transacciones. Asegurar la
información es crítico, ya que a partir de esta se da confianza a los
Siendo que la información es delicada y más aún cuando se
datos que almacenan. La metodología aplicada a la investigación trata de información financiera, esta debe de garantizar más que
es exploratoria y la técnica de investigación es observacional. Es todo, su integridad, ya que, aunque se tengan medidas de
por ese motivo que el actual Sistema de Seguimiento Académico confidencialidad o de disponibilidad, si esta es alterada pierde el
en la emisión de Certificados de Notas tiene un rol crucial en lo sentido que se le dio.
que se refiere a la Integridad de la Información, siendo que la Así mismo la información académica de estudiantes es
información que va ser contenida en estos documentos no debe de
crítica, dado que de ella depende el rendimiento académico,
ser alterada, debe ser verificable y se trazable. Se presentan de esta
además a tomar decisiones con el uso de estadísticas
manera certificados estampados y registrados en una estructura
de datos inalterable y verificable, lo cual representa una solución
académicas. Más aún si se certificaran estos datos en
a la susceptibilidad de alteración o falsificación de certificados de documentos que posteriormente serán utilizados de manera legal
notas. (en muchos de los casos) o como el interesado lo requiera.
Es por eso que hoy en día se crearon nuevas técnicas para
Palabras Clave—bitcoin, blockchain, sistema de seguimiento asegurar la integridad de la información en diferentes Sistemas
académico SSA, DLT1, BPM, hyperledger.
de Información. Una de ellas es el Blockchain que es utilizada
I. INTRODUCCIÓN en el intercambio de criptomonedas o criptodivisas (dinero
digital) [1].
La información hoy en día es considerada como uno de los
activos más importantes para cualquier entidad, institución, Blockchain, según la página Economía simple.net: “Las
empresa o incluso una persona. Todo se debe a que la cadenas de bloques es una tecnología creada para dotar de
digitalización de la misma hace que el tratamiento de esta sea propiedad digital a las personas en el mundo online sin
más eficiente además de brindar resultados al realizar consultas necesidad de ningún intermediario, ni ninguna autoridad central
con la misma. que controle a los usuarios que participan en una transacción y
las cosas que adquieren” [2].
Ante esto, los Sistemas de Información fueron desarrollados
con el fin de gestionar la información de manera eficaz, eficiente Es en sí un marco de trabajo (Framework) o también en otros
y oportuna. Pero debido al crecimiento significativo en esta textos como una nueva estructura de datos, con el cual se puede
última década (2009-2019), la información puede sufrir asegurar la integridad de la información, de esta manera se
diferentes tipos de amenazas y riesgos que conllevarían a que los garantiza que el procesamiento de esta información sea
resultados no sean los adecuados y por ende puedan repercutir altamente confiable y que además se pueda realizar un
negativamente a la entidad. seguimiento a todas las transacciones que fueron realizadas
desde un inicio (Génesis).
Es por eso que la seguridad de la información promueve un
conjunto de medidas preventivas y reactivas, para que las Así mismo la seguridad de la información tiene tres
características que se deben de contemplar, los cuales son:

[N] C. Mejía, «Modelo Blockchain para el aseguramiento de la Información en Certificados de Notas SSA-
UMSA (Sistema de Seguimiento Académico - UMSA)», Revista PGI. Investigación, Ciencia y
Tecnología en Informática, nº 8, pp. 52-57, 2020.
1
DLT: Traducción del inglés a Tecnologías de Registro Contable Distribuida
52
confidencialidad, disponibilidad e integridad. En el presente agrupándolas en bloques, y construyendo una cadena de

trabajo nos enfocaremos en la integridad de la información el seguridad con hash.
cual es, “El objetivo de la integridad es que los datos queden
almacenados tal y como espera el usuario: que no sean alterados
sin su consentimiento” [3].
En el presente trabajo, de acuerdo al fundamento teórico que
tiene Blockchain, se realizara un modelo con el cual se asegure
la integridad de la información contenida en los certificados de
notas que se emiten en el Sistema de Seguimiento Académico
de la Universidad Mayor de San Andrés - UMSA.
Fig. 1. Cadena de Bloques
En este sentido se planteó el problema que existe en la
integridad de los Certificados de Notas que es el siguiente: B. Historia
¿Cómo asegurar la integridad de la información, al momento de Blockchain promete resolver fundamentalmente problemas
la emisión de certificados de notas mediante el Sistema de de tiempo y confianza para acometer las ineficiencias y los
Seguimiento Académico de la UMSA (SSA-UMSA)? costos en industrias tales como servicios financieros, cadenas de
Para poder solucionar este problema se plantea un modelo suministro, logísticas y sanitarias. Las características clave de
de aseguramiento de la integridad de la información utilizando blockchain incluyen la inmutabilidad y un libro de registro
Blockchain en la emisión de certificados de notas del SSA. contable (ledger) distribuido donde las actualizaciones sobre las
transacciones se realizan mediante un sistema de confianza
Al realizar el análisis pertinente del problema se pudo basado en consenso, que puede facilitar una auténtica
realizar su operacionalización identificando las siguientes: interacción entre múltiples partes, porque solo es posible su
actualización mediante la suma de un bloque vinculado al
TABLA I. OPERACIONALIZACIÓN DE VARIABLES bloque anterior.
Variables Variables Variables Esta interacción digital no solo está limitada por una
Independientes Dependientes Intervinientes
confianza sistémica, sino que además asegura que la
Blockchain. Plantear un modelo de Sistema de procedencia transaccional del registro mantiene un historial
Certificados de aseguramiento de la Seguimiento inmutable de interacción entre las partes. Con el diseño del
Notas. integridad de la información. Académico - UMSA
sistema blockchain, se intenta construir un sistema que lleva
implícita la confianza, lo que conduce a reducir riesgos, y, con
Justificación: Al asegurar la información, los actores varias construcciones tecnológicas aplicadas, tales como
registraran y verificaran información integra, de esta manera criptografía, encriptación, smarts contracts y consenso, con lo
existirá confianza en el uso del SSA. Si se requiere asegurar la que se consigue infundir una mayor seguridad en el sistema de
información utilizando otro tipo de tecnología o infraestructura transacciones.
el costo sería elevado por lo utilizando blockchain se reducen los
Inicialmente la tecnología blockchain se gestó e implementó
recursos económicos. Blockchain es una tecnología que
en 2008, por Satoshi Nakamoto2, como una infraestructura
moderna y que está a la vanguardia de la integridad de la
destinada al Bitcoin que mejoraba la confianza digital mediante
información, es una nueva herramienta que se puede utilizar en
la descentralización, ya que, a partir de un núcleo se extraen
otros proyectos. El uso de métodos criptográficos y otros
bloques que, mediante la interconexión forman cadenas mayores
mecanismos para asegurar la información hace que se siga
cuya finalidad es transportar transacciones.
investigando en el desarrollo de nuevos algoritmos que sean más
eficientes.
El desarrollo de la investigación se realizará en el
Departamento de La Paz, donde se encuentran los servidores que
están instalados el SSA-UMSA.
Se trabajará sobre los datos que se encuentran en el SSA-
UMSA a partir de marzo de 2012, (ya que se empezó a utilizar
el sistema mediante la Resolución de Honorable Consejo
Universitario Nro. 87/2012) [4] hasta la presente gestión.
II. BLOCKCHAIN Fig. 2. Historia de la Tecnología Blockchain [5]
A. Una breve definición Posteriormente Vitalik Buterin, uno de los primeros

A nivel técnico, blockchain se puede definir cómo un desarrolladores de Bitcoin, comenzó a formar Ethereum,
registro contable (ledger) que registra transacciones agrupadas presentado en 2015 como blockchain pública para mejorar las
en bloques dentro de una red distribuida de nodos, donde cada funcionalidades del Bitcoin, pasando de ser solamente una
nodo mantiene una copia del ledger. Los nodos ejecutan un criptomoneda a una nueva plataforma para el desarrollo de
protocolo de consenso que valida las transacciones, aplicaciones descentralizadas. Ethereum actualmente es de las
2
Satoshi Nakamoto: Creador de la criptomoneda Bitcoin, sin embargo, se cree
que solo es un seudónimo ya que hasta la fecha no se conoce a dicha persona.
53
tecnologías blockchain más importantes, al incorporar los de que haya un fraude o alguien quiera rastrear a las
conceptos de contrato inteligente y aplicaciones partes que están negociando, esto se vuelve difícil,
descentralizadas. debido a estas características, se puede utilizar
blockchain para actividades ilícitas.
• Mecanismo de consenso: este tipo de blockchain,
funciona según el principio de Proof-of-Work3 donde
los participantes tienen que resolver el complejo
rompecabezas matemático, lo que requiere el consumo
de una gran cantidad de recursos, y por lo tanto, es muy
costoso.
• Ofrece un tamaño de bloque limitado.
Fig. 3. Árbol Hash de Merkle

• No es necesario probar la identidad. Lo único necesario
es comprometer la capacidad de procesamiento para
Existen dos tipos de blockchain, permissionless (públicas) y convertirse en parte de la red. Cualquier minero que
permissioned (privadas). resuelva el rompecabezas puede convertirse en parte del
sistema.
Estos inconvenientes del sistema blockchain permissionless
hacen que muchas compañías cuestionen el sistema. Por lo que
Ethereum, blockchain de este tipo, está cambiando su
mecanismo de consenso proof-of-work a proof-of-stake4.
Dos de los ejemplos más representativos que utilizan este
tipo de Blockchain son Bitcoin y Ethereum.
D. Permissioned Blockchain
Fig. 4. Tipos de Blockchain En las blockchain permissioned o privadas a diferencia de
las públicas vistas anteriormente, la participación en la red no es
C. Permissionless Blockchain abierta. Se controla el acceso de los participantes a ciertas
Un blockchain permissionless o pública, es un tipo de funciones de la red mediante roles, que se establecen de forma
blockchain completamente descentralizado que no requiere flexible y que se ajusta a las situaciones particulares.
ningún tipo de autorización, solamente es preciso colaborar con
la red para mantener el consenso. Todos los miembros tienen el El establecimiento de los roles es flexible y puede ajustarse
derecho de realizar todas las acciones, incluyendo agregar y a condiciones particulares, esto quiere decir, que la lectura y la
validar transacciones, contratos inteligentes, etc. escritura que se efectúa en la base de datos debe ser autorizada
total o parcialmente para cada componente.
Las ventajas de este tipo de blockchain son:
En este tipo de blockchain no existe la necesidad de utilizar
• Ofrecen una plataforma descentralizada, lo que significa una criptomoneda, ya que no es necesario crear ningún sistema
que la información no se almacena en un repositorio de estímulo como proof-of-work o proof-of-stake.
central y cualquier persona puede acceder a la
Las ventajas de este tipo de blockchain, son:
información en cualquier momento y desde cualquier
lugar. • Ofrecen un rendimiento más eficiente en comparación
con las redes públicas de blockchain. En una red de
• Proporciona firmas inmutables para todos los registros.
blockchain, todos los nodos de la red deben calcular y
Todo el intercambio de información y las transacciones
validar las transacciones en la red. Estos nodos a
se cifran criptográficamente, lo que hace que todo el
menudo realizan cálculos redundantes para validar
sistema y los datos permanezcan seguros.
transacciones en la red. Debido a que los permissioned
• Anonimato: Los mineros y participantes en la red blockchain solo requieren que sus nodos miembros
permanecen en el anonimato. validen las transacciones, ofrecen un mejor rendimiento
en relación con la cantidad de cómputo utilizada para la
• Transparencia: Todos los datos e información son validación.
visibles para todos.
• Tienen estructuras de gobierno claramente definidas en
• Transacciones rápidas y fáciles. comparación con las redes públicas de blockchain. Los
Las desventajas son: blockchain públicos funcionan como foros públicos
donde cualquier persona que opere un nodo completo
• Anonimato: aunque es una buena señal de que la tendría algo que decir en el gobierno y las reglas de la
identidad de las partes comerciales permanezca en el red. Como consecuencia, las actualizaciones y los
anonimato, esto puede volverse un problema. En caso desarrollos en estas redes son increíblemente lentos, ya
3 4
Proff of Work: Prueba de Trabajo traducción al español. Es un método de Proff of Stake: Prueba de Estaca traducido al español. Es un método más
consenso que se utiliza para la creación de nuevos bloques dentro de la red eficiente que la prueba de trabajo. Este también es un mecanismo de consenso
Bitcoin. utilizado por Ethereum.
54
que varios nodos independientes, actuando en su propio de las características deseadas en una tecnología de Ledger
interés, deberían llegar a un consenso para activar una distribuida pública.
actualización de la red. Sin embargo, los nodos en
permissioned blockchain son capaces de avanzar con las Hay cuatro características qué hacen que Hyperledger Fabric
actualizaciones mucho más rápido. Si bien a veces sea adecuado para implementar negocios basados en
puede haber debates sobre las actualizaciones de una red aplicaciones DTL (distributed ledger technology). Hyperledger
de permissioned blockchain, estos debates son más Fabric es una red permissioned, por lo que soporta transacciones
fáciles de resolver entre un consorcio de empresas en confidenciales, no es precisa la utilización de criptomonedas y
comparación con una arena pública de cientos de miles es programable.
de personas y entidades. Con estas características Hyperledger Fabric consigue
Como principales desventajas: establecer confianza, transparencia y responsabilidad entre los
participantes en la red.
• La seguridad depende completamente de la integridad
Hyperledger Fabric permite crear una red de permisos,
de sus miembros. Si un grupo interno de miembros en
proporciona herramientas para que los propietarios de la red
un permissioned blockchain se confabula para cambiar
puedan restringir quién puede acceder, y qué pueden hacer en la
los datos, puede arruinar la integridad de la red en su
red. Requiere que los participantes en la red sean conocidos y
beneficio.
que, para unirse a la red los participantes deban conseguir
• En comparación con las bases de datos públicas, los permisos de la autoridad reguladora.
permissioned blockchain son más propensas a la Hyperledger es una red privada, esto quiere decir que es
censura y la regulación. Debido a que estos blockchain necesario asignar identidades a los participantes en el proyecto,
son administrados por un consorcio de empresas, deben las empresas negocian con entidades conocidas, proveedores de
cumplir con las mismas regulaciones que sus miembros. materias primas o compradores de bienes.
De forma que, en teoría, un regulador podría imponer
sus leyes censurando las transacciones que considere En algunas industrias, por ley, se supone que las empresas
oportunas. Si bien la amenaza de la regulación puede no solo interactúan con entidades conocidas, por ejemplo, en la
afectar las operaciones diarias de las empresas que ya industria bancaria, los bancos deben conocer la identidad de
cumplen con las leyes vigentes, evitaría que las cada cliente.
empresas que necesitan las características no
Luego están las agencias reguladoras que interactúan con las
censurables de los blockchain públicos puedan operar
empresas. Una tecnología de contabilidad distribuida se basa en
en los permissioned blockchain.
aplicaciones para negocios que requieren soporte para
E. Hyperledger administrar identidades en las redes, la aplicación de negocio
Hyperledger es una permnissioned blockchain o blockchain define los roles que se asigna a los participantes y el acceso se
privada, en el que varios equipos de desarrollo están concede o no en base a estos roles. Un servicio abstracto
colaborando para crear código abierto (open source), iniciado en denominado proveedor de servicios de miembros (membership
2015 por la Fundación Linux, que incluye líderes en finanzas, service provider) se encarga de generar las credenciales para los
banca, IoT, cadena de suministro, fabricación y tecnología. distintos participantes.
La identidad de los miembros en la red de Hyperledger se
gestiona mediante certificados X5095, cuando se crea una
identidad se le expide un certificado, cada vez que este
participante inicia una transacción se certifican las claves
privadas en la firma, de forma que cualquier componente de la
red puede validar la autenticidad de la transacción, utilizando la
clave pública asociada. Los certificados siguen el proceso típico
de emisión y la revocación por parte de las autoridades de
certificación en la red.
G. Aspectos legales y normativos
De acuerdo al decreto supremo Nro. 1793 de 13 noviembre
Fig. 5. Paraguas de DLT y herramientas de Hyperledger [6] de 2013 en su artículo 3 respecto a Seguridad Informática,
firmas y certificados digitales, tratamiento de datos personales y
F. Hyperledger Fabric el artículo 4 de los principios documentos digitales, autenticidad,
Hyperledger Fabric es una tecnología ledger distribuida integridad, no repudio, transparencia, seguridad y
privada aplicable al negocio, privada es la palabra clave que confidencialidad, tiene como objeto “Reglamentar el acceso, uso
diferencia a Hyperledger de otras tecnologías Blockchain más y desarrollo de las Tecnologías de Información y Comunicación
orientadas hacia el dominio público como Ethereum y Bitcoin. – TIC, en el marco del Título IV de la Ley N° 164, de 8 de agosto
La aplicación comercial requeriría que el sistema de ledger de 2011, General de Telecomunicaciones, Tecnologías de
distribuida tenga ciertas características que son muy diferentes Información y Comunicación” y su ámbito de aplicación es
“…se aplicará a personas naturales o jurídicas, públicas o
privadas que realicen actividades o presten servicios
5
Certificados X509: Es un documento digital que ha sido codificado y/o firmado
digitalmente de acuerdo a la RFC 5280.
55
relacionados con la certificación digital, gobierno electrónico,

software libre, correo electrónico y el uso de documentos y
firmas digitales en el Estado Plurinacional de Bolivia” [7]. En
este sentido mediante este decreto reglamenta el uso de las
certificaciones digitales y documentos electrónicos para cumplir
con el objetivo y principios que fueron mencionados.
Que mediante Resolución del Honorable Consejo
Universitario Nro. 87/2012, considera que “El Sistema de
Seguimiento Académico integrado permitirá a la autoridades
universitarias obtener en línea información del estudiante, …
estudiantes pueden obtener información académica donde se
encuentre y exista internet a fin de revisar sus notas y datos Fig. 6. Ejemplo de transacción rechazada porque un nodo
personales”, “Que en la Universidad existen varios sistemas de tiene un certificado no válido [9]
seguimiento académico de estudiantes con el mismo objetivo; el
Sistema de Seguimiento Académico propuesto, permitirá Hay tres tipos distintos de nodos, como se ve en la figura 7,
utilizar un sistema con tecnología de punta y está conformado el primer tipo es el nodo cliente, que usan las aplicaciones para
por una aplicación web, con el uso de formularios iniciar las transacciones. El segundo tipo es el nodo Peer, que
normalizados, estadísticas confiables, para agilizar los trámites mantienen el ledger sincronizado a través de la red y el tercer
en la División de Gestiones y Admisiones y la División de tipo, son los nodos Orderers que son los responsables de la
Títulos y Diplomas” aprueba en su artículo segundo “Aprobar la distribución de transacciones.
obligatoriedad que tienen todas las Unidades Académicas
(Facultades, Carrera e Institutos) de la Universidad Mayor de Estos nodos deben de estar funcionando en cada uno de los
San Andrés, utilizar el Sistema de Seguimiento Académico” [4]. servidores que contendrá el Blockchain, así como el Sistema de
Seguimiento Académico.
Que mediante Resolución de Honorable Consejo
Universitario Nro. 576/2014, considera la aprobación de la
Matricula Electrónica Universitaria y el Certificado Único de
Calificaciones que “… está conformado en su primera parte, por
los datos personales del estudiante, incluido la fotografía y el
código DATAMATRIX; en la segunda parte se encuentran las
materias aprobadas por el estudiante plasmado de forma Fig. 7. Tipos de Nodos [9]
cronológica” aprueba en el artículo primero “Aprobar la
implementación de la Matricula Electrónica y el Certificado Así mismo se utilizar el modelo se adaptara a la arquitectura
Único de Calificaciones de la Universidad Mayor de San de negocio de procesos de gestión de BPM6, de esa manera se
Andrés, la misma que será aplicada en todas las Facultades que integrara el proceso de generación de Certificados de Notas con
tomen la decisión de utilizarla” [8]. Hyperledger Fabric.
III. MÉTODOS IV. RESULTADOS ESPERADOS
Para el enfoque de la presente investigación, donde se El modelo que se plantea está en función de cliente, que en
pretende modelar sobre una tecnología nueva y no utilizada aun este caso será el Sistema de Seguimiento Académico junto al
en aplicación en el ámbito de la UMSA y sobre todo por el proceso de generación de certificados de notas, los cuales son
planteamiento del objetivo y definición del problema, el los que serán registrados en la Blockchain. Para ellos el flujo de
proyecto de investigación el diseño será experimental, el tipo trabajo está representado en el siguiente diagrama de secuencia
será aplicada; utilizará la investigación exploratoria, la técnica de acuerdo a un BPM.
de investigación será la observación.
El proceso de desarrollo se enfocará únicamente en el diseño
del modelo y arquitectura de la Blockchain que se utilizará para
resolver el problema de investigación.
Para ello el Sistema de Seguimiento Académico solo debe
de utilizar una API (Application Programming Interfaces) para
poder enviar información al Blockchain que será de tipo
privativa ya que los nodos distribuidos estarán ubicados en los
mismos servidores que tienen instalados los Sistemas de
Seguimiento Académico de una Facultad, Carrera o Instituto. Si
estos nodos no se encuentran certificados para poder acceder a
la red serán rechazados. El modelo de muestra en la siguiente
figura:
Fig. 8. Modelo de aplicación de Blockchain
para el Sistema de Seguimiento Académico
6
BPM: Gerencia de Procesos de Negocios.
56
Hyperledger Fabric será la Blockchain que se encargará de Como conclusión, la tecnología blockchain es especialmente
realizar el registro de los metadatos del Certificado de Notas. adecuada para escenarios en los que se requiera almacenar de
Los componentes para dicho registro se muestran en la siguiente forma creciente datos ordenados en el tiempo, sin posibilidad de
figura: modificación ni revisión y cuya confianza pretenda ser
distribuida en lugar de residir en una entidad certificadora.
Para saber si un proyecto es un caso de uso para blockchain,
se aplica el siguiente enunciado y si es válido y tiene sentido
para el proyecto, entonces es un caso de uso para blockchain:
“un grupo de participantes, actuando como “peers” que tienen
un flujo de trabajo que involucra a todos los participantes y no
quieren depender de intermediarios. Pero necesitan visibilidad y
transparencia a través de toda la solución” [1].
Fig. 9. Los componentes de una red de Hyperledger Fabric [9]
REFERENCIAS
De esta manera cada vez que los clientes que utilicen el
[1] F. Ontiveros, «Medium.com,» 10 10 2019. [En línea]. Available:
Sistema de Seguimiento Académico al momento de realizar el https://medium.com/@feronti/d%C3%B3nde-usar-blockchain-
proceso de generación de Certificados de Notas irán registrando 9fb0e23d0d53. [Último acceso: 12 10 2019].
estos metadatos en la Blockchain. [2] Economía simple .net, «¿Qué es Blockchain o Cadena de Bloques?,»
2016. [En línea]. Available: https://www.economiasimple.net/que-es-
V. DISCUSIÓN blockchain-o-cadena-de-bloques.html.
De los resultados obtenidos se pudo verificar que el uso de [3] J. F. Roa Buendía, Seguridad informática, Aravaca, Madrid: McGraw-
una Blockchain no permisiva se ajusta a la arquitectura de una Hill, 2013.
aplicación que ya se encuentra en desarrollo y producción como [4] Honorable Consejo Universitario - UMSA, «Gaceta Universitaria
UMSA,» 23 marzo 2012. [En línea]. Available: https://gaceta.umsa.bo/
es el Sistema de Seguimiento Académico. bitstream/umsa/201002/1/HCU-87-12.pdf. [Último acceso: 12 10 2019].
Así mismo los resultados obtenidos coinciden con los [5] N. Rodríguez, «101 Blockchains,» 3 diciembre 2018. [En línea].
presentados por [10] que indica: Hyperledger Fabric es la Available: https://101blockchains.com/es/historia-de-la-blockchain/.
[Último acceso: 12 10 2019].
infraestructura de desarrollo de aplicaciones para construir
[6] Hyperledger, «Hyperledger,» [En línea]. Available:
aplicaciones de blockchain basándose en Hyperledger. En otras https://www.hyperledger.org/. [Último acceso: 12 10 2019].
palabras, Hyperledger Fabric ayuda a crear definiciones de red [7] Estado Plurinacional de Bolivia, «Bolivia Digital,» Julio 2017. [En línea].
empresariales, que se implementan en Hyperledger, donde se Available: https://agetic.gob.bo/2-plan-de-implementacion-de-gobierno-
ejecutan. electronico.pdf. [Último acceso: 12 10 2019].
[8] H. C. U. -. UMSA, «Gaceta Universitaria UMSA,» 26 noviembre 2014.
La belleza de Hyperledger Fabric reside en que proporciona [En línea]. Available: https://gaceta.umsa.bo/bitstream/umsa/357441/1/
una capa de abstracción de alto nivel que se puede utilizar para HCU-576-14.pdf. [Último acceso: 12 10 2019].
crear el modelo de red empresarial, escribir funciones de [9] H. Fabric, «Wiki Hyperledger Fabric» septiembre 2019. [En línea].
JavaScript para las transacciones, y exponer esas funciones Available: https://wiki.hyperledger.org/display/fabric/Hyperledger+
como APIs para el desarrollo de aplicaciones cliente. Debido a Fabric. [Último acceso: 12 10 2019].
que el nivel de programación necesario es mínimo, los [10] Shikha Maheshwari, «IBM,» 14 diciembre 2018. [En línea]. Available:
propietarios empresariales que no son necesariamente https://www.ibm.com/developerworks/ssa/library/cl-blockchain-
desarrolladores de aplicaciones pueden crear modelos y escribir hyperledger-fabric-hyperledger-composer-compared/index.html.
fácilmente funciones de transacciones para las redes de
blockchain.
Breve CV del autor

Cristhian Jesús Mejía Fernández es Licenciado en Informática por la Universidad Mayor de San Andrés (La Paz 2008); Certificado
en Mikrotik: MTCNA, MTCRE, MTCWE y MTCTCE; Actualmente realiza la Maestría en Gerencia Estratégica en Tecnologías de
Sistemas de Información GETSI en el Postgrado en Informática UMSA.
Ejerce profesionalmente como Encargado de Sistemas en la Facultad de Agronomía en la UMSA.
Obtuvo el 2do lugar Concurso ACM UMSA La Paz 2003. Es miembro del grupo Blockchain Latinoamérica.
Sus intereses investigativos incluyen Teleinformática, Desarrollo de software y Blockchain. Email: crismefe@gmail.com.
57
Gestión de servicios TI en la Documentación Clínica

basado en Estándares de Seguridad de la Información
Daniel Apaza Siñani
La Paz - Bolivia
daniapaza3@gmail.com
Resumen—Un sistema de información de gestión hospitalaria su tratamiento, porque ha extraviado la receta médica o no tiene
que no esté alineado con estándares de Tecnologías de información a mano, tiene que estar buscando al médico o su enfermera a
y comunicación, tiene dificultades en la seguridad de la cargo del paciente, esto lleva tiempo y no hay disponibilidad
información. Por tanto, el presente trabajo de investigación inmediata, entonces el uso inadecuado de la tecnología de
pretende mostrar la incidencia de la gestión de recursos TI en la información repercute directamente en la gestión de la
documentación clínica basados en estándares y seguridad de la información clínica.
información, que permita un registro óptimo y la disponibilidad
oportuna de la información. Para alcanzar este objetivo se hace la B. Objetivo
revisión bibliográfica relacionados en el tema de manejo de Determinar la incidencia de gestión de servicios de
expedientes clínicos electrónicos, donde se encontró que: con la tecnologías de la información en la documentación clínica
gestión de recursos de TI se puede mejorar la disponibilidad de la
basados en estándares de seguridad de la información.
información dentro de los procesos de documentación clínica, lo
que significa que los sistemas de información con la aplicación de C. Hipótesis
estándares de gestión de recursos de tecnologías de información y
La gestión de servicios de tecnologías de información
comunicación, reducen el tiempo garantizando la disponibilidad
de la información a los clientes y usuarios.
contribuye eficazmente en la disponibilidad de la información
dentro de los procesos de documentación clínica basados en
Palabras clave—SICE, sistema de información clínico estándares de seguridad de la información.
estadístico, tecnologías de información y comunicación, expediente
clínico, historia clínica. II. MÉTODOS
A. Tecnologías de la Información y las Comunicaciones
I. INTRODUCCIÓN
Las Tecnologías de Información y Comunicación son todos
En la actualidad cada día existen más usuarios de los recursos, herramientas, programas, aplicaciones o sistemas
computadoras de escritorio y dispositivos móviles, que tienen que sirven para procesar, administrar y compartir la información
acceso a las redes de internet, redes sociales, páginas web o sitios ya sea de manera local o remota; los cuales están inmersos en
web, donde todo el mundo quiere sacar alguna ventaja; de esta todas las áreas, en caso particular Hospital del Norte.
realidad no están fuera los Hospitales que prestan servicios de
salud en diferentes especialidades. B. ITIL v3
Entonces internet y la tecnología constituyen un ecosistema El ciclo de vida de un servicio es un modelo de organización
que no tiene fronteras, por esta razón en los hospitales de tercer con un enfoque en la relación que el valor de los servicios de
nivel, que son hospitales con capacidad resolutiva de alta Tecnologías de Información toma en una organización, la
complejidad en diferentes especialidades, donde el manejo de manera cómo la gestión de servicios es estructurada y el impacto
expedientes clínicos requiere de una actualización constante de que un cambio tiene en un componente o en todo el sistema [1].
manera que la información pueda estar siempre disponible, ahí 1) Estrategia del Servicio, En esta fase se quiere mejorar el
es donde tiene que ver mucho la gestión adecuada de recursos impacto estratégico mediante el diseño, desarrollo e
tecnológicos, sabiendo que traerá grandes beneficios como la implantación de la gestión de servicios como una capacidad
reducción de tiempo de consolidación de la información como organizacional y como un activo estratégico, se requiere
la disponibilidad óptima. establecer relaciones entre servicios, objetivos y sistemas a los
A. Planteamiento del problema que se dan soporte [1].
Al momento de realizar los registros de resultados ya sean 2) Diseño del Servicio, El diseño del servicio requiere la
de tomografía, ecografía, laboratorio, electroencefalograma y actualización de diseños de servicios de TI adecuados e
otros, tienen que ser ingresado manualmente en el Sistema de innovadores, donde se incluyan arquitecturas, políticas,
Información Clínico Estadístico (SICE), por otro lado, la documentación y procesos con el objetivo de lograr los
ubicación del expediente clínico o la historia clínica no se sabe requisitos establecidos para el futuro de la organización [1].
con exactitud, esto dificulta al momento de que un paciente o su 3) Transición de Servicio, La transición del servicio
representante legal quiere saber su diagnóstico actual y otros de mencionada en ITIL v3 se basa en hacer que los productos y
[N] D. Apaza, «Gestión de servicios TI en la Documentación Clínica basado en Estándares de Seguridad de
la Información», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 58-60, 2020.
58
servicios definidos en la fase de diseño del Servicio se integren Confidencialidad: la información de expedientes clínicos
en el medio de producción y sean accesibles a los clientes y de los pacientes solo debe ser accesible para ellos o a los
usuarios autorizados [1]. usuarios a quienes está dirigida de acuerdo a normativa.
4) Operación de Servicio, La operación del servicio es Legalidad: se asegura que la información que se está
considerado en ITIL v3 como la fase más crítica entre todas cuya utilizando cumple con los requisitos legales del manejo del
correcta operación está divida en una serie de procesos como la expediente clínico.
gestión de incidencias, gestión de eventos, gestión de peticiones,
gestión problemas y gestión de acceso. La apreciación que los D. Seguridad de Información Clínica
usuarios y clientes adquieran de la calidad de los servicios Revelación del Secreto Médico se exceptúa y se exime al
prestados depende en última instancia de una correcta médico, de guardar el secreto médico en los siguientes casos de
distribución y relación de todos los agentes involucrados [1]. requerimiento de autoridad competente, en casos de enfermedad
notificable en riesgo inminente, cuando la ley disponga
5) Mejora Continua del Servicio, En esta fase de ITIL v3 expresamente [3].
se desea mantener y mejorar todos los procesos y actividades
que se involucren en la gestión y prestación de los servicios TI. Entonces el expediente clínico es un documento legal que
Se realiza soporte a las fases de estrategia y diseño para la requiere de una gestión adecuada de manera que garantice la
creación de nuevos servicios, procesos o actividades [1]. confidencialidad y su resguardado según las normas vigentes.
PDCA: Planificar, Hacer, Verificar y Actuar, establece como E. Disponibilidad de la Información
el proceso principal para realizar un ciclo de mejora continua. La industria ya ha iniciado el camino para la definición de
Con este modelo se puede garantizar que el sistema de las más relevantes, aquéllas que hay que definir y optimizar para
información hospitalaria esté siempre alineado a la tecnología que la organización de TI vaya mejorando su funcionamiento.
existente o moderna, porque el modelo permite hacer ajustes Las principales para el servicio, se definen tanto en estas normas,
necesarios para su actualización mediante las estrategias, diseño, cómo en otros marcos de referencia. Algunos de estos procesos
transición y operación de servicios. esenciales ayudan a resolver de forma rápida los incidentes
ocurridos en el servicio, conocer con precisión la configuración
de los servicios y sus componentes, realizar cambios de una
forma segura y eficiente, mejorar el tiempo de provisión de
servicios nuevos y controlar el desempeño de los
suministradores contratados [4].
El Ministerio de Salud y Deportes, El paciente tiene todo el
derecho de acceder a su EC las veces que lo requiera, no
impedirá su acceso ni ética ni jurídicamente. El paciente podrá
solicitar de manera directa o mediante su tutor jurídicamente
responsable si se encuentra internado, o a través de solicitud
notariada dirigida al director del establecimiento si no lo está [3].
Fig. 1. El Ciclo de Vida del Servicio Finalmente, la TIC son las que permiten la reducción de los
Fuente: https://es.slideshare.net/williamfsanchez/libro-itil-v3 costos de atención y el mejoramiento de la sanidad en diferentes
hospitales, un caso puntual de las historias clínicas electrónicas,
La información es un recurso clave para todas las empresas las imágenes digitales, la utilización de telefonía celular para el
y desde el momento en que la información se crea hasta que es seguimiento de los pacientes, entre otras. Los diagnósticos de
destruida, la tecnología juega un papel importante. La tecnología laboratorios y de imágenes van directamente a la HC electrónica
de la información está avanzando cada vez más y se ha de los pacientes y pueden ser transmitidas en forma digital a
generalizado en las empresas y en entornos sociales, públicos y cualquier médico de nuestra red asistencial o fuera de nuestra
de negocios. Como resultado, hoy más que nunca, las empresas red en forma rápida, a través del mail o bien a través del ingreso,
y sus ejecutivos se esfuerzan en: Mantener información de alta por una clave a nuestra historia clínica. Esto permite que
calidad para soportar las decisiones del negocio, Mantener los intercambios informativos en tornos a un paciente, dentro del
riesgos relacionados con TI en un nivel aceptable, optimizar el sistema de salud, se pueda hacer de forma rápida y segura [5].
costo de los servicios y tecnologías de TI y cumplir con las
constantemente crecientes leyes, regulaciones, acuerdos Entonces está claro que la tecnología ayuda a mejorar la
contractuales y políticas aplicables [2]. prestación de servicios de salud, mucho más cuando se trata de
tener la disponibilidad de la información para brindar una
C. Seguridad de la Información atención de manera eficaz. Por otro lado, un sistema que
La seguridad de la información en cualquier ámbito se basa interactúa con equipos médicos en base a un estándar como ser
en cuatro pilares fundamentales [2]. En el caso de hospitales HL7, DICOM, LIS y otros, resolverá el tema de
sería de la siguiente manera: interoperabilidad de los sistemas hospitalarios y habrá la
disponibilidad de la información de historias clínicas, los cuales
Disponibilidad: los pacientes o sus representantes legales son muy útiles a la hora de realizar seguimiento o tratamiento de
deben tener acceso a la información cuando lo requieran y debe las patologías con los cuidados correspondientes.
darse de manera oportuna.
Asimismo, la tecnología ayuda en gran manera reduciendo
Integridad: la información debe ser correcta, completa y sin el tiempo y permitiendo la disponibilidad de la información
ningún tipo de alteraciones ya sea por agentes internos o instantánea, sin embargo, para que funcione esta tecnología se
externos.
59
requiere que las condiciones estén dadas en términos de la siempre se producen en una organización, asimismo la mejora
conectividad, centro de datos e interoperabilidad ente sistemas. continua permite a la organización estar preparados a los
cambios.
COBIT5 para la seguridad de la información posee cuatro
pilares fundamentales que son: disponibilidad, confidencialidad, Con el uso de las herramientas de la gestión de TI, se puede
integridad y la legalidad, que hacen que se debe tener cuidados mejorar el sistema de manera constante, porque cada día que
correspondientes sobre el manejo de la información, entonces pasa habrá nuevas tecnologías, frente a ellos siempre podremos
los estándares COBIT5 e ITIL son herramientas adecuados para estar preparados para hacer las adecuaciones necesarias de
el tema de la seguridad de la información, ya que permite tomar acuerdo a protocolos o estándares en área de medicina
acciones adecuadas de manera estructurada asociadas a las relacionado con los equipos.
políticas internas y externas en el tema de salud.
V. CONCLUSIONES
III. RESULTADOS Las HC para su utilidad en diferentes situaciones ya sean
Para evidenciar los tiempos de registros ya sea en la para el paciente o para el hospital requiere de su disponibilidad
admisión de los pacientes, registro de resultados de exámenes de en tiempos óptimos, puesto que de ello dependerá el uso
laboratorios, registro de prescripciones médicas ya sean por adecuada de la información de manera oportuna.
consultas, re consultas e interconsultas, se hizo la recolección de
información a través de las encuestas, reportes del sistema de Existen experiencias en los países como Argentina que
información clínica estadística del Hospital del Norte, de un implementan un sistema de historias clínicas electrónicas
periodo de tres meses, aplicando el método de muestreo, de los teniendo éxito en alcanzar los objetivos de la disponibilidad,
cuales se tienen los resultados sintetizados en la siguiente tabla: interoperabilidad de los EC en la red de hospitales. Con la
experiencia obtenida se proyectan a la implementación del
TABLA I. TIEMPO APROXIMADO EN MINUTOS QUE SE EMPLEAN EN REGISTRO sistema a nivel nacional.
DE RESULTADOS EN EL SISTEMA CON Y SIN APLICACIÓN DE ESTÁNDARES
Los estándares y buenas prácticas como ITIL y COBIT5,
Servicios
Sin Con Reducción de ayudan a que la alta dirección comprometida con la mejora
TI TI tiempo en % continua de sus procesos, pueda mejorar el manejo de los EC.
Admisión 5 1 80%
Consultas Externas 7 2 71% La implementación de los sistemas en línea, en el caso
Re consultas 5 2 60% particular los EC Electrónicas, los pacientes, sus familiares y
Interconsultas 5 2 60% representantes legales tienen la posibilidad de acceder a la
Exámenes de Laboratorios 5 2 60%
información clínica en el tiempo requerido. Para esto se
Rayos x 5 1 80%
contempla la seguridad de la información digital con las
Ecografía 5 1 80%
restricciones pertinentes según normas nacionales e
internacionales.
Búsqueda de la Historia Clínica 2 0.05 98%
Promedio 74% Finalmente está claro que la gestión de servicios de
Fuente. Elaboración Propia tecnologías de información contribuye eficazmente en la
De acuerdo al cuadro anterior se puede ver claramente que disponibilidad de la información dentro de los procesos de
los tiempos se reducen en un 74%, esto significa que un sistema documentación clínica basados en estándares de seguridad de la
que tiene integrado los protocolos de interoperabilidad, permiten información, dado que se garantiza el lograr los objetivos,
que la transmisión de la información al sistema desde los entonces lo que viene por delante es la interoperabilidad de los
equipos médicos como ser equipos de laboratorio, sistemas de información clínica en distintas plataformas y la
imagenología, tomografía, rayos X, electroencefalograma y ampliación de para los expedientes clínicos, este último en la
otros, se realicen directamente, es decir sin la necesidad de estar región de La Paz Bolivia estará sujeto a las normas nacionales
transcribiendo, y automáticamente estaría siendo disponible la en el tema de firmas digitales, conectividad, internet e
información de los resultados, para los médicos tratantes y interoperabilidad de los sistemas.
asimismo para los pacientes, quienes tienen derecho a ser REFERENCIAS
informados de manera oportuna.
[1] M. Espinosa, F. Prieto y D. Mesa, de Estudio de ITIL V3 para el servicio
Por otro lado, protocolos de la seguridad de la información de telepresencia, septiembre de 2016.
que estén alineadas con las normas vigentes sobre el manejo de [2] COBIT 5, de Un Marco de Negocio para el Gobierno y la Gestión de las
los expedientes clínicos, coadyuvará en el manejo adecuado de TI de la Empresa, 2012.
la información. [3] Ministerio de Salud y Deportes, «Articulo 21 (Asignación de la
Responsabilidad Confidencial),» de Norma Técnica para el Manejo del
IV. DISCUSIÓN Expediente Clínico, 2008.
[4] AENOR, «Guía completa de aplicación para la gestión de los servicios de
La aplicación de protocolos de interoperabilidad, bajo la tecnologías de la información,» de Guía completa de aplicación para la
estructura de gestión de TI, resulta muy ventajoso, porque hace gestión de los servicios de tecnologías de la información AENOR
que la disponibilidad de la información sea más ágil, esto es (Asociación Española de Normalización), 2009.
justamente lo que los pacientes buscan y no solamente ellos si [5] Programa de Mejora de la Gestión Municipal, Gestión municipal y
no todos queremos una información de manera rápida. gobierno electrónico: experiencias en salud, tramas productivas y turismo,
Primera edición. ed., Ciudad Autónoma de Buenos Aires, 2013, p. 250.
Considerando las medidas de seguridad informática, se
minimizan los riesgos, acercando y adaptando a los cambios que
60
Calidad en la especificación de requerimientos de

software aplicado en metodologías ágiles
Daniela Saavedra Menchaca
La Paz - Bolivia
saavedra.danis@gmail.com
Resumen—Los inconvenientes que se presentan en el En base a lo mencionado anteriormente se plantea como

desarrollo de un proyecto de software repercuten cuando se objetivo determinar la calidad de especificación de
realiza la entrega del producto al cliente, y precisamente es en la requerimientos revisando bibliografía existente sobre las
etapa inicial o de planificación donde se originan estos problemas, técnicas de especificación de requerimientos en metodologías
esto podría ser por la mala estimación de tiempos, falta de ágiles: Scrum y Xtreme Programming.
definición de riesgos, y requerimientos poco especificados. La
especificación de requerimientos es el paso principal que se debe II. METODOLOGÍAS ÁGILES
realizar para proseguir con las fases de desarrollo de software. En
este artículo se explora la especificación de requerimientos en En el año 2001 se reunieron varias personas para armar un
metodologías agiles y cómo estás se han adaptado al ciclo de vida esquema de trabajo que atacan las problemáticas del desarrollo
del software. Se analiza el proceso de especificación de de software, ya que las metodologías tradicionales ocasionaban
requerimientos en la Metodología Scrum y Metodología Xtreme ciertos problemas. Las metodologías ágiles se enfocan en
Programming (XP) para después hacer una comparación de sus procesos incrementales con entregas funcionales, que buscan
procesos y de esa manera obtener una buena práctica que sea aumentar la confianza de los clientes al vincularlos en el proceso
aplicable para ambas metodologías. mediante la cooperación entre ellos y el equipo de trabajo. Las
metodologías ágiles se caracterizan por reducir la gran cantidad
Palabras clave—Metodologías de desarrollo, ingeniería de de documentación que es común en las metodologías
requerimientos, ciclo de vida del software, metodología ágil tradicionales, están buscan ser adaptables y se basan en modelos
de desarrollo incrementales. Estas metodologías se pueden
I. INTRODUCCIÓN adoptar al problema en cuestión sin importar el tamaño,
Las especificaciones de los requerimientos son la puerta de trabajando por fases definidas y descomponiendo el proyecto
entrada a las fases posteriores del proceso de desarrollo de para facilitar su gestión. Las metodologías más representativas
software, por ello la calidad relacionada con la especificación es en la actualidad las detallaremos a continuación:
muy importante para obtener un producto de software adecuado
y de esa manera cumplir con los plazos y costos definidos. La A. Metodología SCRUM
definición de los requerimientos no es una actividad trivial por Scrum (nombre que proviene de cierta jugada que tiene lugar
ello se han desarrollado modelos que contienen los procesos durante un partido de rugby) es un método de desarrollo ágil de
definidos donde estos se adecuan de acuerdo con las software concebido por Jeff Sutherland y su equipo de desarrollo
circunstancias del proyecto y el contexto de la aplicación. a principios de la década de 1990. En años recientes, Schwaber
y Beedle han desarrollado más los métodos Scrum [1].
La ingeniería de requerimientos consta de las actividades de
elicitación1, documentación y verificación que permiten conocer Los principios Scrum son congruentes con el manifiesto ágil
la situación del proyecto, sin embargo, la inestabilidad o y se utilizan para guiar actividades de desarrollo dentro de un
modificaciones incrementales permite que el software se proceso de análisis que incorpora las siguientes actividades
entregue en pequeñas partes denominadas incrementos. Cada estructurales: requerimientos, análisis, diseño, evolución y
iteración es definida como un subproyecto donde se lleva a cabo entrega. Dentro de cada actividad estructural, las tareas del
la planificación, y se trata a los requerimientos con mucha trabajo ocurren con un patrón del proceso llamado sprint. El
importancia, estos deben ser concisos y fáciles de entender, una trabajo realizado dentro de un sprint (el número de éstos que
vez culminado el desarrollo se realiza las pruebas con el fin de requiere cada actividad estructural variará en función de la
producir un subconjunto del sistema final. El proceso se repite complejidad y tamaño del producto) se adapta al problema en
varias veces hasta que el producto este completo. Actualmente cuestión y se define —y con frecuencia se modifica— en tiempo
las metodologías ágiles adoptan este ciclo, sin embargo, cada real por parte del equipo Scrum.
una cuenta con sus propias características. Scrum acentúa el uso de un conjunto de patrones de proceso
del software que han demostrado ser eficaces para proyectos con

[N] D. Saavedra, «Calidad en la especificación de requerimientos de software aplicado en metodologías
ágiles», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 61-64, 2020.
1
La elicitación de requisitos es el fundamento o base primordial en el desarrollo de proyectos software y es la fase que proporciona el impacto más alto en el
diseño y en las demás fases del ciclo de vida del producto. [10]
61
plazos de entrega muy apretados, requerimientos cambiantes y proporcionar cualquier tipo de retroalimentación que podría ser
negocios críticos. Cada uno de estos patrones de proceso define beneficiosa o útil de alguna manera para el próximo sprint. Este
un grupo de acciones de desarrollo. ciclo de retroalimentación da como resultado modificaciones a
la funcionalidad entregada recientemente, luego, nuevamente,
B. Metodología XP es más probable que se revisen o agreguen nuevos
La programación extrema o Xtreme Programming, es un requerimientos a la cartera de productos. Otra actividad en la
framework de desarrollo de software basado en los métodos gestión de proyectos Scrum es la retrospectiva de Sprint. El
ágiles, que evidencia principios tales como el desarrollo Scrum Master, PO y el equipo de desarrollo participan en esta
incremental, la participación del cliente, el interés en las reunión. Es la oportunidad de reproducir o revisar el sprint que
personas y no en los procesos como elemento principal, y ha finalizado e identificar nuevas formas de mejorar. Scrum
aceptar el cambio y la simplicidad. [1] El proceso está consta de tres artefactos: sprint backlogs, product backlogs y
constituido por las siguientes fases: exploración, planificación, burn down charts.
iteraciones, producción, mantenimiento y cierre de proyecto. XP
propone las siguientes buenas prácticas: planificación El Product Backlogs, priorizada por el PO, es una lista
incremental, entregas pequeñas, diseño sencillo, desarrollo completa de la funcionalidad (escrita como historias de usuario)
previamente aprobado, limpieza de código o refactorización, que se agregará eventualmente al producto. Se prioriza para que
programación en parejas, propiedad colectiva, integración el equipo siempre pueda trabajar primero en las características
continua, ritmo sostenible y cliente presente. más importantes, urgentes y valiosas.
Por otro lado, Sprint Backlog es la lista de todas aquellas
III. ESPECIFICACIÓN DE REQUERIMIENTOS EN LAS tareas que el equipo debe realizar durante el Sprint para entregar
METODOLOGÍAS ÁGILES
la funcionalidad requerida.
Para mejorar el proceso de gestión de requerimientos el
trabajo se centra en las actividades que se realizan en esta etapa, La cantidad restante de trabajo ya sea en un sprint o en un
con ese fin se analiza las prácticas ágiles en las metodologías lanzamiento, se muestra mediante gráficos "Burn down". Es una
mencionadas anteriormente. herramienta eficaz para concluir si un sprint o lanzamiento está
programado para tener todo el trabajo planificado terminado a
A. SCRUM tiempo.
La metodología Scrum se compone de una reunión de La ingeniería de requerimientos tradicional consume mucho
planificación y una reunión diaria de Scrum, la reunión de tiempo y requiere un proceso rápido para satisfacer
planificación se lleva a cabo al comienzo de cada sprint. En esta oportunamente las necesidades del mercado, por lo que la
reunión, los miembros del equipo determinan la cantidad de industria del software moderno exige un proceso rápido e
requerimientos que pueden administrarse, es decir, crean una iterativo como el desarrollo ágil para hacer frente a los requisitos
acumulación de Sprints a partir de eso. El backlog de Sprint y el tiempo cambiantes.
contiene la lista de todas las tareas que deben realizarse durante
un Sprint en particular. Las reuniones diarias de scrum no duran Hay muchos factores involucrados en el éxito o el fracaso de
más de 15 minutos, donde el dueño del producto (PO) recibe un producto, uno de ellos es recopilar y priorizar los
actualizaciones continuas sobre el proceso de desarrollo y puede requerimientos [2]. La obtención y priorización de
proporcionar comentarios sobre las funciones que se incluyen requerimientos es una de las tareas más desafiantes durante el
como se explica en la siguiente figura: desarrollo del producto y es muy poco probable que pueda
escribir todos los requerimientos en una etapa temprana, ya que
evolucionan continuamente a lo largo del proceso de desarrollo
y deben abordarse adecuadamente para satisfacer las
necesidades cambiantes. de mercado y tiempo. Dado que scrum
es una metodología ágil, permite a los ingenieros manejar los
requerimientos cambiantes a medida que evolucionan; sin
embargo, aún es una tarea desafiante comprender qué
requerimientos previos son lo suficientemente vitales para tener
una gran necesidad y ser incorporados en los primeros sprints.
La organización de los requerimientos en prioridades ayuda al
equipo del proyecto a comprender qué requerimientos son más
esenciales y urgentes de implementar y ejecutar. La priorización
también es una actividad útil para la toma de decisiones en otras
fases de la ingeniería de software. Por lo tanto, debe haber una
técnica de priorización de requerimientos bien administrada
incluida en los procesos de scrum que mejore su calidad.
Fig. 1. Estructura de Scrum [11]
B. XP
De esta manera, si un PO decide agregar una nueva función Barry Boehm presentó que el costo del cambio crece
a un sprint, puede discutirlo con el equipo de desarrollo y ahorrar exponencialmente a medida que el proyecto avanza en su ciclo
tiempo en lugar de revisarlo al final y exigir un cambio al final. de vida [3], Stuart Faulk lo reitera al afirmar que el costo relativo
El equipo lleva a cabo una revisión del sprint al final de cada de reparación es 200 veces mayor en la fase de mantenimiento
sprint en el que demuestran nuevas características y que si se encuentra atrapado en la fase de requerimientos [4]. XP
funcionalidades al PO u otras partes interesadas que pueden cuestiona que este ya no es el caso.
62
Si bien es más caro modificar el código que modificar una principalmente a través de historias. Estas historias son similares
descripción en prosa, con los lenguajes modernos y las técnicas a los casos de uso definidos en UML, pero tienen un alcance
de desarrollo no es un aumento exponencial. mucho más simple [5].
Para la obtención de requerimientos en XP se agrega un Desarrollar una especificación escrita integral es un proceso
miembro de la organización del cliente al equipo. Este muy costoso, por lo que XP utiliza un enfoque menos formal.
representante del cliente trabaja a tiempo completo con el No es necesario escribir los requerimientos para responder a
equipo, escribiendo historias, similar a los casos de uso de todas las preguntas posibles, ya que el cliente siempre estará allí
Universal Markup Language (UML): desarrollo de pruebas de para responder a las preguntas que surjan. Esta técnica se saldría
aceptación del sistema y priorización de requerimientos [5]. rápidamente de control para un gran esfuerzo de desarrollo, pero
para equipos pequeños y medianos (los equipos de menos de 20
La especificación no es un solo documento monolítico; en personas se informan con mayor frecuencia) puede ofrecer un
cambio, es una colección de historias de usuarios, las pruebas de ahorro sustancial de costos. Sin embargo, debe tenerse en cuenta
aceptación escritas por el cliente y las pruebas unitarias escritas que un representante del cliente sin experiencia pondría en
para cada módulo. Dado que el cliente está presente durante todo peligro esta propiedad.
el desarrollo, ese cliente puede considerarse parte de la
especificación, ya que está disponible para responder preguntas Luego, los programadores toman cada historia y estiman
y aclarar ambigüedades. cuánto tiempo creen que llevará implementarla. El alcance se
controla en este punto, si un programador piensa que la historia,
El ciclo de vida de XP es de naturaleza evolutiva, pero los aislada, tomará más de dos semanas para implementar, se le pide
incrementos se hacen lo más pequeños posible. Esto permite al al cliente que divida la historia. Si los programadores no
cliente (y a la gerencia) ver un progreso concreto a lo largo del comprenden la historia, siempre pueden interactuar
ciclo de desarrollo y responder a los cambios de requerimientos directamente con el cliente. Una vez que se estiman las historias,
más rápidamente. Hay menos trabajo involucrado en cada el cliente selecciona qué historias se implementarán para el
lanzamiento, por lo tanto, las etapas de estabilización que próximo lanzamiento, impulsando así el desarrollo de los
requieren mucho tiempo antes de los lanzamientos toman menos intereses comerciales.
tiempo. Con un tiempo de iteración más largo, puede llevar un
año incorporar una nueva idea: con XP esto puede suceder en En cada lanzamiento, el cliente puede evaluar si el próximo
menos de una semana [6]. lanzamiento aportará valor comercial a la organización.
Cada historia que se implementará se divide en tareas. Un
par de programadores trabajarán para resolver una tarea a la vez.
El primer paso para resolver una tarea (después de comprender,
por supuesto) es escribir un caso de prueba para ello. Los casos
de prueba definirán exactamente lo que se debe codificar para
esta tarea. Una vez que pasan los casos de prueba, la
Fig. 2. Ciclo de vida de un proyecto basado en XP [7] codificación está completa [8]. Por lo tanto, las pruebas unitarias
también pueden considerarse una forma de requerimientos.
Un aspecto fundamental de XP son las pruebas. El cliente Cada prueba (en todo el sistema) debe pasar antes de que se
especifica las pruebas del sistema; los desarrolladores escriben pueda integrar el nuevo código, por lo que estos requerimientos
pruebas unitarias. Este código de prueba sirve como parte de la de prueba unitaria son persistentes. El desarrollo de software
definición de requerimientos: un caso de prueba codificado es basado en pruebas de XP registra los requerimientos específicos
un medio inequívoco en el que registrar un requerimiento. XP de cada tarea en casos de prueba.
requiere que los casos de prueba se escriban primero, y luego se
escriba la cantidad más simple de código para especificar el caso IV. CONCLUSIONES
de prueba. Esto significa que los casos de prueba ejercerán toda Del análisis de la literatura existente podemos decir que XP
la funcionalidad relevante del sistema, y la funcionalidad realiza la especificación de requerimientos durante todo el ciclo
irrelevante no debería ingresar al sistema [8]. de vida del software en pequeñas etapas informales. El cliente
Este artículo describe y evalúa los procesos de ingeniería de se une al equipo de desarrollo a tiempo completo para escribir
requerimientos asociados con el paradigma XP. las historias de usuario, desarrollar pruebas de aceptación del
sistema, establecer prioridades y responder preguntas sobre los
El proceso de ingeniería de requerimientos de XP, Harwell requerimientos. Las historias de usuario tienen un alcance más
y col. Divida los requerimientos en dos tipos: simple para los casos de uso porque el cliente no necesita
Un parámetro de producto se aplica al producto en responder todas las preguntas imaginables. Las historias
desarrollo, mientras que un parámetro de programa se ocupa de informales luego se traducen en pruebas de aceptación que
los esfuerzos de gestión que permiten que el desarrollo tenga tienen algunas propiedades de una especificación ejecutable.
lugar [9]. A medida que surgen requisitos a lo largo del proceso de
El cliente que se convierte en miembro del equipo de XP desarrollo de software, es necesario priorizar los requisitos y,
define los parámetros del programa y del producto. por lo tanto, gestionarlos con la máxima prioridad,
especialmente cuando el escenario es el del proceso de
Los parámetros del producto se definen a través de historias desarrollo de software ágil. Existen muchas técnicas de
y pruebas de aceptación, mientras que los parámetros del priorización de requisitos, metodologías propuestas y seguidas,
programa se tratan en la planificación del lanzamiento y la pero la mayoría de ellas no tienen en cuenta los factores clásicos
iteración. Los parámetros del producto se comunican (métricas) que influyen en la calidad general del producto de
63
software que se está desarrollando, por ejemplo, ISO (9126, REFERENCIAS

25000, 830) métricas externas. [1] I. F. T. e. Ingenieros, «SELECCIÓN DE TÉCNICAS DE INGENIERÍA
DE SOFTWARE,» 2020. [En línea]. Available:
Durante el desarrollo de este trabajo podemos indicar que es https://virtual.itca.edu.sv/Mediadores/stis/43____mtodo_scrum.html.
importante saber diferenciar lo que es requerimiento de software [Último acceso: 03 07 2020].
de su especificación. El requerimiento explica el problema que [2] M. Mohd y R. Mohd, «Validation of Requirement Elicitation Framework
el sistema o producto software debe resolver, sin embargo, la using Finite State Machine,» IEEE International Conference on Control,
especificación del requerimiento es el registro del requerimiento Instrumentation, Communication and Computational Technologies
en una o más formas, como ser: Especificación de (ICCICCT), 2014.
Requerimientos de Software, Casos de Uso, Escenarios, [3] D. B. Boehm, Software Engineering Economics, Prentice Hall, 1981.
Historias de Usuario, etc. [4] F. Stuart, Software Requirements: A Tutorial, Software Engineering,
IEEE, 1996.
Para la definición de los atributos y características deseables [5] R. Jeffries, Extreme Programming Installed, Boston: Addison Wesley,
en la especificación de requerimientos en metodologías ágiles, 2001.
se revisaron los objetivos y las buenas prácticas para el [6] B. Kent, Extreme Programming Explained: Embrace Change, Boston:
desarrollo de estos y se encontró un modelo llamado INVEST Addison Wesley, 2000.
que define las características para la escritura correcta de las [7] Baird, «Tecnologías de información para acercar al ciudadano a los
historias de usuario. servicios de justicia en Colombia: El caso del mapa de oferta de justicia,»
Diciembre 2011. [En línea]. Available:
Tanto en las metodologías ágiles y tradicionales existen https://www.researchgate.net/figure/Figura-1-Ciclo-de-vida-de-un-
mecanismos de obtener, analizar, especificar y verificar los proyecto-basado-en-XP-Fuente-Adaptada-de-Baird-
2002_fig1_305301468. [Último acceso: 20 12 2020].
requerimientos de un sistema. Los dueños del producto actúan
[8] U. S. R. Addison-Wesley, «Extreme Programming Explained,» Google
como la voz del cliente ya que conocen sus necesidades y Scholar, 2000. [En línea]. Available:
expectativas y son los responsables de la gestión y priorización http://scholar.google.com/scholar_lookup?title=Extreme%20Programmi
de requerimientos. Los requerimientos pueden ser especificados ng%20Explained%3A%20Embrace%20change&author=K..%20Beck&
en las historias de usuario y ser validados al finalizar de cada publication_year=2000. [Último acceso: 01 06 2020].
iteración. [9] R. Harwell, What is a Requirement?, Proceedings, Third Annual
International Symposium National Council Systems Engineering, 1993.
De igual modo se pudo observar que para la definición de las [10] F. Cardona y J. Castaño, «Técnicas utilizadas para la toma y elicitación
historias de usuario es importante la comunicación y de requerimientos en la ingeniería del software,» 2015. [En línea].
participación de los usuarios en el proceso de desarrollo. Available:
Expresar los requerimientos de software como historias de http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/6110/0051C
268.pdf?sequence=1&isAllowed=y. [Último acceso: 19 12 2020].
usuario resulta muy difícil para quienes comienzan a emplear las
[11] «https://blog.conectart.com/,» [En línea]. Available:
metodologías ágiles, los posibles errores cometidos en esta etapa https://blog.conectart.com/la-metodologia-scrum-scrum-methodology/.
pueden llevar a desarrollar casos de prueba equivocados y a la [Último acceso: 19 12 2020].
mala interpretación de requerimientos o en el peor de los casos,
desarrollar el producto incorrecto.
Daniela Saavedra Menchaca es Licenciada en Informática por la Universidad Mayor de San Andrés. Actualmente realiza la
Maestría en Alta Gerencia en Tecnologías de la Información y las Comunicaciones e Innovación para el Desarrollo (MAG-TIC) en
el Postgrado en Informática UMSA. Tiene Certificación Internacional por ISTQB International Software Testing Qualification
Board.
Ejerce profesionalmente como Ingeniera de Calidad en la empresa Jalasoft, y desarrolló cargos similares en Coderoad, Inmobiliaria
Kantutani y Servicio General de Identificación Personal (SEGIP). Email: saavedra.danis@gmail.com.
64
Honeypots dinámicos basados en Blockchain

Danitza Helen Vallejos Quiñones
La Paz - Bolivia
helen.vallejos.q@gmail.com
Resumen—Los Honeypots proporcionan al atacante todos los real entre todos los nodos, que tienen la misma importancia. El
recursos necesarios para que un ataque sea exitoso, lo que permite esquema descentralizado de la tecnología Blockchain, ayudará a
a la organización un estudio de las técnicas y procedimientos que que la herramienta honeypot mantenga un funcionamiento
realizó el hacker, para su documentación y aprendizaje para normal, por lo que no importa si un host central se bloquee en el
futuros incidentes. Sin embargo, en los Honeypots tradicionales, el sistema.
atacante puede identificarlos fácilmente, el uso de los Honeypots
dinámicos pueden pasar desapercibidos, por la semejanza con un A. Blockchain.
servicio real. El uso de la tecnología Blockchain ayudará la La cadena de bloques es una base de datos que puede ser
descentralización del sistema y almacenar los datos mediante una compartida por una gran cantidad de usuarios de forma peer-to-
cadena privada. peer, que permite almacenar información de forma inmutable y
ordenada.
Palabras clave—Blockchain, Honeypots, host, red, P2P.
Las bases de datos o registros de información centralizados,
I. INTRODUCCIÓN se pueden definir como aquellos en las que los datos se
Un Honeypot, es un software o conjunto de elementos de almacenan en un lugar físico, un único servidor, aunque este sea
red, cuya intención es atraer atacantes, simulando ser un sistema accesible desde otros lugares. Blockchain nace como una
vulnerable a los ataques, los honeypots se ha convertido en una propuesta de registros de información distribuido y opera de
herramienta indispensable para proporcionar seguridad, a varias manera que cada una de las computadoras o servidores
aplicaciones con ser el Internet de las cosas (IoT). Además de conectados a la base de datos tienen una copia de todo el sistema
ser una fuente para obtener información sobre las técnicas Blockchain.
utilizadas en los ataques de las redes de comunicación [1].
P2P hace referencia a la interacción entre los distintos
Esta herramienta está diseñada especialmente para servir participantes que se denominan nodos, estos nodos están
como una trampa contra posibles ataques, tienen la capacidad de conectados entre sí, cuando un nodo quiere informar al resto de
simular un servicio o dispositivo con el objetivo de atraer nodos de una transacción, le envía la información sobre la
acciones, que posteriormente son analizadas [2]. misma a aquellos con las que está conectado y estos la replican
con aquellos, que a su vez estaban conectados este proceso se
Los Honeypots se pueden clasificar en dos categorías, los itera hasta que la información este compartida por toda la red.
estáticos están diseñados para engañar a los atacantes imitando
alguna de las características del sistema. Sin embargo, debido a Funcionamiento de la tecnología Blockchain: los procesos
la configuración fija, estas son propensas a ser detectados por mediante el cual se genera la información y se publican nuevos
los atacantes. Mientras que los honeypots dinámicos mejoran la bloques validos pueden describirse en los siguientes pasos:
debilidad de los estáticos, debido a su configuración cambiante,
El primer paso consiste en enviar la información en forma de
es decir que es capaz de engañar a los intrusos y aprender de los
transacciones que finalmente acabarían constituyendo los
nodos de ataque [2].
bloques de la misma, es decir cuando un nodo quiere realizar
Uno de los mayores desafíos al implementar cualquier tipo una transacción, le envía la información sobre esa transacción a
de sistema de seguridad es mantener la funcionalidad del sistema los nodos con los que está conectado.
a medida que este cambie, por lo que se ha convertido en un
En el segundo paso, cada nodo va llevando su pool con las
problema común en los honeypots, ya que se debe lograr que se
transacciones que va escuchando. En general, los pools de dos
entremezclen entre los sistemas verdaderos y estos pasen
nodos diferentes no tienen por qué coincidir puesto que lo
desapercibidos.
normal es que escuchan las transacciones en distinto orden.
Un honeypot dinámico, debería ser capaz de funcionar sin la
El tercer paso, cada ronda dependiendo del Blockchain
necesidad de actualizarlo constantemente, además de identificar
tienen lugar tras un tiempo que puede variar, en promedio desde
las ip, que no pertenecen al sistema de manera automática [2].
unos pocos segundos hasta varios minutos en, un nodo que es
Blockchain es una red descentralizada, conocida como escogido aleatoriamente para proponer un bloque. Este proceso
cadena de bloques, se caracteriza porque la información es el más importante, haciendo que Blockchain sea una base de
recogida está distribuida en varios ordenadores, denominados datos donde distintas partes no tienen por qué confiar unas en
nodos, donde se almacenan copias que se actualizan en tiempo otras.

[N] D. Vallejos, «Honeypots dinámicos basados en Blockchain», Revista PGI. Investigación, Ciencia y
65
En el cuarto paso, la persona elegida propone un bloque TABLA I. METODOLOGÍAS

nuevo con las transacciones que ha ido “escuchando” y Método Honeypots Blockchain
registrando su pool. Antes de ser enviado a los demás nodos,
este nodo es validado por un hash, que es el código alfanumérico Investigación a partir de un conjunto dado de premisas,
obtenido a partir de toda la información del bloque [3]. Deducción dicho de otra forma, un modo de pensamiento que va de
lo general a lo específico.
B. Honeypots. Es un método de
Un honeypot es un sistema diseñado para analizar como los investigación que consiste en
atacantes emplean sus habilidades para intentar entrar a un Analítico la desmembración de un todo,
descomponiéndolo en sus
sistema, alterar o destruir sus datos. Son servidores de partes o elementos.
información falsos, posicionados estratégicamente en una red de
prueba, las cuales son alimentados con información inexistente Es un proceso que
tiende a reconstruir un
que es disfrazada con información de naturaleza confidencial. Sintético
todo, a partir de los
A su vez estos servidores son configurados de manera que elementos
sea complicado, pero no imposible ser vulnerados por un Técnicas de investigación
atacante, exponiéndolos de manera deliberada a posibles ataques
Para el presente estudio, se usó la investigación
[5]. documental, la cual fundamenta la recopilación de
Entre las funciones de un honeypot está: información, a partir de documentos y artículos
Investigación
relacionados con seguridad, Honeypots y Blockchain,
documental
• Desviar la atención del atacante de la red real, de manera provenientes de diferentes autores.
Este estudio se realizó a partir de los conocimientos y
que no se comprometan las aplicaciones principales. teorías obtenidas de diferentes autores.
• Capturar virus o gusano para su posterior estudio. Fuente: Elaboración propia
• Formar perfiles de atacantes y sus métodos de ataque, III. RESULTADOS
para construir un archivo del modus operandi de un
atacante. La plataforma Blockchain sirve como la capa inferior en el
sistema, los hosts constituyen una cadena de bloques privadas
• Conocer las nuevas vulnerabilidades y riesgos de los que forman una red P2P, al calcular el valor hash del bloque, el
distintos tipos de sistemas operativos, entornos y host en la cadena privada puede extraer el bloque principal y
programas que aún no se encuentran documentadas. subirlo a la cadena, este mecanismo garantiza que la arquitectura
de despliegue, se distribuya y descentralice. El host temporal y
Honeypots dinámicos. El servidor honeypot dinámico, principal ejecutará el algoritmo de asignación de servicios y
comienza recopilando información sobre los hosts disponibles enviará la información cifrada a otros hosts, es decir el host que
utilizando un enfoque activo o pasivo. El administrador tiene la calcule con éxito un hash en particular, se convierte en un host
opción de seleccionar el mejor enfoque de recopilación de datos, principal, como se muestra en la siguiente imagen.
que se utilizará en función de la arquitectura de la red.
Si la red se compone de ordenadores conectados a través de
un concentrador donde es factible el rastreo del paquete, el
administrador puede ejecutar el servidor honeypot dinámico en
modo pasivo, evitando la necesidad de generar paquetes de
sondeo en el medio compartido.
Por otro lado, si la red consiste en una red conmutada donde
los hosts se conectan al interruptor de la capa dos, la toma de
huellas pasivas no sería tan confiable como en el sondeo activo,
después de obtener la imagen completa de la red, incluidos los Fig. 1. Anfitriones principales
sistemas operativos y los servicios de los hosts en ejecución. El Fuente: Elaboración propia
servidor honeypot dinámico estima la naturaleza y servicios de
los sistemas falsos que se implementan, luego emite los Si el host configurado sufre de ataques y su rendimiento
parámetros de configuración adecuados para implementar los disminuye, no puede servir como el host contador por carecer de
sistemas en la red. suficientes recursos informáticos, y otros hosts los reemplazarán
automáticamente. Por lo tanto, la ruptura del host principal no
La red tendría sistemas reales y falsos corriendo juntos, el hace diferencia en el sistema, es decir el sistema funciona
intruso puede ser detectado usando las conexiones que se hacen normalmente.
en los sistemas inexistentes que son sistemas de producción que
se supone que no perciben tráfico de la red, cualquier intento de Los ataques capturados por un host se cargan en Blockchain
interactuar con el sistema falso seria redirigido a un honeypot y otros nodos sincronizan estos registros en la cadena privada,
físico, que permite al hacker un mayor nivel de interacción [3]. por lo tanto, cada nodo tiene datos completos que se almacenan
de manera segura y resistente a manipulaciones para futuros
II. MÉTODOS análisis forenses.
Para el presente estudio se aplicaron los siguientes métodos
y técnicas de investigación:
66
IV. CONCLUSIONES
El problema en una arquitectura distribuida, conduce a un
problema, donde los datos almacenados en las bases de datos
son alterables. Mientras en un esquema descentralizado basado
en Blockchain, las bases de datos son inalterables, la
información dinámica de estos esquemas se refleja en la
implementación o configuración.
Sin embargo, la información solo es de los honeypots, en
lugar del sistema real. Una vez que se reconoce estos honeypots,
Fig. 2. Sistema honeypot distribuido dinámicamente el sistema real se enfrenta a amenazas, mientras el esquema
Fuente: Jia, Baoying, Honglong, Leyi, S., & Yang, L. Dynamic Distributed descrito anteriormente contiene tanto servicios reales como
Honeypot based on Blockchain honeypots y al cambiar periódicamente los servicios reales, un
El host del centro genera información de conversación que atacante no puede encontrarlos, protegiendo así el sistema real.
se asigna a cada host para iniciar diferentes servicios, es decir REFERENCIAS
para iniciar un servicio real o honeypot.
[1] Incibe-cert. (23 de marzo de 2017). Centro de respuesta a incidentes de
Desde la perspectiva de seguridad, cada host puede seguridad. Obtenido de https://www.incibe-cert.es/
ejecutarse en un modo normal o modo compromiso. Un modo [2] Jia, L., Baoying, S., Honglong, C., Leyi, S., & Yang, L. (2019). Dynamic
normal indica que un host funcional sin datos maliciosos y Distributed Honeypot based on Blockchain. IEEE.
mantiene su funcionamiento normal. Sin embargo, un modo de [3] Kuwatly, I., Sraj, M., & Al Masri, Z. (2019). A dynamic Honeypot design
compromiso indica que el host se ejecuta de forma maliciosa y for Intrusion Detection. IEEE.
se daña a sí mismo [2]. [4] López, M. A. (2018). Blockchain, Como desarrollar confianza en
entornos complejos para generar valor de impacto social. BID Banco
Interamericano de Desarrollo.
[5] Mora, P. (2018). Honeypots. México.
Danitza Helen Vallejos Quiñones es Ingeniera de Sistemas por la Escuela Militar de Ingeniería (La Paz, 2015), diplomada en Gestión
de incidentes de tecnología de la información, en la Escuela de Gestión Pública (La Paz, 2017).
Realizó un curso de E|SRI Seguridad y Respuesta ante Incidentes Informáticos en Hacking Bolivia (La Paz, 2019)
Ejerce actualmente como Operadora de Infraestructura Tecnológica en el Banco Nacional de Bolivia. Anteriormente en la empresa
DATACOM S.A. como técnica de proyectos especiales (2017).
Email: helen.vallejos.q@gmail.com.
67
Modelos de Social Media Marketing

en los Sistemas Educativos
La Paz – Bolivia
edgarenriquezralde@hotmail.com
Resumen—La revolución Informática ha permitido entrar en Esta situación incide en la calidad de los procesos de
la era de la sociedad del conocimiento y de los ejes semánticos enseñanza y aprendizaje [1], oportunismo en actividades de
donde los paradigmas de administración de organizaciones y convocatorias, impacto y audiencia en las actividades
sintagmas de comunicación han cambiado radicalmente para trascendentales, tanto para estamentos docentes como
poder aprovechar las distintas ventajas que nos otorgan las estudiantiles.
tecnologías de la información. Este cambio se ve con mucho más
énfasis en organizaciones como nuestros sistemas educativos A raíz de estos problemas se van generando indiferencia
donde existe una responsabilidad social bien definida, no solo en participativa en la comunidad académica, causando altos costos
aspectos administrativos sino también en procesos de enseñanza y de publicidad por la generación de material tradicional como ser
aprendizaje. El realizar una comunicación efectiva haciendo uso los volantes, afiches y algunos materiales contaminantes como
de herramientas de NTIC (Nuevas Tecnologías de Información y también la generación de burocracia y pérdida de liderazgo
Comunicación) que permitan lograr procesos eficientes de comunicacional y organizacional.
comunicación sin duda es el reto de estos paradigmas. Bajo este
contexto las organizaciones académicas tratan de implementar II. MÉTODOS
modelos y estrategias que permitan un mayor acercamiento e
Según la problemática detectada y los objetivos planteados,
interacción entre docentes, estudiantes y administrativos haciendo
uso de diferentes modelos de social media marketing que la investigación en el que se basa este trabajo es a partir de una
comprendan las redes sociales, características de la web 3.0, investigación basado en principios teóricos como la
mobile marketing, páginas web, gadgets, buzz marketing, investigación exploratoria, hermenéutica, como también del
comunicación 3.0 entre otros con el objetivo de establecer una estudio del estado del arte de la difusión y comunicación que se
comunicación efectiva. realizan en los Sistema Educativos.
De las percepciones más influyentes sobre las
Palabras clave—Social Media Marketing, Web 3.0,
comunicaciones tradicionales se puede deducir que:
Comunicación efectiva
TABLA I. VALORACIÓN DE LOS MEDIOS DE COMUNICACIÓN
I. INTRODUCCIÓN MEDIO VALORACION
Hoy en día el reto es aplicar y validar un modelo de social Sitio Web organizacional Buena
Boletines Impresos Regular
media marketing que permita incidir una comunicación efectiva
Afiches pegados Regular
en una audiencia objetiva de tal forma que se pueda aprovechar Televisiòn Mala
una mejor comunicación en los sistemas educativos como en las Comunicados verbales Regular
distintas organizaciones de nuestro país.
A. Web 3.0
Actualmente la mayoría de las unidades académicas La idea de web 3.0, en este contexto, está relacionada a lo
tropiezan con problemas de comunicación y difusión en los que se conoce como web semántica. Los usuarios y los equipos,
aspectos de coordinaciones académicas tal como muestra la en este marco, pueden interactuar con la red mediante un
siguiente imagen. lenguaje natural, interpretado por el software. De esta manera,
acceder a la información resulta más sencillo. Dicho de otro
modo, todos los datos alojados en la web 3.0 deberían ser
“entendidos” por las máquinas, que podrían procesarlos con
rapidez. La web 2.0 significó la aparición de redes sociales,
ahora las redes semánticas se dan gracias a la Web 3.0, que
centra su objetivo en la inteligencia artificial y la innovación
tecnológica. Algunas de las características que identifican su
presencia:
Fig. 1. Percepción de la comunicación en sistemas educativos Fig. 2. Fundamentación del social media marketing [2]

[N] E. Enriquez, «Modelos de Social Media Marketing en los Sistemas Educativos», Revista PGI.
68
1) Inteligencia. El proyecto de la red semántica conocida que tiene que ver con el mobile marketing. Los smartphones
como la Web 3.0, pretende crear un método para clasificar las permiten al usuario navegar por internet, enviar emails, subir
páginas de internet, un sistema de etiquetado que no solo fotografías o vídeos a la web, entre otras muchas acciones que
permita a los buscadores encontrar la información en la red sino ya se están volviendo cotidianas. Todos los datos indican que los
dispositivos móviles forman parte de nuestro día a día cotidiano.
entenderla. Al conseguir este objetivo, el usuario podrá acudir
Y no sólo para el disfrute personal, sino que para que las marcas
a la Web para preguntar en su lengua y sin necesidad de claves puedan plantear nuevas estrategias y atraigan a nuevos clientes
por un determinado asunto. La web aprenderá del resultado de mediante el mobile marketing [5].
las búsquedas para próximas operaciones.
2) Abierta. El software libre, los estándares y el open D. Buzz marketing
source, se han convertido en habituales en internet. La El buzz marketing, o marketing boca a boca, es una técnica,
información se distribuye libremente por la web, impidiendo dentro del marketing viral, cuyo objetivo es generar
que un solo dueño se apropie de ella. conversación entre la gente hacia una marca o un producto
3) Sociabilidad. Las comunidades sociales se hacen más concreto. Para ello, se comienza por inducir la prueba del
producto en unos pocos consumidores, específicamente
exclusivas y complejas. Crecen las redes sociales y el número
seleccionados, quienes comentan su experiencia con otras
de formas en que se conectan a sus miembros. Empieza a personas, convirtiéndose no solo en transmisores de
considerarse normal que una persona tenga varias identidades información, sino que también adquieren la capacidad de influir
en su vida virtual y se planteé incluso la posibilidad de poder en su comportamiento de compra. De esta manera, son los
migrar la identidad de una red a otra. propios consumidores los que potencian la comunicación de la
4) Rapidez. La transmisión de multimedia en la red es marca, que se difunde exponencialmente si la campaña es
posible gracias a las rápidas conexiones de los usuarios. Los exitosa [6].
principales operadores de telecomunicaciones han empezado a E. Comunicación efectiva
implementar la fibra óptica hacia los usuarios con anchos de
La comunicación efectiva es una forma de comunicación,
banda que llegaran hasta a 1000 Mbps.
que logra que quien transmite el mensaje lo haga de modo claro
5) Facilidad. Los internautas que visitan un sitio web deben y entendible para su interlocutor/es, sin que genere confusión,
emplear cierto tiempo en conocerlo aprender a usarlo. Las dudas o interpretaciones erróneas.
nuevas tendencias de diseño buscan estándares hacia una Web
más amistosa en sus funciones y más fácil de reconocer. F. Target audience
Este es un término técnico que se encuentra en el ámbito de
B. Marketing digital la publicidad, sobre todo en el marketing digital que permite
El marketing ha evolucionado tan rápido como la sociedad referir a una audiencia objetivo, mercado objetivo, se utilizan
en los últimos años, y un nuevo paradigma ha generado el como sinónimos para designar al destinatario ideal o a un grupo
cambio de marketing tradicional o convencional al nuevo objetivo social.
marketing o marketing digital. El principal cambio de este nuevo
mundo digital es que podemos estar conectados en todo
momento y en cualquier lugar [3].
Este marketing digital ha introducido nuevos conceptos
como: comunicación 3.0, redes sociales, engagement marketing,
prosumidores, branded communities, advertainment,
blogvertising, posicionamiento SEO y SEM, widgets,
podcasting, web semántica, marketing viral, marketing móvil,
comercialización e-social, etc.
Fig. 3. Segmentación y búsqueda de un grupo objetivo
Una empresa para ser competitiva, debe estar en constante
cambio y renovación, ajustándose a los nuevos cambios del G. Sistema Educativo
entorno, lo digital lo está cambiando todo [4], cuando las
Un sistema educativo es una estructura formada por diversos
compañías se encuentran en el mundo online particularmente
componentes que permiten educar a la población. Las escuelas,
deben actualizar su web, su diseño, contenidos y gestión de
las universidades, las bibliotecas, docentes, contenidos
usuarios para dar una imagen dinámica y moderna, sin olvidar
educativos, plataformas educativas entre otros, forman parte de
que también deben revisar y renovar su estrategias y relaciones
este sistema educativo.
con sus grupos de interés. Las plataformas tecnológicas y la
revolución digital crecen día a día en el mundo global. H. Social media marketing
C. Mobile marketing Es el nuevo paradigma que contiene una serie de
herramientas y aplicaciones que permiten abrir nuevos canales
El Mobile Marketing (o marketing móvil) es un conjunto de
de comunicación hacia la web 3.0. También es llamado el
técnicas y formatos para promocionar productos y servicios
marketing de las redes sociales que permite aprovechar las redes
utilizando los dispositivos móviles como canal de
sociales para que los participantes sean una parte activa y
comunicación.
proactiva de la comunicación.
La tecnología móvil está conquistando la sociedad. Su
Social Media Marketing es una poderosa plataforma para
adopción por parte de múltiples sectores de la sociedad es
crear y difundir información, noticias y rumores acerca de
incremental. Todos los días surge una innovación tecnológica
cualquier organización, ya sea con o sin fines de lucro. Además,
69
que puede ayudar a desarrollar vínculos de calidad, aumentar el • Motivar el uso y acceso a internet hasta un 95% [10] en
tráfico de su sitio Web y darle más control sobre su imagen de edad estudiantil permitiendo adecuar el modelo de social
marca y reputación corporativa en Internet. Este paradigma media marketing para inducir mejoras en la comunicación.
permite un diálogo en dos direcciones y orientan a los usuarios
de Internet en diferentes temas de distintos intereses, así que no IV. DISCUSIÓN
queda exenta las organizaciones como los sistemas educativos. Realizar la aplicación efectiva de modelos de social media
Social Media Marketing utiliza las redes sociales y marketing en sistemas académicos exige un gran cambio de
contenidos generados por usuarios para promover un producto, mentalidad, que requiere de una atención especial en su gestión
servicio, difundir información o algún tipo de contenido. Se trata tanto administrativa como pedagógica. Este tipo de atención
de crear y participar en un diálogo con su público objetivo [7]. debe ser asumido por los diferentes actores de los sistemas
Para el logro efectivo, este paradigma recurre a un plan de social académicos empezando por los administrativos con sus políticas
media marketing denotado por las siguientes fases: de un acercamiento a una sociedad digital, el estamento docente
con el impacto de las tecnologías educativas, con sus
posibilidades tanto para la elaboración, adquisición y
transmisión de conocimiento adoptando métodos pedagógicos
más innovadores, más interactivos y para diferentes tipos de
estudiantes y por último el estamento estudiantil que debería
asumir una actitud de aprendizaje activa, autónoma, estratégica,
reflexiva, cooperativa y responsable.
Indiscutiblemente el social media marketing logra ventajas
competitivas en todos los procesos comunicacionales de un
Sistema Educativo tanto en gestión administrativa y gestión
Fig. 4. Plan de Social Media Marketing pedagógica permitiendo el logro de la visión y misión de
III. RESULTADOS cualquier organización educativa.
Al ser una investigación basada en un estudio del estado del REFERENCIAS
arte, hermenéutica y experiencias de organizaciones educativas [1] UNESCO, «UNESDOC revista digital,» 2011. [En línea]. Available:
que aplicaron modelos de social media marketing podemos decir https://unesdoc.unesco.org/ark:/48223/pf0000226159. [Último acceso:
que los Sistemas Educativos validaron de manera positiva la octubre 2019].
implementación de los sistemas de información con entornos [2] E. Galvan, «El Marketing Digital, la nueva “P” en la estrategia de
comunicacionales bien definidos como ser el social media mercadotecnia,» UNAM, México, 2013.
marketing. La implementación de modelos de social media [3] A. Sierra, «Tendencias Digitales,» 2016. [En línea]. Available:
https://www.smdigital.com.co/blog/entendiendo-la-web-3-0/. [Último
marketing en los Sistemas Educativos permiten mejorar la acceso: 2018].
gestión y comunicación en un target definido [8] en los
[4] R. Mañez, «Cómo Hacer un Plan de Social Media Marketing Efectivo
siguientes aspectos: [Ejemplos],» 2017. [En línea]. Available: https://rubenmanez.com/guia-
plan-social-media-marketing/. [Último acceso: 2018].
• Facilitar las comunicaciones con los distintos estamentos
[5] Antevenio, «Qué es y cómo hacer mobile marketing eficaz,» 2016. [En
académicos. línea]. Available: http://www.antevenio.com/blog/2016/03/que-es-y-
• Favorecer la cooperación y colaboración entre entidades a como-hacer-mobile-marketing-eficaz/. [Último acceso: 2017].
través de envió de contenidos educativos. [6] B. Soto, «Marketing: todo lo que quisiste saber y nunca te dijeron,» 2016.
• Reducir los procesos burocráticos. [En línea]. Available: https://www.gestion.org/marketing/.
• Motivar a la adecuación de las nuevas tecnologías al crear [7] T. Smedia, «Social Media Marketing,» 2017. [En línea]. Available:
http://www.smedia.com/social-media-marketing.php.
sus propios contenidos.
[8] J. Fernández, «Diseño e implementación de un plan de social media
• Mejorar la gestión académica con la comunicación en línea marketing en la biblioteca de la Universidad de Cádiz,» Cádiz, 2011.
• Aumentar las respuestas innovadoras a los retos del futuro. [9] Agetic, Encuesta Nacional de Opinión sobre Tecnologías de Información
• Democratizar el acceso a la información y al conocimiento. y comunicación, La Paz, Bolivia, 2017.
• Fomentar el uso de las redes sociales dentro de la población [10] A. &. UNFPA, Juventudes Tic, La Paz Bolivia: Quatro Hermanos, 2019.
estudiantil boliviana con un crecimiento exponencial [9],
con el uso de WhatsApp, YouTube, Facebook, etc.
Breve CV del autor

Edgar Rufo Enriquez Ralde es Licenciado en Informática por la Universidad Mayor de San Andrés. Maestría en Ingeniería
Informática (USACH) Santiago de Chile; Maestría en Educación Superior (UDABOL); Maestría Alta gerencia en tecnologías de la
información las comunicaciones e innovación para el desarrollo (UMSA); Diplomado en Tecnología Educacional (U Católica de
Brasilia); Diplomado en Planificación y Gerencia Estratégica (UMSA); Diplomado en Ingeniería Informática (UDABOL).
Publicaciones: Libro “software Productivo”; Libro “Sistemas de Información”; Artículo “Sistemas inteligentes en un gobierno
digital”; artículo “Simbiosis de los sistemas de información y las TICs en el sistema universitario”.
Labor ocupacional: Consultor Programador, Coordinador y Jefe de carrera, Docente de la UMSA.
Línea de investigación: Tecnologías de Información y Comunicación. Email: edgarenriquezralde@hotmail.com.
70
Monitoreo del Sentimiento de la Sociedad Boliviana

en Redes Sociales: Aplicación Twitter
Freddy Richard Rojas Illatarco
La Paz – Bolivia
frichardrojasi@gmail.com
Resumen—El Análisis de Sentimiento, también llamado octubre del presente año (2019) se llevarán a cabo las elecciones
Minería de Opinión, permite determinar si una opinión expresada generales para elegir al presidente y al vicepresidente del estado,
en un texto es positiva o negativa. En este contexto, el Sentimiento otro de los temas polémicos del año será la reelección o no de
de la Sociedad es equivalente a la Opinión Pública. El presente los actuales mandatarios.
artículo contiene los resultados de la aplicación del modelo
propuesto por el autor como alternativa complementaria a los El autor del presente artículo propone un modelo, basado en
sondeos de opinión empleando la información de Twitter. La estrategias de Ciencia de Datos, para determinar la Opinión
aplicación del modelo inicia con el uso de las API de Twitter y Pública Boliviana a partir de la información de la red social
algoritmos de Teoría de Grafos para encontrar a la población total Twitter. Los resultados presentados, son de la aplicación del
de usuarios de Twitter en el país por departamento. El trabajo modelo en una versión demostrativa para determinar la opinión
continúa con la recolección de Tweets y el uso de algoritmos de pública respecto de la potencial reelección de los actuales
Aprendizaje Automático sobre los Tweets recolectados para mandatarios.
determinar el Sentimiento de la Sociedad Boliviana.
A continuación, se describe el estado de las tecnologías y
Palabras clave–ciencia de datos, análisis de sentimiento, minería fundamentos teóricos que fueron aplicados en la versión
de opinión, aprendizaje automático, sondeos de opinión, twitter. demostrativa.
I. INTRODUCCIÓN A. Determinación de una Muestra Estadística
Los sondeos de opinión son mediciones estadísticas que, En el marco de los sondeos de opinión, resulta imposible
basadas en encuestas, se realizan para conocer la opinión pública estudiar una población en su totalidad, razón por la cual se hace
general sobre ciertos temas. Los resultados de los sondeos necesario tomar muestras del total de la población. Una muestra
permiten conocer a distintos niveles el sentimiento, a favor o en es una porción representativa de individuos que permitirá
contra, de la sociedad sobre un tema específico. generalizar los resultados de una investigación al total de la
población [1] [2].
Este tipo de estudios son llevados a cabo con métodos
probados para asegurar su imparcialidad con márgenes de error La fórmula para determinar el tamaño de una muestra es:
aceptables. Sin embargo, sus resultados sólo reflejan la
percepción de la sociedad en un determinado periodo de tiempo. n = ( Z 2 p (1– p) ) / e2 (1)
Se tienen que repetir los estudios para determinar la evolución
de la percepción. Además, estos estudios no miden el grado de Donde:
honestidad de los encuestados, quienes pueden decir o no la Z es el valor asociado al grado de confianza.
p es la probabilidad de éxito en la muestra.
verdad al encuestador. e es el error muestral permitido.
Una alternativa complementaria a los sondeos de opinión, El grado de confianza del 95% es el más usado en trabajos
basados en encuestas, es la monitorización de las redes sociales de investigación. El valor de Z asociado a un grado de confianza
a través del Análisis de Sentimiento de los textos publicados por del 95% es 1.96. Por otra parte, si se desconoce la probabilidad
las personas en Redes Sociales sobre diferentes temas [6]. de éxito p, entonces se puede emplear el valor convencional de
Los sondeos de opinión y el Análisis de Sentimiento en las 50% que asegura el tamaño de la muestra más grande posible.
redes sociales se diferencian sustancialmente en que, en el A partir de (1) se obtiene la fórmula para determinar el error
primero el encuestador busca al encuestado y pide su opinión, y muestral dado el tamaño de una muestra:
en el segundo el “encuestador” determina la opinión del
“encuestado” a partir de las expresiones que éste vierte en Redes e = Z ( p (1– p) / n ) (2)
Sociales.
En el contexto nacional, algunos de los temas polémicos Esta fórmula fue empleada para determinar el error muestral
publicados en medios de prensa y redes sociales son: legalidad de la muestra obtenida por la versión demostrativa.
del aborto, pena de muerte, castración de violadores, alimentos
transgénicos e ideología de género. Considerando que en

[N] F. Rojas, «Monitoreo del Sentimiento de la Sociedad Boliviana en Redes Sociales: Aplicación Twitter»,
Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 71-76, 2020.
71
B. Algoritmos de Detección de Comunidades D. Análisis de Negocios

Un grafo puede ser descrito como un conjunto de nodos y las El Análisis de Negocios es el uso de datos, tecnología de la
relaciones que los conectan. Los algoritmos de detección de información, análisis estadístico, métodos cuantitativos,
comunidades evalúan cómo se agrupan o dividen grupo de modelos matemáticos y modelos basados en computadora,
nodos en un grafo, así como su tendencia a fortalecerse o orientado a la toma de decisiones. Comienza con la recopilación,
separarse [3] [4]. organización y manipulación de datos y está soportado por tres
componentes principales: Análisis Descriptivo, Análisis
Predictivo y Análisis Prescriptivo [8].
Wil Alex
Las funciones matemáticas utilizadas en los modelos
analíticos predictivos incluyen: función lineal, logarítmica,
e
e
Si
Si
gu
gu
gu
gu
Si
Si
e
polinómica, de potencia y exponencial.
e
Mike
Sigue
Fred
Sigue
Paul
Sigue
Rob La librería Python de Aprendizaje Automático Scikit-Learn
[14] contiene un conjunto amplio de herramientas simples y
COMUNIDAD: 1 COMUNIDAD: 2 eficientes para Minería de Datos, Análisis de Datos y Análisis
de Negocios. Complementariamente, la librería gráfica Plotly
Fig. 1. Ejemplo de la aplicación de un algoritmo de detección de comunidades [15] cuenta con una amplia variedad de herramientas para la
Fuente: Adaptación de la documentación de Neo4j
construcción de Cuadros de Mando Integral.
Neo4j [11] es un gestor de base de datos de grafos que Estas librerías fueron empleadas en la versión demostrativa
contiene un motor de persistencia embebido e implementado en para determinar tendencias y pronósticos a partir de los
Java. Neo4j cuenta con algoritmos para detección de resultados del Análisis de Sentimiento aplicado sobre los
comunidades implementados (Fig. 1), entre los que está el Tweets.
algoritmo de Louvain y el algoritmo de Propagación de
Etiquetas. II. MÉTODOS Y MATERIALES
Estos algoritmos fueron empleados en la versión El modelo propuesto por el autor plantea la identificación de
demostrativa para determinar la localización, a nivel de la mayor cantidad posible de los usuarios de Twitter en el país y
departamento, de los usuarios de Twitter que no hubieran el uso de este conjunto como muestra de la población boliviana.
declarado explícitamente su localización. Las opiniones expresadas por este conjunto permitirán
determinar el sentimiento de la muestra y, a través de él, la
C. Clasificadores Bayes Ingenuo opinión pública de la población.
Los clasificadores Bayes Ingenuo son algoritmos de A continuación, se describen brevemente las etapas
clasificación de Aprendizaje Automático que tienen base en el principales de la aplicación del modelo propuesto.
Teorema de Bayes el cual expresa la probabilidad condicional
de un evento aleatorio A dado otro evento aleatorio B [5] [7]. A. Cuentas Semilla
De acuerdo a este teorema, dadas dos características, la El punto de partida del modelo es la identificación de
probabilidad posterior de que se dé una característica A dado Cuentas Semilla. Una cuenta semilla es una cuenta de Twitter
que se dio una característica B es: con una gran cantidad de seguidores.
Para la identificación de las cuentas semilla se utilizaron los
P(A|B) = ( P(B|A) P(A) ) / P(B) (3) reportes de estadísticas de uso de Twitter hechos por
Donde: SocialBakers al 10 de junio de 2019 [10]. Este portal ofrece
P(B|A) es la probabilidad de que se dé B dado A. reportes de cuentas con más seguidores de marcas comerciales,
P(A) es la probabilidad de A. celebridades, comunidad, entretenimiento, medios de
P(B) es la probabilidad de B.
comunicación, lugares, sociedad y deportes.
Este clasificador permite predecir clases de una manera fácil
Se encontraron 63 cuentas de Twitter con más seguidores en
y rápida cuando se trata de problemas de clasificación binarios
Bolivia. De cada cuenta semilla, sólo se tienen los nombres de
y multiclase.
pantalla elegidos por los usuarios, con lo cual el paso final de la
TextBlob [12] es una librería Python destinada a procesar identificación de Cuentas Semilla es obtener los metadatos de
datos de textos basado en la plataforma NLTK [13]. TextBlob estas cuentas.
proporciona una API simple para tareas comunes de
Procesamiento del Lenguaje Natural como el etiquetado B. Recolección de Seguidores y Amigos
gramatical, extracción de frases nominales, análisis de Esta etapa consiste en la recolección de los seguidores y de
sentimientos, clasificación y traducción. los amigos de las cuentas dadas en una lista. Las cuentas nuevas
encontradas conforman una nueva lista. Cada proceso de
Los clasificadores Bayes Ingenuo están implementados en recolección es denominado ciclo. Se pueden ejecutar N ciclos.
NLTK y son accesibles desde TextBlob.
En la Fig. 1, las relaciones respecto del usuario Fred son: el
Estos clasificadores fueron empleados en la versión usuario Paul es seguidor y los usuarios Mike y Wil son amigos.
demostrativa para determinar el sentimiento, a favor o en contra,
de las opiniones expresadas en los Tweets. Las API estándar de Twitter permiten una cantidad máxima
de solicitudes de información por ventana. Cada ventana es
equivalente a 15 minutos. Estas cantidades están resumidas en
la siguiente tabla.
72
TABLA I. TASAS DE TRANSFERENCIA DE LAS API DE TWITTER TABLA III. DISTRIBUCIÓN DE CUENTAS A PARTIR DE ALGORITMOS DE
DETECCIÓN DE COMUNIDADES
Método de API de Twitter Método de Tweepy Tasa/Ventana
Con/Sin
GET users/show API.get_user 900 Con Localización y
Departamento (%) (%)
GET followers/list API.followers 15 Localización localizados en
GET friends/list API.friends 15 Bolivia
Beni 1,498 (1.79%) 1,592 (0.08%)
GET statuses/user_timeline API.user_timeline 900
Chuquisaca 4,479 (5.34%) 20,511 (1.02%)
Cochabamba 12,177 (14.51%) 89,179 (4.41%)
El primer método es empleado para obtener los metadatos de La Paz 29,168 (34.76%) 1,421,204 (70.34%)
las cuentas semilla. El segundo y tercer método son empleados
Oruro 2,687 (3.20%) 2,687 (0.13%)
para obtener la lista de metadatos de seguidores y amigos de una
Pando 531 (0.63%) 531 (0.03%)
cuenta específica respectivamente. El último método es
Potosí 1,587 (1.89%) 1,587 (0.08%)
empleado para obtener los Tweets de una determinada cuenta.
Santa Cruz 27,729 (33.04%) 469,838 (23.25%)
Debido a las bajas tasas de transferencia del segundo y tercer Tarija 4,062 (4.84%) 13,492 (0.67%)
método, el proceso de recolección de seguidores y amigos fue el Total 83,918 (100.00%) 2,020,621 (100.00%)
más largo de la aplicación del modelo.
La recolección se ejecutó en un periodo de 60 días, del 24 de En síntesis, el proceso de determinación de localidades
junio al 22 de agosto de 2019, y obtuvo un total de 33,598,048 estableció que 2,020,621 cuentas corresponden a usuarios
cuentas, sin embargo, sólo 4,031,077 son cuentas únicas. localizados en el país.
C. Determinación de Localizaciones D. Recolección de Tweets
En el marco del modelo, una localización es equivalente a El proceso de recolección de Tweets se ejecutó en un periodo
unos de los departamentos del territorio boliviano: Beni, de 12 días, del 6 al 17 de septiembre, periodo en el cual se
Chuquisaca, Cochabamba, La Paz, Oruro, Pando, Potosí, Santa recolectaron 105,125,489 Tweets de las cuentas de usuario
Cruz o Tarija. localizados en el país.
Entre los metadatos de las cuentas recolectadas está la Considerando las limitaciones de tiempo y las tasas de
localización declarada por los usuarios. A partir de este dato se transferencia de los métodos de las API de Twitter, se determinó
pudo determinar que 2.08% de los usuarios indican la localidad obtener hasta los 200 primeros Tweets y Retweets de cada
donde se encuentra en el territorio boliviano, el 3.35% indica cuenta de usuario.
que se encuentra en Bolivia únicamente sin señalar una localidad
en particular y el 52.08% no indican ninguna localidad. Se descartaron direcciones URL, signos de puntuación y de
control de los contenidos de los Tweets.
TABLA II. TIPOS DE LOCALIDAD DE CUENTAS RECOLECTADAS E. Palabras Clave
Tipo Cuentas (%) Las palabras clave relativas al tema de análisis fueron
Con Localización 83,918 2.08% extraídas de reportes de tendencias en Twitter publicadas en el
Localizados en Bolivia 134,909 3.35%
portal TrendsMap.com [16] a nivel de Hashtags al 10 de junio
de 2019.
Sin Localización 2,099,487 52.08%
Localizados en el Exterior 1,712,763 42.49% TABLA IV. PALABRAS CLAVE DEL TEMA DE ANÁLISIS
Total 4,031,077 100.00% Palabras Clave
evoespueblo 21f somosmas
La determinación de localizaciones tiene por objetivo aplicar evo boliviadijono fuerzaevo
los algoritmos de detección de comunidades en un grafo ema noesno boliviadigna
compuesto por las cuentas recolectadas excluyendo las linera boliviadiceno boliviadicesi
localizadas en el exterior del país. Las localizaciones conocidas agl evonuncamas procesodecambio
fueron empleadas como puntos de referencia para determinar a elecciones2019 2020-2025
qué departamento pertenece una comunidad detectada.
El grafo requerido fue construido en Neo4j con 2,020,593 La versión demostrativa prevé el análisis de Tweets aplicado
nodos y 14,111,514 relaciones. Los nodos son las cuentas de los exclusivamente sobre palabras compuestas por letras y números,
usuarios de Twitter y las relaciones son las conexiones entre las descartando signos de puntuación y de control, razón por la cual
cuentas. las palabras clave no llevan el signo numeral que precede a los
Hashtags.
Se ejecutaron los siguientes algoritmos: Louvain sin
comunidades predefinidas, Louvain con comunidades F. Determinación del Sentimiento de los Tweets
predefinidas y Propagación de Etiquetas. El algoritmo de Este proceso se hizo empleando un Clasificador Bayes
Louvain sin comunidades predefinidas detecta la menor Ingenuo implementado en la librería Python TextBlob. El
cantidad de comunidades: 85 comunidades en total. A partir de clasificador requiere una lista de entrenamiento y una lista de
este resultado, se obtuvo la siguiente distribución de cuentas por evaluación para determinar el grado de precisión del
departamento. clasificador.
73
Para la construcción de las listas de Tweets de entrenamiento OPINAN

5%
y evaluación, se obtuvo una muestra aleatoria de 10,000 Tweets
que contienen cualquiera de las palabras clave. Se eligieron los A FAVOR
primeros 500 Tweets con opiniones positivas y los primeros 500 EN CONTRA 27%
Tweets con opiniones negativas. La lista de entrenamiento fue 66%
NO OPINAN
compuesta con 400 Tweets con opiniones positivas y 400 95%
Tweets con opiniones negativas. La lista de evaluación fue NEUTRA
compuesta con los restantes Tweets con opiniones positivas y 7%
opiniones negativas. Fig. 2. Tasas de cuentas de cuentas de usuario que emiten opinión
Luego de entrenar al clasificador con la lista de y el Tipo de opinión que emiten.
entrenamiento, se aplicó la clasificación sobre la lista de 2. De la tasa de opiniones a favor, en contra y neutras de
evaluación. El 95% de los Tweets de evaluación recibieron la cuentas de usuario que emiten opinión respecto del tema
misma clasificación, este valor representa el grado de precisión de análisis, las opiniones en contra constituyen el
del clasificador. 65.52%. En otras palabras, de 101,933 cuentas que
Para determinar la opinión de una cuenta de usuario, en un emitieron opinión, 66,791 cuentas emitieron opiniones
determinado periodo de tiempo, se calculó el promedio de las en contra (Fig. 2).
opiniones emitidas a través de la cuenta, donde una opinión 3. De las tasas de opiniones a favor, en contra y neutras de
positiva fue representada por el valor 1 y una opinión negativa cuentas de usuario que emiten opinión respecto del tema
fue representada por el valor -1. de análisis total por departamento, las opiniones en
G. Cuadro de Mando Integral contra son mayoría en 8 de los 9 departamentos del país:
66.82% en el Beni, 76.80% en Cochabamba, 63.64% en
El Cuadro de Mando Integral presenta los resultados de los La Paz, 67.81% en Oruro, 74.03% en Pando, 63.95% en
siguientes indicadores clave: Potosí, 83.48% en Santa Cruz y 80.26% en Tarija. En
1. Tasa de cuentas de usuario que emiten opinión respecto contraste, el 56.19% de las opiniones en Chuquisaca son
del tema de análisis. a favor de la reelección de los actuales mandatarios.
2. Tasa de opiniones a favor, en contra y neutras de 4. De las tasas de opiniones a favor y en contra de cuentas
cuentas de usuario que emiten opinión respecto del de usuario que emiten opinión respecto del tema de
tema de análisis total. análisis de forma diaria comparada con resultados de
3. Tasas de opiniones a favor, en contra y neutras de sondeos de opinión, la tendencia de las opiniones a favor
cuentas de usuario que emiten opinión respecto del es descendente con una pendiente igual a -0.0005 (Fig.
tema de análisis total por departamento. 3) y la tendencia de las opiniones en contra es
4. Tasas de opiniones a favor y en contra de cuentas de ascendente con una pendiente igual a 0.0004 (Fig. 4).
60%
usuario que emiten opinión respecto del tema de R² = 0.0574
análisis de forma diaria comparada con resultados de 50%
otras fuentes.
40%
Para el cuarto indicador clave, se recopilaron los resultados

de los 10 sondeos de opinión publicados por la prensa nacional 30%
entre el 25 de abril y el 11 de septiembre de 2019, donde:

20%
a) La intención de voto a favor de los actuales

mandatarios fue considerada como una opinión a favor 10%
de su reelección.
0%
b) La intención de voto a favor de otros candidatos fue 25/abr 02/may 09/may 16/may 23/may 30/may 06/jun 13/jun 20/jun 27/jun 04/jul 11/jul 18/jul 25/jul 01/ago 08/ago 15/ago 22/ago 29/ago 05/sep
TWITTER ENCUESTAS Lineal (TWITTER)
considerada como una opinión en contra.
c) La intención de voto por ningún candidato, blanco o Fig. 3. Tendencia de las opiniones a favor de la reelección de
los actuales mandatarios respecto de sondeos de opinión.
nulo, y “no sabe/no responde” fue considerada como
una opinión neutra. 90%
R² = 0.0369
III. RESULTADOS 80%
A. Indicadores del Cuadro de Mando Integral 70%
1. La tasa de cuentas de usuario que emiten opinión 60%

respecto del tema de análisis es del 5.04%. En otras
palabras, de 2,020,621 cuentas, 101,933 cuentas 50%
emitieron opinión respecto del tema de análisis hasta el

40%
momento en el que se hizo la recolección de Tweets
(Fig. 2). 30%
25/abr 02/may 09/may 16/may 23/may 30/may 06/jun 13/jun 20/jun 27/jun 04/jul 11/jul 18/jul 25/jul 01/ago 08/ago 15/ago 22/ago 29/ago 05/sep
TWITTER ENCUESTAS Lineal (TWITTER)
Fig. 4. Tendencia de las opiniones en contra de la reelección de

los actuales mandatarios respecto de sondeos de opinión.
74
De acuerdo a las tendencias de las opiniones a favor y en IV. DISCUSIÓN

contra, al 20 de octubre de 2019: Una encuesta hecha el año 2016 permitió a la AGETIC
• 29.87% estará a favor de la reelección de los actuales establecer que aproximadamente 1.1 millones de internautas
mandatarios. usan Twitter [9]. De acuerdo al informe del Estado de las TIC
de la AGETIC, los internautas son personas de 14 o más años de
• 64.17% estará en contra de la reelección de los actuales
edad, de ambos sexos y pertenecientes a todos los niveles
mandatarios.
socioeconómicos.
Producto del análisis de la desviación estándar de las
El presente trabajo encontró más de 2 millones de cuentas de
opiniones a favor y en contra, se determinó que el 49.12% de las
usuarios de Twitter, lo cual concuerda con la estimación hecha
cuentas no son constantes en cuanto a sus opiniones. Es decir,
por la AGETIC tomando en cuenta el crecimiento de la red
cerca de la mitad de los usuarios emiten opiniones positivas y
social en el país. Si bien los resultados de la aplicación de
negativas (Fig. 5).
algoritmos de detección de comunidades son discutibles y
merecen mayor análisis, este proceso permitió identificar a los
EN CONTRA usuarios localizados en el país empleando Teoría de Grafos.
CONSTANTES
42%
Los resultados publicados el 11 de septiembre de 2019 del
A FAVOR
CONSTANTES
sondeo de opinión de la iniciativa “Tu Voto Cuenta” de la
9% UMSA, la Fundación Jubileo y varios medios de comunicación,
EN CONTRA NO
A FAVOR NO
establecen que el 31% de la población votará por los actuales
CONSTANTES
29% CONSTANTES mandatarios. La tendencia de las opiniones a favor de la versión
20%
demostrativa del modelo establece que, a la misma fecha, el
31.85% de las cuentas de usuarios de Twitter están a favor de la
reelección de los actuales mandatarios.
Fig. 5. Clasificación de cuentas que emiten opinión según constancia
del tipo de opiniones que emiten. El modelo propuesto por el autor de ninguna manera
pretende sustituir a los sondeos de opinión. Está claro que estos
B. Error muestral estudios son llevados a cabo con métodos ampliamente
Siendo que la versión demostrativa obtuvo una muestra de probados que aseguran imparcialidad y márgenes de error
101,933 cuentas únicas de usuario de Twitter que emiten aceptables. El modelo propuesto es planteado como una
opinión respecto del tema de análisis, con un grado de confianza alternativa para obtener información complementaria a los
del 95% y probabilidad de éxito del 50%, el error muestral sondeos de opinión.
calculado a partir de la ecuación (2) es 0.31%. Una implementación del modelo en producción podría
C. Resultados Adicionales soportar N temas de análisis los cuales podrían ser evaluados de
forma paralela, con resultados disponibles en periodos cortos de
De 2,020,621 cuentas localizadas en el país, el pico en tiempo.
cuanto al año de creación de dichas cuentas, es el 2016 con el
14.40%. Ese año muchas autoridades de estado crearon sus Además, el análisis de la desviación estándar de las
cuentas en Twitter, entre ellas el primer mandatario (15 de abril opiniones permitiría determinar el grado de constancia o
de 2016). seguridad de los usuarios de Twitter. Permitiría también
identificar los aspectos que provocan opiniones en contra y a
Se confirma el carácter público de la información disponible favor respecto de un determinado tema. Por ejemplo, si el tema
en Twitter, el 97.53% de las cuentas recolectadas son públicas, de análisis fuera la Legalización del Aborto, una persona podría
con lo cual las opiniones de estas cuentas son públicas. Sólo el estar en contra de ella, pero a favor de ella en determinados
2.41% de las cuentas recolectadas son privadas. escenarios.
De 105,125,489 Tweets recolectados, el 35.64% fueron Finalmente, los Tweets recolectados por la versión
creados el año 2019. Esto sugiere que, si bien existe un demostrativa permitieron determinar que el 94% de ellos
importante número de usuarios, la mayoría no publica Tweets. contienen datos de ubicación geográfica. Esto abre la puerta a
Por otro lado, la aplicación más utilizada para publicar una investigación complementaria de análisis de datos
Tweets es “Twitter para Android” y la mayoría de ellos tienen georeferenciados.
datos de ubicación geográfica (Fig. 6).
REFERENCIAS
Otros
14% Sin
[1] Blanco, C. Encuesta y Estadística, Métodos de Investigación Cuantitativa
Twitter for Ubicación en Ciencias Sociales y Comunicación. Editorial Brujas. Argentina. 2011.
Foursquare Android 6%
6% 41%
[2] Marradi, A., Archenti, N., Piovani, J.I. Metodología de las Ciencias
Sociales. Editorial Emecé. Argentina. 2007.
[3] Robinson, I., Webber, J. y Eifrem, E. Graph Databases, New
Twitter for
iPhone Opportunities for Connected Data. (Bases de Datos de Grafos, Nuevas
17% Oportunidades para Datos Conectados). Editorial O’Reilly. EE.UU. 2015.
Con
Ubicación [4] Missaoui, R. Y Idrissa, S. Social Network Analysis – Community
Instagram 94% Detection and Evolution. (Análisis de Redes Sociales – Detección y
22% Evolución de Comunidades). Editorial Springer. Canada. 2014.
Fig. 6. Tweets por tipo de dispositivo usado y Disponibilidad de datos [5] Bird, S., Klein, E. y Loper, E. Natural Language Processing with Python.
de ubicación geográfica en Tweets. (Procesamiento de Lenguaje Natural con Python). Editorial O’Reilly.
EE.UU. 2009.
75
[6] Pozzi, F., Fersini, E., Messina, E. y Liu, B. Sentiment Analysis in Social [12] Readthedocs.io. TextBlob Simplified Text Processing Documentation.
Networks. (Análisis de Sentimiento en Redes Sociales). Editorial (Documentación de Procesamiento de Texto Simplificado con TextBlob).
Elsevier. EE.UU. 2017. 2019. Obtenido de: https://textblob.readthedocs.io/en/dev/index.html
[7] Sarkar, D. Text Analytics with Python: A Practical Real-World Approach Visitado en: 15/04/2019.
to Gaining Actionable Insight from Your Data. (Análisis de Texto con [13] Nltk.org. Natural Language Toolkit Documentation. (Documentación del
Python: Un Enfoque Práctico del Mundo Real para Obtener Información Kit de Herramientas de Lenguaje Natural). 2019. Obtenido de:
Procesable de sus Datos). Editorial Apress. India. 2016. https://www.nltk.org Visitado en: 15/04/2019.
[8] Evans, J. Business Analytics. (Análisis de Negocios). Editorial Pearson. [14] Scikit-Learn.org. Machine Learning in Python – Scikit-Learn
EE.UU. 2017. Documentation. (Aprendizaje Automático en Python – Documentación
[9] AGETIC, Agencia de Gobierno Electrónico y Tecnologías de de Scikit-Learn). 2019. Obtenido de: https://scikit-
Información y Comunicación. Estado de las Tecnologías de Información learn.org/stable/index.html Visitado en: 15/04/2019.
y Comunicación en el Estado Plurinacional de Bolivia. 2018. Obtenido [15] Plot.ly. Plotly Python Graphing Library. (Biblioteca de Gráficos Python
de: https://agetic.gob.bo/pdf/estadotic/AGETIC-Estado-TIC.pdf Visitado Plotly). 2019. Obtenido de: https://plot.ly/python Visitado en:
en: 15/04/2019. 15/04/2019.
[10] Socialbakers.com. Twitter statistics - Society in Bolivia. (Estadísticas de [16] Trendsmap.com. Twitter Trends in Bolivia. (Tendencias de Twitter en
Twitter – Sociedad en Bolivia). 2019. Obtenido de: Bolivia). 2019. Obtenido de: https://www.trendsmap.com/local/bolivia
https://www.socialbakers.com/statistics/twitter/profiles/bolivia/society/ Visitado en: 10/06/2019.
Visitado en: 15/04/2019.
[11] Neo4j.com. Neo4j Graph Platform – The Leader in Graph Databases.
(Plataforma de Grafos Neo4j – El Líder en Bases de Datos de Grafos).
2019. Obtenido de: https://neo4j.com Visitado en: 15/04/2019.
Breve CV del autor

Freddy Richard Rojas Illatarco es Licenciado en Ingeniería de Sistemas por la Universidad Tecnológica Boliviana (2000).
Actualmente realiza la maestría en Gerencia Estratégica de Tecnologías y Sistemas de Información en el Postgrado en Informática
de la Universidad Mayor de San Andrés.
Cuenta con más de 20 años de experiencia profesional, especialista en estadísticas, análisis de tráfico y desarrollo de sistemas
complejos a bajo nivel; y en el desarrollo de soluciones de alta disponibilidad y alto rendimiento, procesamiento masivo de datos,
administración de bases de datos, administración de redes y sistemas Unix/Linux.
Fue responsable del área de estadísticas de la empresa ENTEL SA. Fue miembro del equipo de desarrollo de las plataformas de
señalización: OCS, SMSC, USSD, EIR y GWSMS de la empresa ENTEL SA. Actualmente forma parte de la empresa NOLOGIN
SRL como Project Manager. Email: frichardrojasi@gmail.com.
76
El Arte de la Seguridad de la Información

en la Globalización
Germán Alberto Saba Carrasco
La Paz - Bolivia
german.saba@gmail.com
Resumen—El presente artículo presenta el replanteo del Los puntos descritos a continuación son un punto de vista de
cambio de los modelos de seguridad que se centran en las aquello que se debe tener presente al hablar de Seguridad de la
amenazas externas a los nuevos modelos que ven la seguridad de Información en la actualidad.
manera predictiva y para todas las empresas, esto debido a las
tendencias de uso de las redes sociales y dispositivos móviles en la A. Predictivo y para Toda la Empresa, Consejo de normas de
empresa que cambio el entorno del riesgo en toda la empresa. seguridad PCI
Se debe cambiar la perspectiva de la seguridad de la
Palabras Clave—seguridad, redes sociales, dispositivos móviles. información está ya no es solo el cumplimiento de normativa y
I. INTRODUCCIÓN ya no depende solamente de TI. Este cambio es predictivo y
transversal a toda la empresa, se hace de manera proactiva [2].
El cambio y evolución de las tecnologías, así como las
facilidades junto con las comodidades que le brindan la Esta nueva perspectiva está basada en la confianza por lo que
tecnología al usuario repercute de manera directa en el entorno acepta algunos elementos en vez de prohibirlos. La siguiente
de riesgos normal que se tenía en una empresa. Sin embargo, de figura nos presenta una estrategia que se puede utilizar para
la mano de dicha expansión tecnológica y el aumento del uso de fomentar la confianza y así evitar entrar a la paranoia.
servicios de Internet surgen nuevos retos y desafíos para las B. Identificar los Riesgos Reales, Consejo de normas de
organizaciones. Así, una de las principales amenazas que han seguridad PCI
traído consigo estos avances es la proliferación de acciones
delictivas en el ciberespacio. La cantidad de problemas que se suscitan cotidianamente y
necesitan atención inmediata evitan que el profesional pueda
Debido a estas nuevas amenazas es que se debe plantear un prestar atención y anticiparte a problemas futuros. Para proteger
cambio en los programas de seguridad de la información, este los activos críticos de la empresa todos en la empresa deben
cambio debe centrarse en alinearse con la agenda de negocio y conocer donde reside la información que manejan. Se debe
poder lidiar y acomodarse a los nuevos riesgos presentes en la comprender que es la información más importante para la
entidad. empresa, donde se encuentra, quienes necesitarían acceso a ella
Viendo así la necesidad de contar con un modelo estándar y así saber qué áreas son las más vulnerables a ataques [2].
que toda entidad pueda aplicar para desarrollar una cultura de Según OWASP, las amenazas más relevantes a las que uno
Seguridad de la Información, que pueda ser aplicado de manera se debe enfrentar en una organización son [5][6]:
sencilla en toda Entidad, permitiendo a las mismas estar
preparadas ante los cambios que la globalización trae. • Amenazas Internas, prevalecen más que las amenazas
externas estas pueden ser accidental o intencionalmente,
II. MARCO TEÓRICO este riesgo seguirá en aumento si es que no se controla
Mancera, S.C. Seguridad de la información [1], postula que a tiempo.
la Seguridad de la Información en el marco de la Globalización • Computación en la Nube, es un término general para
e incremento de la Tecnología que esta presenta actualmente en denominar cualquier cosa que tenga que ver con la
todos los niveles jerárquicos institucionales; teniendo que lidiar provisión de servicios de hospedaje a través de Internet,
con constantes alteraciones de la complejidad en los elementos esto brinda diversas ventajas en cuestión a costos, pero
de amenaza que el entorno interno y externo, conlleva a que el incrementan los riesgos en la empresa.
personal encargado de la Seguridad de la Información debe tener
presente en la actualidad una serie de nuevos entornos de • Dispositivos Móviles, la utilización de los mismos por
amenaza ajenos a los tradicionales y sobre todo portátiles, siendo los empleados conlleva al incremento de los riesgos en
de uso común que pueden causar daño en la imagen la empresa.
institucional, fuga de información e incluso pérdidas
• Ciberataques, este tipo de ataques se está volviendo más
económicas.
especializado en la actualidad de lo que estaban
acostumbras las empresas.

[N] G. Saba, «El Arte de la Seguridad de la Información en la Globalización», Revista PGI. Investigación,
Ciencia y Tecnología en Informática, nº 8, pp. 77-79, 2020.
77
• Redes Sociales, gracias al crecimiento de las redes E. Consejo de normas de seguridad PCI, Equilibrar los
sociales la interconexión entre las personas pone en Fundamentos
peligro información tanta personal como de la Se debe alinear todos los aspectos de seguridad con la
organización. organización, optimizando el uso de recursos y pudiendo así
C. Consejo de normas de seguridad PCI, Adelantarse a las invertís en el control de nuevos riesgos [2].
Amenazas • Equilibrar las Prioridades e Inversiones, se tiene que
El mundo de seguridad de hoy necesita que se conozcan las encontrar un equilibrio entre la inversión en los procesos
debilidades del programa de seguridad y así adelantarse a de la empresa y la inversión en seguridad de la empresa.
amenazas internas o externas que pudieran explotar estas
debilidades [4]: • Invertir de Manera Prudente, se requieren nuevas
tecnologías para adelantarse a las amenazas recientes.
• ISO/IEC. ISO/IEC 31000:2018 “Gestión de Riesgos”,
Definir la Inclinación de Riesgo de la Empresa, se tiene • Realizar Subcontrataciones Selectivas, Subcontratar de
que entender a fondo la cultura de la organización para manera selectiva libera recursos para aquellas tareas de
realizar la alineación al riesgo a enfrentar. más alto valor.
• ISO/IEC. ISO/IEC 31000:2018 “Gestión de Riesgos”, • Utilizar la Tecnología Adecuadamente, no basta solo
Identificar la Información más Importante, se debe con la adquisición de tecnología se debe utilizar al
identificar, inventariar y priorizar el valor de la máximo las capacidades de la tecnología.
información para poder priorizar las acciones a tomar en F. Consejo de normas de seguridad PCI, Ir más allá del
seguridad. Cumplimiento para Lograr una Seguridad Sustentable
• ISO/IEC. ISO/IEC 31000:2018 “Gestión de Riesgos”, • Conseguir la Atención del Consejo para Fines de
Evaluar el Panorama de las Amenazas, se debe Gobierno y Determinar la Tolerancia al Riesgo, la
identificar quien puede tener acceso a la información atención del consejo es necesaria, así como que tenga
para poder identificar amenazas contra la misma. las funciones adecuadas asegura que el consejo
determine el alineamiento de la seguridad de la
• ISO/IEC. ISO/IEC 31000:2018 “Gestión de Riesgos”, información y el cumplimiento de la misma, ellos
Desarrollar Modelos de Amenazas Predictivos, una vez también ayudaran con la determinación del riesgo
identificado el riesgo se deben crear escenarios que aceptable para el funcionamiento normal de la empresa.
ayuden a entender y cuantificar la probabilidad de que
ocurra una violación. • Permitir que la Seguridad Impulse el Cumplimiento,
realizar solo el cumplimiento de regulaciones produce
• ISO/IEC. ISO/IEC 31000:2018 “Gestión de Riesgos”, en carencias de seguridad, los nuevos atacantes buscan
Determinar los Mecanismos de Protección Adecuados, mejores formas de poder vulnerar la seguridad de la
se utiliza el modelo de amenazas para generar los empresa eludiendo las normas establecidas.
mecanismos adecuados de protección.
• Medir los Indicadores Líderes, las métricas
D. Consejo de normas de seguridad PCI, Proteger la tradicionales tienden a mirar hacia atrás tomando en
Información más Importante cuenta hechos sucedidos y no así diversos factores que
El concepto de estar 100% seguros ya no existe por lo que lograrían detectar incidentes cuando aún son pequeños
ahora es necesario determinar la información más importante y así atender con mayor eficacia a las áreas que
para poder planear y realizar las acciones necesarias representan el peligro más grande [2].
rápidamente si sucede alguna violación [2].
G. Consejo de normas de seguridad PCI, No Prohibir las
• ISO/IEC 270002:2013/Cor 2:2015, Detectar y Cosas Nuevas – Aceptar el Cambio
monitorear, es necesario tener áreas de detección y Se debe apoyar la aceptación del cambio debido a que tan
reacción ante incidentes [8]. rápido se realiza el cambio en la organización y así crear
• ISO/IEC 270002:2013/Cor 2:2015, Prevenir la Pérdida políticas de seguridad que permitan el uso de nuevas tecnologías
de Datos, se tiene que utilizar herramientas de [2].
prevención de perdida de tatos (PPD) para prevenir que • Garantizar que la Seguridad sea Responsabilidad de
personas con acceso a la información copie la misma en Todos, la forma de lograr un entorno de seguridad
dispositivos externos o envié archivos por correo al mucho más seguro es logrando hacer que los empleados
competidor [8]. entiendan que la seguridad de la empresa es
• ISO/IEC 270002:2013/Cor 2:2015, Optimizar los responsabilidad de todos.
Controles, no basta con realizar solo el cumplimiento de • Habilitar Tecnologías más Nuevas, los usuarios cada
las normas la seguridad debe ir revisando los controles vez están más relacionados con nuevas tecnologías, más
y mejorándolos para proteger la empresa [8]. sofisticadas, móviles y con mayores capacidades, es por
esto que en lugar de poner políticas que eviten o
prohíban las tecnologías, se deben poner controles para
proteger y optimizar la seguridad y acceso en la
empresa.
78
• Extender los Programas e Seguridad en toda la riesgos que conlleva la interconexión que se tiene actualmente a
Empresa, La seguridad de la Información debe ser la nivel mundial, impulsando la madurez en el entendimiento de
base de la estrategia general de administración de que es seguridad y concientizando de lo que conlleva el
riesgos de la empresa. Fomentando a que todos en la resguardo de la información en el presente al mismo tiempo que
empresa trabajen conjuntamente y así proteger a la se debe estar preparado para el futuro.
empresa de amenazas existentes y emergentes.
Si bien los estándares internacionales nos brindan un marco
• Establecer Métricas del Programa de Seguridad que normativo que cubre la seguridad de la información de manera
Impacten el Desempeño del Negocio, los programas global y transversal, los mismos deben ser manejados por
deben enfocarse en la medición del valor y la personal capacitado para lograr efectividad en la utilización de
responsabilidad, mediante métricas que midan el estos y a su vez adecuarlos al entrono que se quiere utilizar o que
impacto que tiene el programa de seguridad en el se va a manejar al utilizar un servicio de manejo de información.
negocio.
REFERENCIAS
III. RESULTADOS ESPERADOS [1] Mancera, S.C. Seguridad de la información, Integrante de Ernst & Young
Global, 2011
Con todo lo expuesto se pretende presentar un modelo
[2] Consejo de normas de seguridad PCI [En línea]
estándar que toda entidad pueda aplicar para desarrollar una
cultura de Seguridad de la Información, basada en estándares, https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
preparada para el cambio en todo momento y tratando de estar [3] ISO/IEC 27001:2013 “Tecnología de la información – Técnicas de
seguridad – Sistemas de gestión de la seguridad de la información –
siempre adelantado a toda amenaza que se puede presentar. Requisitos - Anexo E: Enfoques de la evaluación de riesgos de la
seguridad de la información”, 2013
Si bien se exponen una serie de puntos y parámetros a tener
presente, estos no son los únicos o absolutos ya que todo anda [4] ISO/IEC. ISO/IEC 31000:2018 “Gestión de Riesgos”, 2018.
en constante cambio y pueden aparecer nuevos parámetros a [5] OWASP [En línea]
http://www.owasp.org/index.php/OWASP_Top_Ten_Project
tomar en cuenta o desaparecen de la lista a medida que la
[6] OWASP [En línea]
Tecnología y la Globalización avance. http://www.owasp.org/index.php/Category:OWASP_Guide_Project
IV. CONCLUSIONES [7] ISO/IEC 270002:2013/Cor 2:2015 Tecnología de la información –
Técnicas de la seguridad – Código de buenas prácticas para la gestión de
La Seguridad de la Información en la Globalización, está la seguridad de la información, 2015.
replanteando la estrategia para poder hacer frente a los nuevos
79
Modelo Cuadro de Mando Integral (CMI) para

Control del Índice de Permanencia de Participantes
en los Procesos de Alfabetización
Giorgina María Mamani Aiza
La Paz - Bolivia
gina_maria123@hotmail.com
Resumen—El modelo propuesto de cuadro de mando integral expresión de elementos intangibles, entre ellos los aspectos
(CMI), toma como base los procesos de alfabetización dirigidos a sociales, y una importante herramienta para evaluar la labor de
personas mayores de 15 años que son parte de la población la entidad, así como para la obtención de una retroalimentación
analfabeta residual, que ayuden al control del índice de informativa. [2].
permanencia de participantes en los procesos de alfabetización del
Programa Nacional de Post-Alfabetización dependiente del Robert S. Kaplan en su artículo publicado recomienda que
Ministerio de Educación. las organizaciones sin fines de lucro pongan en la parte de arriba
los objetivos de misión a largo plazo (como «reducción de la
Palabras clave—modelo, cuadro de mando integral, procesos de pobreza, enfermedades, contaminación») [3].
alfabetización, población analfabeta residual, índice de
permanencia, participantes. A través del estudio de este caso se elaborará un modelo de
Cuadro de Mando Integral, obteniendo una lista de indicadores
I. INTRODUCCIÓN para el Control del Índice de Permanencia de Participantes en
El Cuadro de Mando Integral - CMI (en inglés: Balanced los Procesos de Alfabetización del Programa Nacional de Post-
Scorecard BSC), es una herramienta de planificación y control Alfabetización dependiente del Ministerio de Educación, ya que
de gestión de mayor actualidad nacida en el ámbito de la como objetivo estratégico institucional está el desarrollar
empresa donde la competitividad es una de sus principales procesos de alfabetización dirigidos a personas mayores de 15
características. Se ha manifestado como herramienta de gestión años que son parte de la población analfabeta residual.
de gran aprovechamiento para entidades no lucrativas y en II. PLANTEAMIENTO DEL PROBLEMA
particular en el ámbito de la actividad pública. Por supuesto que
las perspectivas a considerar tienen una vertiente en parte La alfabetización es un proceso educativo de corta duración
diferente a la recogida en su aplicación al sector privado; sin cuyo objetivo es el desarrollo de lectura, escritura y
embargo, en su conjunto y con la adaptación imprescindible de matemáticas, permitiendo a los participantes ampliar su
las mismas a las características propias de las entidades que no universo comunicativo para una mayor integración,
persiguen un ánimo de lucro y caracterizadas por estar al participación y toma de decisiones en su vida cotidiana, está
servicio de la sociedad, la técnica del Cuadro de Mando Integral destinada a todas las personas mayores de 15 años de edad que
puede ser de gran utilidad a la hora de establecer a partir de la no tuvieron la oportunidad de estudiar y fueron excluidos del
misión, los objetivos concretos, diseñar el sistema de Sistema Educativo, como las personas de las naciones y pueblos
indicadores de ejecución y control, así como analizar los indígenas originarios, personas con discapacidad y otras
resultados alcanzados dentro de una lógica de fines, metas, poblaciones consideradas vulnerables.
medios o recursos necesarios. Dado que el CMI incorpora En este sentido, una vez concluido el proceso de
indicadores financieros y no financieros, su adaptación a alfabetización, los participantes tienen la opción de continuar
entidades donde priman los segundos sobre los primeros con la post-alfabetización que es la educación primaria a los
adquiere especial relevancia. Por ello consideramos que su recién alfabetizados y a todas las personas mayores de 15 años
implantación a nivel del Gobierno y sus entidades públicas que han abandonado el Sistema Educativo.
puede facilitar considerablemente la planificación y el control
de las tareas que les son propias [1]. Sin embargo, existen participantes en el proceso de
alfabetización, que abandonan los cursos de alfabetización, por
Las entidades gubernamentales tienen la necesidad de tal motivo, se vio la necesidad de controlar y conocer el
encontrar una herramienta de gestión capaz de hacerlas más comportamiento del abandono de los participantes de
eficientes como organismos. Para ello partimos de la hipótesis alfabetización, lo que provoca la no continuidad en los procesos
que el Cuadro de Mando Integral puede jugar un papel muy de post-alfabetización.
importante puesto que no sólo se limita a la recopilación de
información financiera, sino también constituye una vía de

[N] G. Mamani, «Modelo Cuadro de Mando Integral (CMI) para Control del Índice de Permanencia de
Participantes en los Procesos de Alfabetización», Revista PGI. Investigación, Ciencia y Tecnología en
80
III. HIPÓTESIS es un apoyo permanente y dinámico a la toma de decisiones. En

El diseño del modelo1 de Cuadro de Mando Integral para este sentido, puede considerarse una herramienta de Dirección
Control del Índice de Permanencia de Participantes en los por Objetivos.
Procesos de Alfabetización, es un excelente mecanismo de e) Comparación y Valoración de las Desviaciones
motivación y satisfacción laboral, ya que sienta las bases para Se compararán los valores obtenidos con los previstos y se
mejorar y alcanzar las metas establecidas por la organización, adoptan las medidas correctoras necesarias.
evitando posibles desviaciones en la hoja de ruta propuesta [4].
Además, sirve como herramienta de gestión muy útil para medir En este punto es necesario el uso de herramientas de
la evolución de la actividad y sus objetivos estratégicos además procesamiento y síntesis de información como: Resúmenes,
de los resultados. Gráficas, Alertas de desviaciones fuera del nivel de tolerancia,
Técnicas estadísticas de análisis de dependencia entre variables:
IV. PROPUESTA DE SOLUCION covarianza, correlación, regresiones, análisis de sistemas,
cadenas de Markov, etc.
A. Cuadro de Mando Integral (CMI)
La implantación del CMI se concibe como un proceso Dado el carácter de matriz de datos del CMI, en este punto
descendente que consiste en traducir la misión y la estrategia es muy recomendable el uso de herramientas informáticas como
global del Programa Nacional de Post-alfabetización en hojas de cálculo o programas estadísticos.
objetivos y medidas más concretos que puedan inducir a la
ejecución de acciones concretas. Es decir, a través de los V. CONCLUSIONES
indicadores recogidos en el CMI se pretende explicar la El objetivo primordial de este estudio de caso, es aplicar un
estrategia del Programa y traducirla en acciones. El presente Modelo de Cuadro de Mando Integral (CMI) para el Control del
trabajo hará énfasis en: Índice de Permanencia de Participantes en los Procesos de
Alfabetización. Tiene el fin de tomar acciones correctivas para
a) Formulación de la Estrategia: el cumplimiento de metas en el Programa Nacional de Post-
Se enmarca los objetivos estratégicos a largo plazo del Alfabetización, además de ayudar a gestionar la estrategia
Programa Nacional de Post-alfabetización. institucional, midiendo de forma eficaz el cumplimiento de los
b) Definición de los Objetivos: resultados esperados. Confirmará, que se está avanzando hacia
los objetivos marcados en la estrategia institucional
Se enmarca en las acciones a corto plazo que se emprenderán
en cada una de las áreas clave para lograr los objetivos REFERENCIAS
estratégicos. [1] Filho & González, 2004. El Cuadro de Mando Integral.
c) Selección y Construcción de Indicadores. [2] Robert S. Kaplan y David P. Norton, 1997, El Cuadro de Mando Integral.
Proceso clave, orientado a lo que, se considera que el [3] Kaplan, R, 2001, Medición Estratégica del rendimiento y Gestión en
Organizaciones sin fines de lucro, Unidad de Publicación de John Wiley
Programa Nacional de Post-alfabetización debe contar; entre 10 & Sons, Inc.
y 15 indicadores críticos. Según la naturaleza del CMI este [4] Kaplan, R. & Norton, D. (2000). Cuadro de mando integral, Eada Gestión.
número puede ampliarse. [5] Mora, A. y Vivas, C. (2001). Nuevas herramientas de gestión pública: el
d) Elaboración del CMI cuadro de mando integral, AECA Monografías.
[6] Kaplan, R. & Norton, D. (2001). Cómo utilizar el CMI, Gestión
Se elaborará una plantilla que recoge los indicadores 2000.com.
ordenados según: objetivos estratégicos, objetivos operacionales [7] Decreto Supremo N°1318 - Resolución Ministerial N°672/2012
y áreas clave (es decir, integrando toda la información de los tres Reglamento Operativo, Autor: Ministerio de Educación - Viceministerio
pasos anteriores) de manera que sea fácil de visualizar y de hacer de Educación Alternativa y Especial
el seguimiento. Se establece la frecuencia de actualización de [8] Resolución Ministerial 0001/2020. Subsistema de Educación Alternativa
cada indicador, así como de los niveles de tolerancia permitidos. y Especial, Autor: Ministerio de Educación - Viceministerio de
El CMI tiene una doble vertiente ya que permite al mismo Educación Alternativa y Especial.
tiempo una descripción del estado del Programa Nacional de
Post-alfabetización y una prospección de mejora futura. El CMI
Giorgina María Mamani Aiza es Ingeniera de Sistemas por la Universidad Salesiana de Bolivia (La Paz 2008).
Actualmente realiza la Maestría en Alta Gerencia en Tecnologías de la Información y las Comunicaciones e Innovación para el
Desarrollo en el Postgrado en Informática de la UMSA. Publicó el artículo Modelo de Evaluación de Resultados de Auditorias de
Sistemas de Información en Explotación, Revista PGI-UMSA, La Paz 2015. Sus intereses investigativos incluyen la Logística
Empresarial, Inteligencia de Negocios y Comercio Electrónico. Email: gina_maria123@hotmail.com.
1 sistematización de los modelos cualitativos y de su desarrollo hasta el punto

“Tipo de modelo a emplear: Cualitativo y Cuantitativo, La mayor parte de
los problemas de un negocio u organización comienzan con un análisis y en que pueden cuantificarse”.
definición de un modelo cualitativo y se avanza gradualmente hasta obtener
un modelo cuantitativo. La investigación de operaciones se ocupa de la
81
Modelo de Gestión de Incidentes Informáticos

para Equipos de Respuesta - CSIRT
Gonzalo Diego Vargas Ramos
La Paz – Bolivia
gonzalo.vargas.ramos@gmail.com
Resumen—El análisis que se realizará en el presente artículo respuesta conlleva un resultado óptimo en la mitigación de los
se enfoca en el desarrollo de un modelo de Gestión de Incidentes problemas de seguridad informática.
Informáticos para un adecuado tratamiento de las amenazas
cibernéticas presentes en la actualidad como incidentes y Así mismo, un enfoque orientado a buenas prácticas de la
vulnerabilidades que son detectados en aplicaciones, software y seguridad de la información, da lugar a que existan controles
servicios informáticos, el alcance se encuentra desde el reporte de detección y corrección destinadas a reducir los impactos
del incidente hasta la mitigación o solución del problema desfavorables y aprender las lecciones aprendidas [5]. Es por
informático, para lo cual se ha basado en la guía de gestión de tanto lo que da lugar a la necesidad de aplicar esas buenas
incidentes de seguridad de la información de los lineamientos prácticas mediante un modelo de gestión orientado a los
para la elaboración e implementación de los planes equipos de respuesta.
institucionales de seguridad de la información de las entidades
del sector público y el estándar ISO 27035, diseñado A. Planteamiento del Problema
específicamente para equipos de respuesta ante incidentes La necesidad de implementar cada vez más sistemas de
cibernéticos, con el objetivo de mejorar la atención de incidentes información genera un problema para los administradores de
dentro de una organización o conjunto de organizaciones, sistemas de las entidades públicas, el cual hace que descuiden
mediante la colaboración y mejora continua, el modelo puede ser las configuraciones de seguridad de las aplicaciones, servicios
aplicado en las distintas entidades públicas para un adecuado e infraestructuras informáticas, lo que provoca que sean
tratamiento de estos problemas de seguridad informática. vulnerables a ataques cibernéticos por parte de cibercriminales.
Palabras clave—CSIRT, ciberseguridad, gestión de incidentes, Es en este contexto que los Computer Security Incident
equipos de respuesta, incidentes informáticos Response Teams - CSIRT (Equipos de Respuesta a Incidentes
de Seguridad Informática) llevan la tarea de mitigar estos
I. INTRODUCCIÓN problemas de seguridad cibernética y colaborar en su
Los sistemas de información son desarrollados por resolución, pero debido a la gran cantidad de reportes de
personas, y las personas no son perfectas tienen debilidades incidentes recibidos y detectados hace necesario una adecuada
que dependen de su psicología, por tanto, las aplicaciones gestión de incidentes informáticos.
informáticas desarrolladas tienen debilidades o
Formulación del problema
vulnerabilidades que aún no son detectadas y quedan ocultas el
código de cada software desarrollado e implementado [1]. ¿Cómo se puede mejorar la gestión de incidentes
informáticos en un Equipo de Respuesta a Incidentes – CSIRT?
El Centro de Gestión de Incidentes Informáticos – CGII, es
la unidad dependiente de la AGETIC encargada de tratar con Objetivo General
los incidentes informáticos ocurridos en las entidades públicas
del Estado Plurinacional de Bolivia [2]. Es así que comienza Desarrollar un modelo de gestión de incidentes de
sus operaciones de la atención de incidentes de seguridad seguridad informática para mejorar la atención de incidentes
informática en agosto 2016 y todos los reportes son dirigidos al para equipos de respuesta – CSIRT.
mismo. Objetivos Específicos
El Centro de Gestión de Incidentes Informáticos – CGII es Diseñar un flujo de trabajo para lograr la coordinación de
considerado el CSIRT Nacional, encargado de la atención de las personas en el equipo de respuesta de forma más efectiva.
Incidentes de seguridad informática, ocurrido en el Estado
Plurinacional de Bolivia [3]. Probar el rendimiento del modelo respecto a la atención de
incidentes de incidentes informáticos.
La atención de incidentes implica una tarea de coordinación
con distintas instituciones y personas, luego de las Planteamiento de Hipótesis
coordinaciones viene las tareas técnicas relacionadas a la El modelo de gestión de incidentes informáticos, mejorará
resolución del problema, tomando en cuenta distintas la atención de incidentes gestionados por el equipo de
adversidades con dispositivos informáticos a tratar [4]. Es por respuesta.
tanto que un adecuado flujo de trabajo en el equipo de

[N] G. Vargas, «Modelo de Gestión de Incidentes Informáticos para Equipos de Respuesta - CSIRT»,
82
TABLA I. OPERACIONALIZACIÓN DE VARIABLES 2) Ámbito Nacional

Variables Definición conceptual Dimensiones Indicadores
La Guía para la Gestión de Incidentes de Seguridad de la
Independiente Forma de trabajo donde Resolución de * Tiempo de
las personas del equipo casos atención
Información, elaborado en la Mesa de Seguridad - CTIC
Modelo de interactúan para mejorar (Comité de Tecnología de Información y Comunicación), el
gestión de * Cantidad de
incidentes
la atención de incidentes. incidentes cual indica las acciones a responder ante incidentes que afecten
gestionados la seguridad de la información. Toma a la gestión de incidentes
informáticos
Dependiente Amenazas a la seguridad Incidentes * Cantidad de como un control más en la seguridad de la información, siendo
Incidente
de un sistema de informáticos y reportes una guía basada en la ISO/IEC 27035 [9].
información que fueron vulnerabilidade * Equipo de
gestionado gestionadas por el equipo s detectadas C. Referencia Teórica o Conceptual
respuesta
de respuesta
Fuente: Elaboración propia 1) Modelo
B. Marco Teórico Un modelo es una abstracción teórica del mundo real que
permite reducir la complejidad y realizar predicciones
1) Ámbito Internacional concretas que se puede realizar mediante experimentos u
observaciones. Dicho de otra forma, el modelo no intenta
a) Un Modelo de Gestión de Incidentes de TI aplicando
representar la realidad como tal, sino solo aquellos aspectos o
Gestión del Conocimiento, de Karin Díaz Millones, en el variables más importantes y significativos [10].
artículo se propone un modelo de gestión de incidentes
aplicando gestión de conocimiento para ello se explica el 2) Tipos de modelos
modelo propuesto, se indica cómo se implementa y adapta el
Los modelos pueden dividirse en [11]:
modelo aplicando gestión del conocimiento, además se
resuelve casos de estudio donde se comprueba la efectividad a) Modelos físicos: este tipo de modelo se identifica por
del modelo [6]. la representación de un elemento determinado, proporcionando
b) Sistema de Gestión de Incidentes de Seguridad la oportunidad de exponerlo a acontecimientos de diversa
Informática para Corbeta, de Lyda Durley Mona Cardona & índole. La escala puede variar de acuerdo al modelo realizado.
Andrés Esteban Uribe Serna, en el cual describe que la b) Modelos matemáticos: los modelos matemáticos tienen
información en las organizaciones es el activo más preciado, como finalidad la representación de distintos fenómenos, o los
estas invierten grandes cantidades en dinero, tiempo y recursos vínculos existentes entre ellos, por medio de una fórmula de
para proteger sus activos tanto de amenazas externas como carácter matemático. Se pueden clasificar en:
internas, hace unos años las organizaciones manejaban toda la
• Modelos Deterministas
información en un solo lugar, eran dueños de la infraestructura,
• Modelos Numéricos
los equipos de cómputo, la red informática, pero el aumento de
• Modelos Estocástico.
servicios en la nube, el uso de dispositivos móviles, las redes
• Modelos Gráficos.
sociales, genero un aumento del riesgo de fuga de información.
Poder detectar, gestionar, clasificar, atender, medir y c) Modelos conceptuales: hace referencia a cuadros
solucionar los distintos incidentes que pueden suceder en la conceptuales en donde se relacionan un conjunto de elementos
empresa, es de gran importancia pues los sucesos fortuitos determinados, conteniendo además postulaciones sobre la
acarrean pérdidas económicas que ninguna organización está naturaleza de los fenómenos representados a través de dichos
dispuesta a pagar [7]. conceptos. Los modelos conceptuales se caracterizan por un
c) Propuesta de infraestructura técnica de seguridad grado elevado de abstracción.
para un Equipo de Respuesta ante Incidentes de Seguridad 3) Gestión de Incidentes
(CSIRT), de Heltton Emmanuel Ramírez Luna & Jezreel Mejía
Miranda, en este artículo se describe una propuesta creada para El principal objetivo de la gestión de incidentes es
proteger la información y la infraestructura de un equipo de recuperar el nivel habitual de funcionamiento del servicio y
respuestas ante incidentes de seguridad (CSIRT), el cual es una minimizar en todo el daño negativo posible en la organización
organización dedicada a dar respuesta a incidencias de de forma que la calidad del servicio y la disponibilidad se
seguridad en tecnologías de la información. Un CSIRT está mantengan. Cualquier evento que no forma parte del desarrollo
conformado por un grupo de expertos en seguridad de la habitual del servicio y que causa, o puede causar una
información la cual provee de servicios como alertas y interrupción del mismo o una reducción de la calidad de dicho
advertencias, tratamiento de incidentes, observatorio de servicio. El objetivo de ITIL es reiniciar el funcionamiento
normal tan rápido como sea posible con el menor impacto para
tecnología, auditorías de seguridad, cómputo forense, entre
el negocio y el usuario con el menor coste posible [4].
otros. Por lo tanto, se hace uso de información sensible como
datos de usuarios y de empresas que deberá tener fuertes 4) Etapas del proceso de la atención de incidentes
métodos de seguridad. En este artículo se aborda una propuesta
De acuerdo a la ISO 27035, la estructura de la atención de
de los aspectos de seguridad que debe tener un CSIRT
incidentes presenta 5 etapas [5]:
abarcando las áreas de Telecomunicaciones, Equipo hardware
y Sistemas SIEM (Security Information and Event a) Planificación y preparación: establecer una política de
Management). Esta propuesta no toma en consideración la gestión de incidentes de seguridad de la información, formar un
tipología en la que un CSIRT puede establecerse [8]. equipo de respuesta incidente, etc.
83
b) Detección y reporte: alguien tiene que detectar y D. Delimitación Geográfica

reportar "eventos" que podrían ser o convertirse en incidentes; El presente trabajo de investigación se delimitará
c) Evaluación y decisión: alguien debe evaluar la geográficamente al Estado Plurinacional de Bolivia.
situación para determinar si en realidad es un incidente;
E. Delimitación Temporal
d) Respuesta: contener, erradicar, recuperar y realizar el
El estudio del presente trabajo tomará en cuenta la
análisis forense el incidente, cuando corresponda;
información histórica del periodo 2019.
e) Lecciones aprendidas: realizar mejoras sistemáticas en
la gestión de riesgos de información de la organización como III. RESULTADOS
consecuencia de los incidentes experimentados.
A. Modelo de Gestión de Incidentes Informáticos
5) Marco Legal o institucional De acuerdo al análisis realizado de la forma de trabajo de
Decreto Supremo 2514 de 2015, artículo 8.- Centro de un equipo de respuesta y de las buenas prácticas de seguridad
Gestión de Incidentes Informáticos, en cual describe la de la información respecto a la ISO 27035, se presente el
creación del CGII como parte de la estructura técnico operativa modelo propuesto bajo el siguiente esquema:
de la AGETIC [2], y sus funciones.
II. MÉTODOS
La presente investigación se basará en el enfoque
cuantitativo, debido a que se recogerán y analizarán datos
numéricos o estadísticos, con el objetivo de probar la hipótesis
planteada, en base a mediciones y el análisis estadístico.
Para realizar la presente investigación se utilizará el tipo
“no experimental”, el cual implica observar los fenómenos tal
como se suceden, mediante la recolección y análisis de
información sin manipulación de variables. Adicionalmente el
tipo de investigación será “correlacional” porque describe
relaciones entre variables y se pretende realizar el análisis de
información que se genere.
Fig. 1. Modelo de Gestión de Incidentes Informáticos
A. Fases Metodológicas Fuente: Elaboración propia
Para cumplir con los objetivos planteados se tiene las
siguientes fases metodológicas: En el cuadro se observa la distribución de funciones de
acuerdo a los actores que interactúan con el problema de
Fase 1: Recopilación y análisis de información seguridad informática. De acuerdo al siguiente detalle:
Identificar estándares nacionales e internacionales de
gestión de incidentes;
Analizar referencias de gestión de incidentes;
Esquematizar la forma de trabajo actual en el equipo.
Fase 2: Diseño y desarrollo del modelo
Elaborar bosquejos de formas de trabajo en equipo
mediante diagramas de flujo;
Plantear casos de prueba
Fase 3: Pruebas del modelo
Implementar el modelo en una herramienta informática;
Realizar pruebas automáticas del modelo
Fase 4: Análisis de datos y conclusiones Fig. 2. Roles y actores del modelo
Analizar los resultados obtenidos; Fuente: Elaboración propia
Comparar los resultados con datos históricos.
Se ha definido 4 actores a interactuar sobre resolución del
B. Técnicas de investigación incidente de seguridad informática, debido a que se cumple con
Observación: una técnica que permite entender el el manejo de incidente:
funcionamiento de los flujos de trabajo que se realiza, así como • Detección: Reportes y detección
el uso de la experiencia. • Triage: Evaluar, categorizar, priorizar
C. Universo o Población de Referencia • Análisis: Investigación, qué sucedió y quien está
El universo o población de referencia para el cual está afectado
dirigido esta investigación es el Centro de Gestión de • Respuesta a incidente: Acciones para resolver el
Incidentes Informáticos (AGETIC) y los datos de incidentes incidente
publicados que ocurren en las entidades públicas. B. Herramienta de gestión de incidentes
La muestra o población de estudio está enfocada en la Se ha determinado el uso de la herramienta Request
información recabada de los incidentes reportados al CGII, que Tracker para el manejo de incidentes de seguridad informática,
se constituye en el CSIRT más grande con alcance nacional. bajo las colas (listas de casos) de trabajo siguientes:
84
a) Incident Reports (Reportes) El equipo de respuesta pasa de un manejo independiente a

Nuevos reportes, bandeja de entrada una atención de incidentes colaborativo, donde cada miembro
b) Incidents (Incidentes) cumple ciertas funciones de la resolución de incidentes.
Reportes validados se convierten en incidentes. En los meses de abril de y agosto es donde se tiene mayor
Detalles del incidente índice de incidentes resueltos o rechazados, esto se debe a que
c) Investigations (Investigaciones) la cantidad de reportes ingresados al flujo de trabajo fueron
Análisis o investigación sobre el caso reportado bastantes.
Canal de comunicación
d) Countermeasures (Contramedidas) Se puede determinar que el equipo de respuesta a medida
Acciones inmediatas para mitigar los incidentes que va aceptando los parámetros de trabajo del modelo la
gestión de incidentes se hace más eficiente.
Soluciones temporales y rápidas
Recomendaciones. De acuerdo a la implementación del
C. Roles y responsabilidades
modelo en el equipo de trabajo, este va ajustándose a las
a) Oficial de servicio o guardia (Respondedor) necesidades de la resolución de incidentes, por ello se
A cargo de las solicitudes entrantes recomienda automatizarlas con Request Tracker para hacer
Actividades periódicas más eficiente el trabajo del equipo.
b) Oficial de triage (Gestor)
Trata reportes y decide si es un incidente, cuando REFERENCIAS
manejarlo, quien de acuerdo al proceso de triage. [1] Mitnick, K. D. & Simon W. L. (2007). El Arte de la Intrusión. México,
Controla y monitorea todo el incidente. México.
c) Manejador de incidente (Analista) [2] Decreto Supremo 2514. (2015). Creación de la Agencia de Gobierno
Electrónico y Tecnologías de Información y Comunicación – AGETIC.
Analizar datos, crear soluciones, resolver el incidente. La Paz. Bolivia.
Comunicar el progreso al oficial de triage y población. [3] Centro de Gestión de Incidentes Informáticos – CGII. (2019). RFC
2350. Obtenido de: https://www.cgii.gob.bo/es/rfc-2350. Fecha de
D. Herramienta de gestión de incidentes consulta: agosto de 2019.
El modelo en su concepto básico se viene aplicando desde [4] Axelos. (2019). ITIL Foundation, ITIL 4 edition. Obtenido de:
marzo y abril del presente año: https://www.tsoshop.co.uk/Business-and-Management/AXELOS-
Global-Best-Practice/ITIL-4/?DI=650015. Fecha de consulta: agosto de
2019.
[5] ISO 27035. (2016). Information technology – Security techniques –
Information security incident management – Part 1: Principles of
incident management. Geneva, Switzerland.
[6] Diaz Millones, K. (2009). Un Modelo de Gestión de Incidentes de TI
aplicando Gestión del Conocimiento. Lima. Perú.
[7] Mona Cardona, L. D. & Uribe Serna, A. E. (2015). Sistema de Gestión
de Incidentes de Seguridad Informática para Corbeta. Medellín.
Colombia.
[8] Ramírez Luna, H. E. & Mejía Miranda, J. (2015). Propuesta de
infraestructura técnica de seguridad para un Equipo de Respuesta ante
Incidentes de Seguridad (CSIRT). Zacatecas. México.
Fig. 3. Cantidad de incidentes tratados por meses [9] CTIC – AGETIC. (2017). Guía para la Gestión de Incidentes de
Fuente: Implementación de sistema Request Tracker con el modelo Seguridad de la Información. Obtenido de: https://www.ctic.gob.bo/wp-
content/uploads/bsk-pdf-
En el gráfico se puede observar que la cantidad de manager/ANEXO_C._Guia_para_la_gestion_de_incidentes_de_segurid
incidentes gestionado va subiendo de acuerdo a aplicación del ad_de_la_informacion_197.pdf. Fecha de consulta: agosto de 2019.
modelo en el equipo de trabajo. Los fueron obtenidos del uso [10] Carvajal Villaplana, Á. (2002). Teorías y modelos: formas de
representación de la realidad. Cartago. Costa Rica.
de la herramienta informática en el equipo de respuesta CGII.
[11] Enciclopedia de clasificaciones (2019). Tipos de modelos (científicos).
IV. CONCLUSIONES Obtenido de: https://www.tiposde.org/ciencias-exactas/415-tipos-de-
modelos-cientificos/. Fecha de consulta: agosto de 2019.
Desde la implementación del modelo en el equipo de
respuesta se puede observar que el tratamiento de incidentes de
seguridad informática va creciendo.
Breve CV del autor

Gonzalo Diego Vargas Ramos es Ingeniero de Sistemas por la Universidad de Aquino Bolivia (2013). Actualmente realiza la
Maestría en Alta Gerencia de Tecnologías de la Información y las Comunicaciones e Innovación MAG-TIC (2015-2016), en el
Postgrado en Informática de la UMSA.
Ejerce profesionalmente como analista forense del Centro de Gestión de Incidentes Informáticos de la AGETIC. Anteriormente
trabajo en el Área de Desarrollo del Ministerio de Economía y Finanzas Públicas.
Sus intereses investigativos se centran en el software libre, machine learning, herramientas de pentesting, gestión de incidentes
informáticos y ciber inteligencia. Email: gonzalo.vargas.ramos@gmail.com.
85
Modelo de Calificación de Datos Difusos para

Datawarehousing Financiero
Grover Marcelo Chavez Duran
La Paz - Bolivia
m.chavezduran@gmail.com
Resumen—El presente artículo expone una alternativa de realizar las fichas de diagnóstico que se deben presentar a los
solución a un problema de ambigüedad en los estados financieros diferentes órganos rectores, como la Presidencia,
a través de un modelo de calificación de datos difusos, cuando se Vicepresidencia, Consejo Superior Estratégico de Empresas
pretende consolidar cuentas contables de diferentes tipos de Públicas [2] y ministerios del Estado Plurinacional de Bolivia.
empresa en un datawarehouse, con el fin de realizar análisis y
diagnóstico financiero de forma individual y estratificada. Si bien es una tarea difícil el haber relevado los Estados
Financieros (EEFF) auditados de todas las empresas públicas, el
Palabras clave—ambigüedad, calificación, difusividad, ratio, dilema es si todos los EEFF tienen la misma estructura en cuanto
datawarehouse, diagnostico, estratificación, financiero, modelo. a la exposición de la información para generar reportes e
informes agrupados y en la actualidad la respuesta es “NO”, de
I. INTRODUCCIÓN principio no hay un plan de cuentas único el cual pueda ayudar
La Contabilidad Gubernamental, como sistema a clasificar mediante algún tipo de codificación de cuenta, cada
administrativo, integrador de la administración financiera de empresa expone sus EEFF según el tipo de negocio que realiza
gobierno, debe contar con elementos conceptuales avanzados, y en la mayoría de las empresas cuentan con un propio sistema
integrados en forma sistemática, con un verdadero sentido contable o ERP donde su plan de cuentas difiere de otra empresa,
humanista y con elementos de sus experiencias y su utilidad y en otros casos siguen llevándolo de forma manual mediante
como medio de información, control y servicio social, los cuales hojas de cálculo o directamente mediante el Sistema de Gestión
deben ser oportunos al momento de precisar su información [1]. Pública SIGEP2, que en cierta forma lleva el registro contable,
pero que tiene más un enfoque de ejecución de recursos y no así
Dentro del Gobierno Central boliviano las empresas del un enfoque empresarial donde el movimiento económico tiene
estado deben administrar y controlar sus procesos empresariales una estrecha relación tributaria y en busca de utilidad. El SIGEP
los cuales terminan afectando la situación financiera de las no logra satisfacer como fuente de información para hacer un
mismas y por ende al estado, esta administración y control análisis integral de la situación financiera de las empresas.
pueden ser apoyados por sistemas de información como ser los
Sistemas Contables, ERP1 y otros sistemas relacionados. Hay parámetros teóricos que deben aplicarse a todos los
estados financieros de acuerdo a los Principios de Contabilidad
En este sentido la finalidad del presente trabajo es proponer Generalmente Aceptados (PCGA) [3], muchas de las empresas
un modelo de calificación de datos difusos en las cuentas pueden usar términos diferentes, pero que en si no pierden el
contables de los estados financieros de un grupo de empresas, concepto a declarar, por ejemplo:
para poder proporcionar un datawarehouse financiero, con
cubos relacionales aptos para el desarrollo de una herramienta “Cuentas por Cobrar”, “Clientes”, “Exigibles”, otros denominativos o sinónimos.
informática de diagnóstico financiero. “Sueldos”, “Salarios”, “Sueldos y Salarios”, otros denominativos o sinónimos.
II. PROBLEMÁTICA En cuentas del “Estado de Resultados” tenemos:

La cuenta “ventas”, otros “Ingresos”. Otra división: “Venta
A. Planteamiento del Problema
de bienes”, “Venta de servicios”, “Territorio nacional”,
En el Estado Boliviano, la Oficina Técnica para el “Exportaciones”. o “Ingreso por productos”, “Ingreso por
Fortalecimiento de la Empresa Pública (OFEP) debe realizar servicios”, etc. como muchas más; pero que hacen referencia al
diagnósticos de la situación financiera de forma general y mismo resultado expresado en un valor monetario. Acá existe
estratificada de todas las empresas públicas, necesita hacer un un problema de difusividad3 en el dato como termino lingüístico
análisis por sectores, madurez de la empresa (ciclo de vida) y vago a una semántica acorde al contexto y la percepción del
otros. Ahí surge un problema para los profesionales a cargo de usuario [5].

[N] G. Chavez, «Modelo de Calificación de Datos Difusos para Datawarehousing Financiero», Revista PGI.
1 3
Enterprise Resource Planning, (Planeamiento de Recursos Empresariales). Que carece de claridad o precisión o se percibe de esta forma, generalmente
Comprende la administración de recursos, negocios, aspectos y cuestiones por estar lejos o por ser muy extenso.
productivas y distributivas de bienes y servicios en una empresa.
2
Sistema de gestión Pública SIGEP, D.S. 2644, La información y documentos
registrados en el SIGEP por las entidades públicas son de carácter oficial.
86
En este caso el problema de difusividad está directamente 𝑝 ∶ 𝑉 𝑒𝑠 𝐹 (1)

relacionado al nombre de la cuenta contable, por carecer de una
uniformidad lingüística semántica, acorde al contexto que se Donde V es una variable que toma valores v del conjunto
maneja, en el análisis y diagnóstico de los EEFF. universal cuentas V, y F es un conjunto difuso en V que
representa un predicado difuso, tal como se indica en la
Los profesionales a cargo de evaluar esta información deben definición de una proposición incondicional no calificada [4].
ir agrupando todos estos conceptos e ir sumando sus valores
monetarios si corresponde para tener un marco referencial Tomamos la ecuación 1de forma general que:
general de cuanto hay en un determinado concepto de cuenta, 𝑝 ∶ 𝑉 (𝑖) 𝑒𝑠 𝐹 𝑑𝑜𝑛𝑑𝑒 𝑖 ∈ 𝐼 (2)
además que debe realizar consolidados por sector, ciclo de vida
y otros de la empresa pública, tarea que se hace muy ardua, y es Donde V(i): la cuenta de un plan de cuentas
F: el indicador general de cuenta
sujeta a posibles errores. I: Conjunto Índice, que estará determinado por todas las posibles
La operativa actual recopila información impresa o en el cuentas de un determinado conjunto de valores lingüísticos.
mejor de los casos en digital (PDF u Hojas de Cálculo) de los Teniendo como resultado en base a la ecuación 2:
EEFF de todas las empresas, las cuales han sido originados por
diferentes fuentes de información como ser estados financieros 𝑇(𝑝) = 𝐹 (𝑉 (𝑖)) (3)
del SIGEP, sistemas Contables, ERPs entre otros, y para su Donde T(p): es el grado de verdad de la proposición p
análisis toda esta información es volcada a hojas de cálculo y F: será el predicado que haga verdad en función al valor del conjunto índice.
desde ahí se trata de realizar el análisis financiero que resulta ser
algo impreciso y tedioso, además es imprescindible la Para el modelo un ejemplo tomando la cuenta “Sueldos y
experiencia avanzada de los profesionales a cargo. Salarios” tendríamos las siguientes proposiciones Verdaderas:
B. Formulación del Problema de Investigación. “La cuenta Sueldos del plan de cuentas de una empresa se
aproxima a describir la cuenta que identifica de forma general
Analizando el problema y los datos dentro del contexto a la cuenta Sueldos y Salarios”.
financiero, se identifica una matriz multidimensional de datos,
“La cuenta Salarios del plan de cuentas de una empresa se
como ejemplo podemos tomar una matriz inicial que cruza
aproxima a describir la cuenta que identifica de forma general
información respecto a (empresa, gestión, cuenta) para obtener a la cuenta Sueldos y Salarios”.
un dato singular que corresponda al valor monetario expresado
en bolivianos. Asimismo, la matriz multidimensional puede “La cuenta Honorarios del plan de cuentas de una empresa se
crecer respecto a la estratificación mencionada anteriormente. aproxima a describir la cuenta que identifica de forma general
En este sentido identificamos una correspondencia al desarrollo a la cuenta Sueldos y Salarios”.
de cubos relacionales el cual nos lleva a la siguiente pregunta: “La cuenta Sueldos y Salarios del plan de cuentas de una
empresa se aproxima a describir la cuenta que identifica de
¿Mediante qué modelo se puede “calificar” [4] datos difusos forma general a la cuenta Sueldos y Salarios”.
para el armado de cubos relacionales de los EEFF de todas las
empresas públicas con el fin de optimizar tiempos de ejecución El conjunto índice se va formando en base a las
en la elaboración de reportes e informes a través de una proposiciones con un grado de verdad alto.
herramienta informática? I = {Sueldos, Salarios, Honorarios, Sueldos y Salarios,
III. MÉTODO Sueldos y Salarios Pagados, ...}
Consiste en una investigación aplicada: Su principal objetivo Estas proposiciones deben ser validadas por el profesional
se basa en resolver problemas prácticos, con un margen de financiero idóneo para calificar las cuentas contables de todas
generalización limitado. El cual no precisa generar aportes al las empresas en estudio.
conocimiento científico desde un punto de vista teórico, sino A su vez nos apoyamos de los modificadores lingüísticos [4]
más bien práctico. para modificar esta proposición. Tenemos entonces
A. Formalización del Modelo preposiciones en la siguiente forma:
El identificador en los estados financieros y el más p1 ∶ x1 es F1
importante es la cuenta contable, que permite clasificarlas y p2 ∶ x2 es F2
agruparlas mediante operaciones aritméticas para obtener pn ∶ xn es Fn
ciertos indicadores financieros. De forma general:
Según conceptos sobre Conjuntos Difusos [4], partimos de 𝑝𝑖 ∶ 𝑥𝑖 𝑒𝑠 𝐹𝑖 (4)
la siguiente premisa de ejemplo para plantear el modelo de La teoría indica que dada una proposición difusa p, se puede
calificación de datos difusos de un datawarehouse financiero: modificar ésta mediante un modificador lingüístico H [4],
“La cuenta Honorarios del plan de cuentas de una empresa se quedando formalmente así:
aproxima a describir la cuenta que identifica de forma general 𝐻𝑝𝑖 ∶ 𝑥𝑖 𝑒𝑠 𝐻𝐹𝑖 (5)
a Sueldos y Salarios”.
De forma general tendríamos: Donde HF denota el predicado difuso obtenido aplicando el
modificador H a los datos del predicado F. Las modificaciones
“La cuenta V del plan de cuentas de una empresa se aproxima adicionales pueden ser obtenidas aplicando el cerco al valor de
a describir la cuenta que identifica de forma general a F”. verdad difuso o a la probabilidad difusa empleada en la
Tenemos la siguiente preposición de la forma: proposición dada.
87
Dado un predicado difuso F en X, y un modificador h Ejemplo: Tenemos varios estados financieros a ser analizados y
definido como una operación unaria asociada un modificador estratificados, y necesitamos calificar la cuenta
lingüístico H, el predicado difuso modificado HF es SUELDOS_Y_SALARIOS, podríamos tener los diferentes
determinado para cada x ∈ X en la ecuación: escenarios al momento de extraer la información con el ETL4:
𝐻𝐹(𝑥) = ℎ(𝐹(𝑥)) (6) TABLA I. CASO 1 UNA SOLA CUENTA DE MOVIMIENTO
En este caso debido a la discretización de los datos, Cuenta Monto Calificador
tendremos los siguientes validadores:
EGRESOS 500.000,00 H1
Si ∃x ∶ F(x) se aproxime a la verdad entonces EGRESOS OPERATIVOS 200.000,00 H2
es modificador fuerte
GASTOS ADMINISTRATIVOS 165.000,00 H3
Si ∄x ∶ F(x) se aproxime a la verdad entonces
es modificador débil Sueldos y Salarios 130.000,00 SUELDOS_Y_SALARIOS
donde x ∈ {x1 , x2 , . . . , xn } Aportes a la seguridad social 5.000,00 H4
Gastos generales 20.000,00 H5
Todos los posibles denominativos contables.
Servicios Básicos 10.000,00 H6
Si el modificador lingüístico es fuerte entonces cada función
modificadora tendrá asignado un identificador, debido a que
En la tabla 1 denotamos que la cuenta Sueldos y Salarios es
habrá muchas preposiciones difusas que identificarán a una
una cuenta de “MOVIMIENTO” el cual tiene asignado 130.000,00
cuenta común y general, con el fin de darle un calificador en el
Bs, está calificada con el identificador correspondiente, y
uso del datawarehouse en la fase de transformación.
marcado por un solo calificador.
Por lo tanto:
𝐻𝑖 = 𝐻𝐹(𝑥) = ℎ(𝐹(𝑥)) (7) TABLA II. CASO 2 UNA CUENTA CONSOLIDADA (O TITULAR)
Tendremos un identificador lingüístico Hi Cuenta Monto Calificador

EGRESOS 500.000,00 H1
En el ejemplo planteado, en las premisas, al hacer uso del
SUELDOS Y SALARIOS 130.000,00 SUELDOS_Y_SALARIOS
modificador lingüístico nombraremos al calificador resultante
“sueldos y salarios” como: Sueldos Personal de Planta 100.000,00 H2
Sueldos Personal Eventual 20.000,00 H3
Hi = “SUELDOS_Y_SALARIOS”
Honorarios pagados por consultorías 10.000,00 H4
Una vez calificado los planes de cuenta de cada empresa, se
podrá tener cubos relacionales más precisos para poder realizar
En la Tabla 2 denotamos que la cuenta Sueldos y Salarios es
la ingeniería de software para que el sistema muestre reportes,
una cuenta “TITULAR” el cual tiene asignado 130.000,00 Bs, está
cuadros, gráficos, estadísticas, indicadores y otros. La Figura 1
calificada con el identificador correspondiente, pero esta cuenta
es una representación gráfica de cómo se vería la información
titular es resultado de la sumatoria de las cuentas de movimiento
cargada en el datawarehouse antes de ser calificada.
dependientes de ella (Sueldos personal de planta, Sueldos
personal eventual y Honorarios por consultorías).
TABLA III. CASO 3 VARIAS CUENTAS SIN TENER UN SOLO CONSOLIDADO
Cuenta Monto Calificador

EGRESOS 500.000,00 H1
GASTOS ADMINISTRATIVOS 500.000,00 H2
Sueldos Personal de Planta 100.000,00 SUELDOS_Y_SALARIOS
Sueldos personal Eventual 20.000,00 SUELDOS_Y_SALARIOS
Honorarios pagados por consultorías 10.000,00 SUELDOS_Y_SALARIOS
Gastos generales 5.000,00 H3
Fig. 1. Representación del Datawarehouse antes de la calificación de datos.
Servicios Básicos 2.000,00 H4
B. Calificación de cuentas contables de un Datawarehouse

Financiero Ahora puede existir un tercer caso más donde una empresa
no tenga un titular que agrupe a un conglomerado de cuentas con
Una vez obtenidos los identificadores lingüísticos, producto el mismo significado, sino que sean cuentas de movimiento
de la calificación de datos difusos en las cuentas contables, individuales que puedan agruparse en un concepto no definido
tendremos los siguientes calificadores de la siguiente forma: en el plan de cuentas de la empresa. Entonces en este caso el
H1 = "CALIFICADOR_1" calificador debería hacer referencia solo a los tres calificados y
H2 = "CALIFICADOR_2" lograr la sumatoria cuando se quiera obtener el calificador
. .. “SUELDOS_Y_SALARIOS”.
Hn = "CALIFICADOR_N"
4 en otra base de datos (denominada datamart o datawarehouse) con el objeto de

Los procesos ETL son un término estándar que se utiliza para referirse al
movimiento y transformación de datos. Se trata del proceso que permite a las analizarlos.
organizaciones mover datos desde múltiples fuentes, reformatearlos y cargarlos
88
Pueden existir otros casos particulares, pero en esencia esta Por lo tanto, en el modelo del sistema haciendo referencia a
es la que ejemplifica los posibles escenarios que existen al los calificadores H obtenidos tendríamos:
momento de extraer información de las diferentes empresas en 𝐻1 + 𝐻2 + 𝐻3
sus estados financieros o planes de cuentas. 𝐼1 = 𝐿𝑖𝑞𝑢𝑖𝑑𝑒𝑧 =
𝐻4
C. Obtener el valor de un identificador calificado.
De esa forma podríamos implementar o diseñar todos los
Planteamos la siguiente función para obtener el valor ratios financieros necesarios para análisis. Se recomienda
monetario de un identificador calificado con estos parámetros construir un configurador de fórmulas, debido a que el
mínimos: planteamiento de un ratio es relativo y puede tomar diferentes
𝑓(𝑥) = 𝑓(𝑎, 𝑏, 𝑐, . . . ) (8) características según el contexto a ser analizado.
∃a ∶ a sea un calificador de cuenta Para obtener el resultado de una formula se hace uso de la
∃b ∶ b sea un identificador de empresa
∃c ∶ c sea un identificador de gestión
siguiente función:
𝐼(𝑥) = 𝑅(𝑟, 𝑖, 𝑔) (10)
Una vez obtenido el valor monetario por calificador,
Donde r: es el identificador del ratio financiero almacenado en la tabla de
podemos realizar los reportes gráficos y ratios5 financieros. indicadores
D. Reportes Gráficos i: el identificador de la empresa
g: el identificador de la gestión
Con los identificadores calificados, se puede armar reportes
gráficos por empresa y en forma estratificada, utilizando la F. Análisis vertical y horizontal de los Ratios Financieros
función 8 para obtener el valor monetario. Se puede crear análisis verticales y horizontales aplicados a
Ejemplo: se quiere armar el reporte gráfico del BALANCE un sistema con el uso de la función 10.
GENERAL, para ello partimos de la ecuación contable: G. Otros análisis:
ACTIVO = PASIVO + PATRIMONIO Con el datawarehouse financiero se puede armar cubos
Por otro lado, sabemos que: relaciones y lograr las estratificaciones por sectores, ciclo de
vida u otros de las empresas públicas y así obtener información
ACTIVO CORRIENTE + ACTIVO NO CORRIENTE = ACTIVO
que permita deducir afirmaciones de manera más generalizada y
Podemos definir como identificadores a cuatro calificadores: concluyente.
H1 = "ACTIVO_CORRIENTE"
H2 = "ACTIVO_NO_CORRIENTE"
H3 = "PASIVO"
H4 = "PATRIMONIO"
Haciendo aplicación de una propiedad matemática:
Fig. 2. Tipo de análisis a partir de los cubos relacionales

6
Silogismo hipotético , tendríamos la siguiente formula:
IV. RESULTADOS
ACTIVO_CORRIENTE + ACTIVO_NO_CORRIENTE = PASIVO + PATRIMONIO
Como resultado de aplicar el modelo planteado se logró un
Y podríamos construir un gráfico de barras apilado datawarehouse apto para realizar los cubos relaciones y así
mostrando la igualdad de esta ecuación y viendo a su vez los obtener información requerida para análisis, una representación
valores que tomo cada calificador en cada barra apilada. gráfica del logro obtenido se refleja en la Figura 3.
E. Ratios Financieros
Con los identificadores calificados se puede componer las
fórmulas para obtener “ratios financieros” [6], de forma más
sencilla e intuitiva. Cada Ratio Financiero está determinado por
la siguiente función general:
𝐼𝑖 = 𝑓(𝐻) = 𝑓(𝐻1 , 𝐻2 , 𝐻3 , . . . ) (9)
Donde Ii será el Indicador del ratio financiero.
Hi son los identificadores calificados de las cuentas contables.
Ejemplo: Para obtener el Ratio de Liquidez tenemos la fórmula:

𝐴𝑐𝑡𝑖𝑣𝑜 𝐷𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑙𝑒 + 𝐼𝑛𝑣𝑒𝑟𝑠𝑖𝑜𝑛𝑒𝑠 𝑡𝑒𝑚𝑝𝑜𝑟𝑎𝑟𝑖𝑎𝑠 + 𝐸𝑥𝑖𝑔𝑖𝑏𝑙𝑒
Fig. 3.Representación de aplicar el modelo de calificación
𝑃𝑎𝑠𝑖𝑣𝑜 𝐶𝑜𝑟𝑟𝑖𝑒𝑛𝑡𝑒
de datos en un datawarehouse financiero.
5 6
Los ratios financieros (razones financieras o indicadores financieros) son En la lógica proposicional, el silogismo hipotético es una regla de
coeficientes o razones que proporcionan unidades contables y financieras de inferencia válida (llamado también argumento cadena, regla de cadena, o
medida y comparación, a través de los cuales, la relación por división entre sí el principio de transitividad de la implicación, y a veces abreviado SH).
de dos datos financieros directos, permiten analizar el estado actual o pasado
de una organización, en función a niveles óptimos definidos para ella.
89
También se logró obtener información muy significativa a V. CONCLUSIONES

través de la herramienta informática desarrollada a medida para Aplicar el modelo planteado logró resolver un problema de
demostrar los resultados de aplicar el modelo. Un ejemplo de difusividad en las cuentas contables de las empresas en, el cual
reporte gráfico mostrando información estratificada de las mediante una institución con tuición para análisis de las
empresas se podría apreciar en la Figura 4. empresas públicas se logró demostrar el funcionamiento del
modelo. Este mismo modelo puede ser aplicado al sector
privado, o a instituciones que tengan como tuición a ciertas
empresas, las cuales deben reportar informes de forma general o
para simple análisis de la situación de las empresas, apoyados
por sus ratios financieros. Con el cual concluimos que el modelo
es un aporte a la comunidad científica en el área de la Ingeniería
de Software.
El modelo planteado e implementado, abre las puertas a
otros estudios que están ligados con la inteligencia artificial,
debido a que con la aplicación de este modelo, el sistema tendrá
cierto aprendizaje coadyuvado por un experto humano, y la
calificación de datos podría tomar un sentido más automatizado
Fig. 4.Resultado de aplicar el modelo para obtener en el proceso de transformación con técnicas de redes
estratificación de las empresas para análisis. neuronales o sistemas expertos, al momento de recibir nuevos
estados financieros de las muy probables empresas que se
Como parte del planteamiento del modelo respecto a los incorporen al sector público. También puede ampliarse al sector
ratios financieros, se logró armar reportes de los cuales privado con una muestra significativa para generalizar ciertas
coadyuvados con diseños personalizados (semáforos, alertas de hipótesis o instituciones que tengan un grupo de empresas bajo
incremento, mantenibilidad, decremento y gráficos en radar) se tuición.
obtuvo información significativa y fácil de apreciar para análisis
por parte de los especialistas financieros. Este resultado REFERENCIAS
podemos apreciarlo en la Figura 5. [1] PhD S. Ugarte. (2003). La contabilidad gubernamental como factor hacia
la calidad total de la gestión financiera. Perú: Universidad Nacional
Mayor San Marcos. F. Cs. Contables, (Tesis de Doctorado).
[2] Asamblea Legislativa Plurinacional. (2013). Ley de la empresa pública
Ley 466, La Paz.
[3] Colegio de Auditores. (1994). Principios y normas técnico–contables
generalmente aceptados para la preparación de EEFF. Recuperado 6 abril
2019 de http://www.auditores.org.bo/sites/default/files/pdf/
normativas/normas_de_conta/nctnac/1.pdf
[4] D. Reina. (2018). Fundamentos de matemática difusa. Colombia:
Fundación Universitaria Konrad Lorenz Facultad de Matemáticas.
[5] PhD L. Tineo, PhD A. Urrutia, MSc R. Rodríguez. (2009). Calificación
difusa en cubos OLAP. Venezuela: Universidad Simón Bolívar.
[6] J. Báez I. (2011). Cómo utilizar los ratios para analizar estados
financieros, Recuperado 12 sept 2019 de http://bestpractices.com.py/
como-utilizar-los-ratios-para-analizar-los-estados-financieros/
Fig. 5. Análisis Horizontal de los ratios financieros al aplicar el modelo.
Breve CV del autor

Grover Marcelo Chavez Duran es Licenciado en Informática por la Universidad Mayor de San Andrés; actualmente realiza la
Maestría en Ingeniería de Software en el Postgrado en Informática UMSA; tiene estudios en el área contable.
Trabaja actualmente en el sector público como profesional desarrollo de sistemas; docente del área sistemas informáticos en el
Instituto Tecnológico INCOS La Paz, es Empresario Socio Cofundador de “Software for Tech”. Anteriormente coordinador del
Proyecto Aula Virtual de la FCPN UMSA, miembro del grupo International Computer Room Experts Association (ICREA) con sede
en México DF; y AMPER SRL.
Su interés es la investigación y el desarrollo de software. Email: m.chavezduran@gmail.com.
90
Cloud Computing en el Mercado de Valores

cumpliendo el Reglamento para la Gestión de
Seguridad de la Información ASFI
Guetzy Rosalin Nicols Iriarte
La Paz – Bolivia
guetzynicols@gmail.com
Resumen—La adopción de Cloud Computing permanece en sus obligaciones para con el usuario, independientemente del
crecimiento exponencial mostrando oportunidades clave para el tipo de infraestructura y servicio en cuestión.
futuro de los negocios, debido a los beneficios que ofrece, como ser
los bajos costos, compartir los recursos desde cualquier punto Las TIC de las entidades financieras son los activos más
hacia cualquier otro punto y la facilidad de administrar todo el importantes; casi todos los procesos y servicios bancarios yacen
Core tecnológico ofrecido. Las entidades financieras expresan los sobre sistemas informáticos cuya infraestructura existente
desafíos regulatorios, que limitan la adopción masiva de esta dificulta adaptaciones rápidas a costos razonables, llegando al
tecnología. El principal y más importante es el Reglamento para punto de rediseñar la plataforma tecnológica existente.
la Gestión de la Seguridad de la Información emitido por la
Las instituciones buscan beneficiarse con la emergente
Autoridad de Supervisión del Sistema Financiero ASFI que limita
la contratación de servicios e infraestructura tecnológica. El
tecnología Cloud para crear nuevos servicios y administrar los
presente estudio comienza describiendo el modelo Cloud y actuales, disminuir costos e incrementar la flexibilidad en sus
presenta los beneficios que pueden favorecer a las instituciones ambientes de centro de datos, pero al ser reguladas por la
financieras. Tiene como objetivo descubrir el nivel de normativa de seguridad ASFI esto se presenta como una tarea
cumplimiento del Reglamento para la Gestión de la Seguridad de extremadamente complicada. El sector financiero se ve
la Información emitido por ASFI. La investigación es de tipo frustrado a la hora de contratar los servicios y/o infraestructura
deductivo con una naturaleza cualitativa. Finalmente, se tecnológica necesaria para innovar en el mundo digital en las
presentará recomendaciones para modificar o aumentar artículos mismas condiciones que sus competidores de FinTech.
a la normativa de la ASFI en función a los resultados de la
investigación, para agilizar la adopción de la tecnología Cloud. En el caso concreto del Cloud Computing esto es aún más
evidente pues no existe regulación de su uso en el mercado de
Palabras clave—cloud computing, ASFI, TIC, FinTech. valores y apenas existe regulación en el área de la banca. La
preocupación fundamental está relacionada con el cumplimiento
I. INTRODUCCIÓN de la norma respecto a la seguridad, la privacidad y la ubicación
de la información, específicamente que la institución conserve
En los últimos años los avances en las TIC han
la capacidad de controlar servicios críticos para su actividad,
revolucionado muchos aspectos de nuestra existencia incluidas
independientemente del tercero que administra dichos servicios.
las entidades financieras que se consideran de suma importancia
en la economía de los países, pues ayudan a impulsar la Cabe mencionar que la necesidad de este estudio nace en el
economía y son un amplio generador de empleos. proceso de hacer reingeniería a la tecnología existente de las
entidades financieras y dar respuesta al empleo de nuevas
Una de las debilidades presentadas por las entidades
tecnologías para reducir costos administrativos y de
financieras es el cambio constante del avance tecnológico, esto
funcionamiento. Para cumplir con este objetivo se realizó el
asociado con los altos costos de adquisición e implementación
estudio ingeniería de requerimientos donde se plantea Cloud
de tecnología, lo cual dificulta la inversión permanente en
Computing como alternativa que cumpla la normativa vigente.
tecnología de punta que cumpla con los estándares exigidos en
el Reglamento para la Gestión de la Seguridad de la Información Objetivo General. Determinar el nivel de cumplimiento del
emitido por la Autoridad de Supervisión del Sistema Financiero Reglamento para la Gestión de Seguridad de la Información
(ASFI). Esta entidad exige invertir recursos y tecnologías con Cloud Computing si se utilizaría en las entidades financieras
certificaciones de seguridad, esto en algunos casos no se ajusta bolivianas.
adecuadamente al negocio cambiante, el cual se debe cumplir y
evitar penalizaciones o sanciones. Objetivos específicos
ASFI exige justificar constantemente cómo se garantiza la • Estudiar el Reglamento para la Gestión de Seguridad de
seguridad de la información y cómo se mantiene el control la Información de la ASFI y los servicios tecnológicos
interno sobre los procesos que tiene para el cumplimiento fiel de de Cloud Computing que cumplan esta normativa.

[N] G. Nicols, «Cloud Computing en el Mercado de Valores cumpliendo el Reglamento para la Gestión de
Seguridad de la Información ASFI», Revista PGI. Investigación, Ciencia y Tecnología en Informática,
nº 8, pp. 91-94, 2020.
91
• Determinar costo y beneficio al implementar Cloud Actualizaciones automáticas, evitan decidir entre actualizar
Computing en las entidades financieras. y conservar el trabajo ya realizado, dado que esas
• Comparar legislaciones de entidades de supervisión personalizaciones e integraciones se conservan
financiera de otros países que utilizan Cloud automáticamente durante la actualización.
Computing. Contribuye al uso eficiente de la energía. En los Data Centers
Planteamiento de hipótesis tradicionales, los servidores consumen mucha más energía que
la requerida realmente. En cambio, en la nube, solo consume la
El nivel de cumplimiento al utilizar Cloud Computing en las necesaria, reduciendo notablemente el desperdicio.
entidades financieras supera el 85% de lo establecido en el
Reglamento para la gestión de seguridad de la información. Es evidente la reducción de costos tanto en infraestructura y
licenciamiento de software como para compartir los recursos en
Variable de estudio. VE = Nivel de cumplimiento. diferentes áreas de negocios, zonas geográficas y la
A. Cloud Computing estandarización de procesos.
Según National Institute of Standard and Technologies 2) Desventajas de Cloud Computing
(NIST), “Cloud Computing es un modelo que permite en forma Genera dependencia de los proveedores de servicios.
ubicua, conveniente y compartida, el acceso bajo demanda, a
través de la red, a un conjunto de recursos informáticos La disponibilidad de las aplicaciones está sujeta a la
configurables (por ejemplo, redes, servidores, almacenamiento, disponibilidad de acceso a Internet localmente.
aplicaciones y servicios) que se pueden aprovisionar
La madurez funcional de las aplicaciones hace que
rápidamente y liberarlos con un esfuerzo mínimo de gestión e
continuamente estén modificando sus interfaces, por lo cual la
interacción con el proveedor de servicios” [1].
curva de aprendizaje en empresas de orientación no tecnológica
B. Características de Cloud Computing tenga unas pendientes significativas, así como su consumo
automático por aplicaciones.
• Agilidad. Ofrece recursos tecnológicos y capacidad de
mejora. D. Tipos de Servicios Cloud Computing
• Costo. Los recursos tienen menores costos a los equipos 1) Software as a Service (SaaS)
físico in situ, a la misma escala.
• Escalabilidad y elasticidad. Capacidad para El software se aloja en el servidor del proveedor y se accede
incrementar la carga de trabajo y recursos en tiempo con un navegador web o un cliente especializado desde
real. cualquier punto; permite cambios en cualquier momento. El
• Rendimiento. Controlan y optimizan el uso de los usuario no se preocupa por el mantenimiento, soporte y la
recursos automáticamente, permitiendo el control y disponibilidad del software.
seguimiento. 2) Platform as a Service (PaaS)
• Seguridad. Es similar o incluso mejor que otros sistemas Engloba los recursos de infraestructura, sistemas operativos,
tradicionales, porque los proveedores dedican recursos middleware y otros. El proveedor ofrece el uso de su plataforma,
a resolver los problemas de seguridad que muchos que a su vez se encuentra en su infraestructura. Admite la
usuarios no pueden afrontar por tiempo y costo. integración con aplicaciones legacy a la vez que ofrece
• Mantenimiento. Se simplifica, ya que no es necesario interoperabilidad con los sistemas que se encuentren en sitio.
instalarlo en cada computadora y se puede acceder de
manera indistinta desde diferentes ubicaciones. 3) Infrastructure as a Service (IaaS)
• Independencia. Genera autonomía entre el dispositivo y La infraestructura como servicio (IaaS) proporciona
la ubicación permitiendo acceder a los sistemas, opciones a las compañías que necesiten adaptar sus recursos de
independientemente de su ubicación o del dispositivo servidores, redes, y almacenamiento rápidamente y bajo
que utilice. Permite compartir servidores y dispositivos demanda con su capa de virtualización por encima.
de almacenamiento que se utilicen más ampliamente, y
permite migrar fácil y rápidamente de un servidor a otro. E. Tipos de Nubes Cloud en Cloud Computing
Los tipos de nubes en Cloud Computing se diferencian en el
C. Ventajas y desventajas para el sector financiero
tipo de acceso y nivel de privacidad que éstas tendrán.
1) Ventajas de Cloud Computing
Cloud Computing se integra con mucha mayor agilidad y
rapidez con las demás aplicaciones empresariales, ya sean
desarrolladas de manera interna o por terceros pudiendo
incorporarse o crecer de manera gradual a medida que se
necesite evaluando retos, fortalezas, oportunidades, debilidades.
Las infraestructuras proveen mayor rapidez y adaptación,
mantenimiento de sistemas y recuperación de pérdida de datos.
Implementación más rápida, eficiente y con menos riesgos,
no es necesaria una gran inversión ya que se paga por uso. Las
aplicaciones del Cloud Computing suelen estar adecuados en
menor tiempo, ya sea en días u horas, a diferencia de semanas o Fig. 1. Posibilidades de Cloud Computing.
meses, con un nivel amplio de integración y personalización. //www.ticportal.es/temas/Cloud-Computing/posibilidades-Cloud-Computing
92
F. Tipos de Nubes Cloud en Cloud Computing Tecnología de información para la valoración de los recursos de
Los tipos de nubes en Cloud Computing diferencian el tipo los Sistemas de Información (SI) del Mercado de Valores,
de acceso y nivel de privacidad que éstas tendrán. informe de costos totales comparativo entre el funcionamiento
de la aplicación en una infraestructura física dentro instalaciones
y el uso de los mismos recursos en Cloud Computing.
B. Técnicas e instrumentos
Como técnicas e instrumentos utilizados tenemos:
• Cuestionario que consta de diez preguntas, cada una de
ellas elaboradas lo más apegadamente posible a los
objetivos que se plantearon.
• Legislación comparada entre normativas emitidas por
entidades supervisoras bancarias de países que
Fig. 2. Modelos de implementación del Cloud
adoptaron Cloud Computing que revelará la diferencia
fuente://evaluandoCloud.com/modelos-de-implementacion-del-Cloud // y similitud de tratamiento legal que les dan a temas
normativos similares al Reglamento para la Gestión de
G. Marco Legal o Institucional Seguridad de la Información emitida por la ASFI.
El desarrollo de software financiero en Bolivia debe cumplir • Comparación de cotizaciones de infraestructura de TI
estrictos controles de seguridad de la información que son para la implementación de un Data Center físico dentro
normados por la ASFI, entidad gubernamental que supervisa a de una entidad pequeña que emule a una entidad
todas las instituciones financieras que operan en Bolivia. financiera y la cotización de esa misma estructura en
Cloud Computing.
La ASFI ha emitido un Reglamento para la Gestión de
Seguridad de la Información de cumplimiento obligatorio para: • Análisis de contenido exploratorio del Reglamento para
la Gestión de Seguridad de la Información emitida por
El mercado de valores expresado en las circulares la ASFI con el fin de formular el índice de cumplimiento
[2], ASFI/433/29/11/2016 [3], ASFI/507/18/12/2017 [4].
ASFI/336/2015 de este por parte de Cloud Computing.
De Instituciones Bancarias está expresado en las circulares, • Entrevistas realizadas a participantes del Mercado de
SB/493/04/07/2003 [5], ASFI-193/16/09/2013 [6], ASFI-395/14/06/2016 [7], Valores y la ASFI.
ASFI-423/30/09/2016 [8], ASFI-505/04/12/2017 [9], ASFI-547/28/05/2018
C. Delimitación y procedimiento
[10], ASFI-596/20/02/2019 [11]. Consta de 13 secciones.
El estudio se delimitó inicialmente para el mercado de
Cubren distintos aspectos relacionados con la seguridad de valores y se extendió por la similitud de la reglamentación hacia
la información, desde la planificación estratégica, el resto de entidades financieras que son reguladas por la ASFI.
administración de la seguridad, control de acceso, desarrollo y
mantenimiento de sistemas de información, gestión de Esta investigación se realizó en un lapso de ocho meses, los
incidentes de seguridad y otros; el cumplimiento de este cuales se dividen en cuatro fases: en la primera fase se buscó y
reglamento obliga a las instituciones financieras a invertir recopiló toda la información relevante que fundamentó el
recursos adicionales y utilizar tecnologías de la información con estudio. En la segunda fase se realizó una investigación de
certificaciones de seguridad, para garantizar el cumplimiento y campo, donde se buscó y recopiló datos a través de los
evitar penalidades o sanciones. instrumentos, en la tercera fase se realizó el análisis e
interpretación de la información obtenida del resultado de la
II. MÉTODOS aplicación del instrumento Finalmente en la cuarta fase se
Esta investigación es de tipo deductivo con una naturaleza procedió a organizar, tabular y analizar los datos obtenidos en
cualitativa para solucionar problemas concretos de una las anteriores fases.
determinada población. Al existir solo una variable de estudio III. RESULTADOS
que es no experimental y longitudinal se realiza un seguimiento
a la investigación en un periodo de tiempo, con un nivel de Al esquematizar el análisis efectuado respecto a los servicios
profundidad descriptiva para exponer detalles de la Cloud ofrecidos y la documentación respaldatoria, los reportes
investigación, sin buscar causas ni consecuencias. de otras entidades supervisoras de otros países que utilizan esta
tecnología y al analizar las trece secciones y sus artículos
A. Población y muestra Reglamento para la Gestión de Seguridad de la Información
La muestra de la presente investigación está conformada por: Sector Financiero ASFI, se obtiene la siguiente tabla;
representantes en Gestión de Servicios de Tecnología de la
Información insertos en el Mercado de Valores y para entidades TABLA I. ANÁLISIS DE REGLAMENTO PARA LA GESTIÓN
DE SEGURIDAD DE LA INFORMACIÓN DE LA ASFI
financieras de la ciudad de La Paz, investigaciones de uso de
Cloud Computing relacionados con Empresas Financieras en 3 Concepto Cantidad
países, Reglamento para la Gestión de Seguridad de la Reglamento para la Gestión de Seguridad de la Información
Información emitida por la Autoridad de Supervisión del 83
Sector Financiero emitido por ASFI
Sistema Financiero (ASFI), estudios realizados de legislaciones
Artículos qué no se refieren al área de TI 36
de entidades supervisoras de entidades financieras de países
extranjeros que adoptaron el uso de Cloud Computing, Artículos referidos a TI 48
cotizaciones realizadas empresas nacionales reconocidas de
93
Artículos que cumple con la normativa vigente con IV. DISCUSIÓN

44
documentación respaldatoria por Cloud Computing
Mientras la normativa de la ASFI no permita que las
Artículos que NO cumple Cloud Computing por razones de entidades financieras bolivianas se incorporen a la
4
ubicación física y de permisión de auditorías físicas
transformación digital que ofrece Cloud Computing de manera
Sector Financiero ASFI y los servicios de Cloud que cumplen la normativa ágil y masiva, surgen nuevas figuras en el mercado financiero
como Startups de alto componente tecnológico ofreciendo
A partir de esto podemos llegar
soluciones de pago o de crédito aprovechando ese resquicio que
∑𝜑 𝜇 existe entre las demandas de los usuarios que ponen en peligro
𝛿 = (𝜑−∑𝑖=1𝜑 ) × 100 (1)
𝑖=1 𝜔 el sector financiero tradicional.
44
𝛿 = (83−35) × 100 = 91.67% (2) La ASFI tiene importantes desafíos que no solo encierran los
ya descritos si no también muchos otros, incluyendo la aparición
∑𝜑 Ω de empresas Fintech y la consolidación de sus procesos de
𝜆 = (𝜑−∑𝑖=1𝜑 ) × 100 (3)
𝑖=1 𝜔 supervisión que protejan la estabilidad financiera de nuestro
4 país.
𝜆 = (83−35) × 100 = 8,33% (4)
Donde: REFERENCIAS
𝛿 Número de artículos de la sección 1 a la 13 del Reglamento
ω Número de artículos que no son TI y no se aplica a Cloud Computing
[1] ASFI, «Circular 336 Reglamento para la gestión de seguridad,» La Paz,
β Número de artículos que son del área TI y aplica al uso de Cloud 2015.
µ Cumplimiento de Cloud Computing respecto al artículo del [2] ASFI, «Circular 433 ASFI/193/2013 Modificaciones del reglamento de
Reglamento, si se aplicara esta tecnología, dominio de valores: requisitos mínimos de seguridad informática para la administración de
Ω Número de artículos que no cumple Cloud al aplicar su tecnología (*) sistemas de información y tecnologías relacionadas,» La Paz, 2016.
𝜆 Índice de incumplimiento de artículos del Reglamento que las [3] ASFI, «Circular /507 Modificaciones al reglamento para la gestión de
tecnologías de Cloud Computing no cumplen (*) seguridad de la información,» La Paz, 2017.
(*) Estos artículos no pueden ser cumplidos por Cloud Computing por la [4] ASFI, «sb/493 Requisitos mínimos de seguridad informática para la
naturaleza de la exigencia de la norma que se refiere al lugar físico o administración de sistemas de información y tecnologías relacionadas,»
tipo de auditoria física con su tecnología. La Paz, 2003.
Y como parte del estudio se analiza cotizaciones de [5] ASFI, «Circular/193 Modificaciones del reglamento de requisitos
infraestructura de TI dentro de una entidad financiera y su mínimos de seguridad informática para la administración de sistemas de
información y tecnologías relacionadas,» 2013.
similar, usando Cloud Computing, en este caso Amazon; que se
ajuste a un periodo de contrato de tres años, obteniendo como [6] ASFI, «Circular/395 Modificaciones al reglamento para la gestión de
seguridad de la información,» La Paz, 2016.
resultado:
[7] ASFI, «Circular/423 Modificaciones al reglamento para la gestión de
TABLA II. COMPARACIÓN DE COSTOS seguridad de la información,» La Paz, 2016.
Comparación de costos en infraestructura para una empresa financiera [8] ASFI, «Circular/505 Modificaciones al reglamento para la gestión de
pequeña VS costos utilizando la tecnología de Cloud Computing dentro de seguridad de la información,» 2017.
un periodo de estudio de tres años. Expresado en Dólares [9] ASFI, «Circular/ 547 Modificaciones al reglamento para la emisión y
administración de instrumentos electrónicos de pago, al reglamento para
En instalaciones propias Cloud Computing
la gestión de seguridad de la información y al reglamento para empresas
Servidores 181.108 12.736 administradoras de tarjetas electrónicas,» La Paz, 2018.
Almacenamiento 97.098 32.608 [10] ASFI, «Circular/ 596 Modificaciones al reglamento para la gestión de
Red 67.280 37.525 seguridad de la información,» La Paz, 2019.
Trabajo de personal 6.683 9.356 [11] P. Y. G. T. Mell, «The NIST definition of cloud computing,» National
Institute of Standards and Technology.
Total general 352.169 92.225
[12] AWS, «TCO Calculator - Amazon Web Services
Fuente: Calculadora del costo total de propiedad (TCO) de AWS [12] https://aws.amazon.com/es/tco-calculator/,» [En línea]. Available:
https://aws.amazon.com/es/tco-calculator/. [Último acceso: 2019].
Guetzy Rosalin Nicols Iriarte es Licenciada en Informática mención Ingeniera de Sistemas por la Universidad Mayor de San
Andrés; Contadora General ISEC-La Paz; actualmente realiza la Maestría en Ingeniería de Software en el Postgrado en Informática.
Trabaja como Encargada de Sistemas y apoyo contable en Auditores & Consultores SRL “ZR”. Anteriormente como Profesional en
Sistemas en: Instituto de Desarrollo de la Pequeña Micro Empresa IDEPRO, Soluciones en seguridad & Informática “SoluSoft
Bolivia” y en la Fundación UNIR Bolivia; como Contadora General en: Colegio de Arquitectos de Bolivia, Araucaria despachantes
de aduanas SRL; Directora Académica y Administrativa en el Centro Integral de Estimulación Infantil “Semillitas de Colores”.
Expositora-Seminarista en Universidad Pública El Alto UPEA y Centro de Orientación y Asesoría Pedagógica La Paz.
Email: guetzynicols@gmail.com.
94
Cómo solicitar la no objeción para el uso de servicios

de computación en la Nube ante la Autoridad de
Supervisión del Sistema Financiero ASFI
Gustavo Fernando Linares Nuñez
La Paz - Bolivia
gustavo.linares@outlook.com
Resumen—El presente documento describe los pasos a seguir Ante estos eventos las empresas se han visto en la necesidad
para obtener la autorización del uso de servicios de computación de reinventarse y hacer uso de nuevas herramientas y servicios
en la nube ante la Autoridad de Supervisión del Sistema tecnológicos que les permita la continuidad del negocio por este
Financiero ASFI para entidades financieras, basándose en los motivo las entidades financieras se ha visto afectada en sus
requisitos normativos por el ente regulador y la reglamentación de operaciones y procesos diarios, lo que obligó a realizar ajustes
teletrabajo emitida por el Ministerio de Trabajo durante la en busca del fortalecimiento de procesos internos a nivel
presente gestión debido a la coyuntura sanitaria que atraviesa el ejecutivo operativo buscando alternativas que permitan dar un
país, usando como caso de uso el modelo de software como servicio salto en innovación tecnológica para el soporte necesario del
Office 365.
back y front office, orientando sus tareas hacia el teletrabajo y el
Palabras clave—Software como servicio, ASFI, teletrabajo, uso herramientas colaborativas en la nube.
office 365. El presente documento describe los pasos a seguir para
implementar un “Proyecto de implementación del servicio de
I. INTRODUCCIÓN computación en la nube” y el respectivo análisis de riesgos,
Desde finales del año 2019 nuestro país viene sufriendo una reflejando el cumplimiento de los puntos solicitados por la
serie de acontecimientos sociales, políticos y enfermedades entidad reguladora ASFI, para este caso se tomará como ejemplo
pandémicas que han cambiado la forma normal de pensar y el servicio de Office 365 de Microsoft.
trabajar.
II. PROBLEMÁTICA
Los meses de octubre y noviembre del año 2019 atravesamos
una de las crisis político – social más fuertes en muchos años, Los eventos mencionados en la introducción se consideran
donde grupos sociales de todos los niveles llevados por sus como situaciones adversas a las normales y han dificultado el
ideologías se levantaron e iniciaron una serie de paros, desarrollo fluido de las actividades ejecutivas de los niveles
conmociones urbanas y bloqueos en todo el país que gerenciales y operativos provocando:
obstaculizaron y no permitieron el normal funcionamiento de a) Lentitud en los procesos rutinarios,
empresas, oficinas y el aparato productivo del país [1].
b) Dificultad en el acceso inmediato a la documentación.
En diciembre del año 2019 se inició desde el país asiático de c) Establecer reuniones presenciales para toma de decisiones.
China uno de los mayores contagios del virus de síndrome
d) Almacenamiento de la información,
respiratorio agudo severo SARS–CoV-2 conocido como
enfermedad por Coronavirus COVID-19, este desencadenó en e) Disponibilidad del personal y seguimiento de tareas
una pandemia mundial con millones de contagiados y miles de asignadas
muertes, obligando a los gobiernos de los países de cerrar sus
III. ÁMBITO NORMATIVO – TECNOLÓGICO
fronteras y someter a la población general a estrictos controles
de cuarentena y confinamiento [2]. Las entidades que decidan encarar una nueva etapa de
adaptación ante estas eventualidades adversas pueden apoyarse
A mediados del mes de marzo del 2020 se registraron en en los siguientes pilares tecnológicos, legales y normativos:
nuestro país los primeros casos de COVID-19 y al igual que en
otros países, el nuestro se vio en la obligación de decretar a) Servicios orientados a la nube
estados de cuarentena rígida para preservar [3] la vida y no poner b) Legislación y normativa boliviana aprobada para el
en riesgo la salud e integridad de sus habitantes, ante esta teletrabajo, establecida en el D.S. 4218 del 14 abril 2020
situación las empresas tuvieron que realizar una pausa en su
c) “Reglamento de Implementación del Teletrabajo” emitida
producción y las oficinas dar la orden a sus empleados de acatar
por el Ministerio del Trabajo Empleo y Previsión.
la cuarentena dispuesta por el gobierno con el fin de no propagar
la enfermedad y mantener el principio vital. d) Normativa interna teletrabajo de cada Entidad Financiera

[N] G. Linares, «Cómo solicitar la no objeción para el uso de servicios de computación en la Nube ante la
Autoridad de Supervisión del Sistema Financiero ASFI», Revista PGI. Investigación, Ciencia y
95
e) Políticas y procedimientos de seguridad de la información cinco dispositivos sean estos PC o portátil, tabletas o cualquier
de cada entidad financiera dispositivo móvil.
f) Análisis de riesgos de los activos de información críticos Las variantes de Office 365 E3 y E5 hacen referencia a los
de cada institución financiera que se vean afectados por el planes de Enterprise 3 y Enterprise 5, ambos modos incluyen las
uso de los servicios de computación en la nube. mismas herramientas de ofimática, trabajo colaborativo,
Es de vital importancia y necesidad mejorar la productividad almacenamiento y uso compartido de archivos con la diferencia
y agilidad de los procesos internos, logrando una comunicación que E5 incluye mayores funcionalidades con herramientas en
inmediata, trabajo colaborativo y accesibilidad desde cualquier análisis avanzado con funcionalidades analíticas como
dispositivo tecnológico en cualquier sitio geográfico, con MyAnalitics y PowerBi Pro.
herramientas integradas que se encuentren en la nube y que A nivel de seguridad, Office 365 incluye con la suscripción:
abarquen todos nuestros niveles ejecutivos y operativos
logrando dar mayor eficiencia en el logro de metas de las • Protección contra amenazas – Microsoft Advanced
instituciones de intermediación financiera. Threat Analitycs: Detecta e investiga amenazas
avanzadas, identidades en peligro y acciones
IV. OBJETIVO malintencionadas en entornos locales y en la nube.
Diseñar un documento de solicitud para el uso de la Protege la organización con inteligencia adaptativa e
herramienta de computación en la nube de Office 365 que integrada.
cumplan con los requisitos de seguridad exigidos por la • DLP (Data Loss Prevention): Protege la información
Autoridad de Supervisión del Sistema Financiero. confidencial en cualquier lugar, incluso cuando está en
movimiento o cuando se comparte. Se tiene visibilidad y
V. DESARROLLO DEL PROYECTO control sobre cómo se utiliza cualquier archivo con una
Como caso de uso de uso se aplicará el estudio hacia la solución de protección de la información.
herramienta de Microsoft Office 365 ya que cumple con una de • Administración de la seguridad – Centro de seguridad y
las definiciones y usos de computación en la nube, en este caso cumplimiento: Se mantiene visibilidad de las
Software como servicio (SaaS). aplicaciones y servicios en la nube, informando con
Los siguientes requisitos y descripciones deben ser parte del análisis sofisticados y controlando cómo viajan los datos
documento final para solicitar la no objeción de implementación para que se pueda responder a las amenazas informáticas
de servicios en la nube: y combatirlas.
• Cumplimiento avanzado – eDiscovery: Responde de
A. Office 365 para empresas
forma inteligente a las solicitudes y protege los datos en
En el caso del presente artículo se toma como caso de uso distintos dispositivos, aplicaciones y nube.
Office 365 bajo la modalidad de Software como servicio, es
• Azure Information Protection: Permite controlar y
importante recordar que no es la única forma de implementación
proteger correo electrónico, documentos y datos
de un servicio en la nube, pero debido a la coyuntura actual por
confidenciales que se comparten fuera del dominio de la
la emergencia sanitaria los funcionarios de las entidades de
institución.
intermediación financiera, en su mayor parte los del back office,
no asisten de manera regular a sus fuentes laborales por tanto B. Trabajo a distancia y colaborativo
necesitan de herramientas tecnológicas para dar continuidad a Los cambios de modalidad de trabajo actual demandan un
sus actividades, no obstante, las entidades de intermediación mayor uso de nuevos servicios y aplicaciones que permitan a los
financiera podrán hacer uso de la que se acomode a sus funcionarios de las entidades financieras lograr una mayor
necesidades siempre y cuando cumplan con los requisitos de eficiencia en el desarrollo del trabajo ejecutivo – operativo
seguridad que exige la Autoridad de Supervisión del Sistema usando herramientas de trabajo colaborativo en línea al instante
Financiero. y a distancia.
Office 365 para empresas es un conjunto de herramientas de Con el objetivo de trabajo colaborativo se logra la
productividad y trabajo colaborativo que funcionan bajo el interacción de la planta ejecutiva en línea y al instante,
modelo de Software como Servicio - “Software as a Service consiguiendo agilidad y eficiencia para el desarrollo de sus
(SaaS)” con una fuerte interacción de internet y alojamiento en funciones sin importar el lugar y espacio geográfico en el que se
la nube [3]. encuentren para desarrollar sus funciones y obligaciones.
Bajo una misma plataforma unificada se incluye: C. Servicios de computación en la nube bajo normativa ASFI
• Herramientas de ofimática: Word, Excel, PowerPoint, La recopilación de normas para servicios financieros en el
Outlook título VII, Capítulo II, sección 11, artículo 10° (Servicio de
• Herramientas de trabajo colaborativo, chat, llamadas y computación en la nube), establece las siguientes normas que
reuniones: Teams deben cumplirse para la implementación del servicio de
computación en la nube y la no objeción de la ASFI.
• Almacenamiento y uso compartido de archivos:
OneDrive, SharePoint a) Que no se vulnerará el derecho a la Reserva y
Confidencialidad, establecida en el Artículo 472 de la Ley
Al ser un modelo de software como servicio la forma de
licenciamiento no es la tradicional compra de software a N°393 de Servicios Financieros
perpetuidad, sino una suscripción mensual o anual por usuario, El artículo 472 de la ley 393 de servicios financieros hace
la suscripción da el derecho a instalar las aplicaciones hasta en referencia a “Las operaciones financieras realizadas por
96
personas naturales o jurídicas, bolivianas o extranjeras, con c) Que el proveedor del servicio cumpla con los
entidades financieras gozarán del derecho de reserva y requisitos de seguridad de la información dispuestos en el
confidencialidad. Cualquier información referida a estas presente reglamento.
operaciones será proporcionada al titular, a quien éste autorice o La sugerencia de para implementar este requerimiento es:
a quien lo represente legalmente.”
Microsoft y su producto Office 365 en el presente caso, tiene
Se define “operaciones financieras” como operaciones una destacada trayectoria en cuanto a la gestión de seguridad y
activas, pasivas o contingentes realizadas por una entidad la protección de datos de los usuarios, cuenta con diversas
financiera autorizada. certificaciones internacionalmente reconocidas además de ser
La sugerencia para implementar este requerimiento es: sujeto a la supervisión del “Instituto Nacional de estándares y
tecnología (NIST) del gobierno norteamericano y otras
• La entidad de intermediación financiera regulada por instituciones europeas. Por tanto, el proveedor cumple con los
ASFI, tendrá que describir dentro de sus políticas requisitos de Seguridad de la Información del “Reglamento para
internas de prevención y cumplimiento el derecho de la Gestión de Seguridad de la Información” emitido por la
reserva y confidencialidad de las operaciones financieras entidad reguladora ASFI, en virtud de que las recomendaciones
realizadas por sus clientes declaradas en las mismas y buenas prácticas internacionalmente reconocidas en lo
• Los términos de servicio de Office365, contemplan referente a la Gestión de Seguridad de la Información han sido
obligaciones, excepciones y aclaraciones requeridas el marco de referencia para la creación de este reglamento.
respecto a información confidencial, además de integrar d) Que el proveedor del servicio cumpla con la
dentro de su arquitectura y sus políticas internas
normativa y legislación del Estado Plurinacional de Bolivia,
directivas formas para la “Administración y protección
existiendo la posibilidad de poder ser examinado por ASFI y/o
de la información a través de la prevención de pérdida de
datos (DLP) y Azure Information Protection en las que empresas de auditoría externa bolivianas
se puede: La sugerencia de para implementar este requerimiento es:
o Identificar información confidencial en varias Microsoft cuenta con socios empresariales oficiales y locales
ubicaciones, como Exchange Online, SharePoint que cumplen las funciones de representantes ante la empresa
Online y Microsoft Teams. para la venta, distribución e implementación de sus productos
y/o servicios. Estos representantes locales son empresas
o Evitar el uso compartido accidental de información
legalmente establecidas bajo normativa y legislación del Estado
confidencial.
Plurinacional de Bolivia por lo que pueden ser examinados por
o Supervisar y proteger información confidencial en las ASFI y/o empresas de auditoría externa bolivianas, al ser
versiones de escritorio de Excel, PowerPoint y Word. Microsoft una empresa multinacional y con oficinas en varios
o Cifrado de documentos. países cuentan con una variedad de auditorías y certificaciones
que avalan la seriedad y solvencia de la empresa.
b) Qué no se encuentra dentro de las Limitaciones y
Prohibiciones, establecidas en los Títulos II, III, IV de la Ley e) Que, en su análisis y evaluación de riesgos en
N°393 de Servicios Financieros, referidos a “Servicios seguridad de la información, se justifique la pertinencia de
Financieros y Régimen de Autorizaciones”, que pueden contratar el servicio de computación en la nube.
realizar entidades supervisadas por ASFI. La sugerencia de para implementar este requerimiento es:
La ley 393 en los títulos establecidos hace referencia a:
• El uso de servicios, seguridad y riesgos en la nube han
• Título II “Servicios Financieros y régimen de sido extensamente probados en Norte América y Europa
autorizaciones” por entidades e instituciones auditoras internacionales
dando certificación de la seguridad y su buen uso.
• Título III “De las entidades financieras del estado y
Corresponde a cada institución verificar e identificar los
entidades financieras con participación mayoritaria del
riesgos que pueden estar relacionados a nuestra región y
estado”
situación social además de validar que el proveedor
• Título IV “De las entidades financieras privadas” cuente con medidas de seguridad que permita mitigar
La sugerencia de para implementar este requerimiento es: riesgos.
• El análisis de riesgos de estar detallado con los controles
• El servicio de computación en la nube Office 365 no se a implementar y el tiempo de aplicación en la carta de
encuentra dentro de las limitaciones y prohibiciones solicitud.
establecidas en los títulos II, III y IV de la ley 393 al ser
la empresa internacional Microsoft y su producto Office f) En las cláusulas del contrato se contemplen los
365 un servicio destinado para uso de la sociedad: en aspectos señalados en los incisos:
ofimática, almacenamiento o comunicación y no para la • Que no se vulnerará el derecho a la Reserva y
otorgación de servicios financieros. Confidencialidad, establecida en el Artículo 472 de la
• Que respaldados por los controles establecidos en el Ley N°393 de Servicios Financiero [4].
análisis de riesgos aseguren que la información enviada • Que no se encuentra dentro de las Limitaciones y
a estos repositorios en la nube no contenga información Prohibiciones, establecidas en los Títulos II, III, IV de la
transaccional de clientes. Ley N°393 de Servicios Financieros, referidos a
“Servicios Financieros y Régimen de Autorizaciones”,
que pueden realizar entidades supervisadas por ASFI [5].
97
• Que el proveedor del servicio cumpla con los requisitos la necesidad de acceder a nuevas herramientas y servicios
de seguridad de la información dispuestos en el presente tecnológicos en busca del fortalecimiento de los procesos
reglamento [5]. internos a nivel ejecutivo operativo, buscando alternativas
• Que el proveedor del servicio cumpla con la normativa y que permitan dar un salto en innovación tecnológica y la
legislación del Estado Plurinacional de Bolivia, continuidad del negocio orientándonos hacia el teletrabajo y
existiendo la posibilidad de poder ser examinado por herramientas colaborativas en la nube.
ASFI y/o empresas de auditoría externa bolivianas [5]. • El teletrabajo está legalmente reglamentado y dictaminado
La sugerencia de para implementar este requerimiento es: por el “Ministerio del Trabajo Empleo y Previsión Social”
bajo el amparo de la legislación boliviana.
• Contar con los términos del contrato de servicios de
Microsoft que son aceptados al momento de establecer el • Se demostró que Office 365 es un servicio en la nube que
pago anual. funciona como plataforma unificada y que cumple con los
requerimientos presentados en la problemática, en sus
• Contar con el contrato de servicios otorgado por la funcionalidades de teletrabajo, herramientas colaborativas,
empresa representante oficial de la marca en Bolivia ofimática y altos estándares comprobados en seguridad
D. Análisis de riesgos informática.
El análisis de riesgos es un proceso que comprende la • Se evidenció que Office 365 tiene certificaciones de
identificación de activos informáticos, las vulnerabilidades y auditoría y seguridad con los más altos estándares
amenazas a los que se encuentran expuestos, así como la internacionales que aseguran a las entidades de
probabilidad de que una amenaza materialice una vulnerabilidad intermediación financiera que mantendrán los criterios de
y el impacto de estas con el fin de determinar los controles disponibilidad, integridad y privacidad de la información y
adecuados que nos permitan aceptar, disminuir, transferir o documentación, el cumplir correctamente los controles
evitar la ocurrencia del riesgo. establecidos en el análisis de riesgos que permitirá establecer
un doble factor de seguridad.
El establecer los riesgos al acceder a los servicios en la nube
con Office 365 nos permite establecer los controles precisos para • Si las entidades deben cumplir con las normas para servicios
mitigar incidentes y mantener la continuidad del negocio desde financieros en el libro 3°, título VII, Capítulo II, sección 11,
niveles ejecutivos. artículo 10° (Servicio de computación en la nube)
El análisis de riesgo se lo puede ejecutar mediante la VII. CONCLUSIÓN

metodología propia de la institución o apoyándose en un Las entidades de intermediación financiera que cumplan con
estándar internacional como la NIST 800 30, la ISO 27005 la los requisitos descritos en el presente artículo podrán justificar
ISO 31000 e identificar los activos informáticos implicados, las la pertinencia de contratar el servicio de computación en la nube
vulnerabilidades y sus condiciones predisponentes, las fuentes de su elección.
de amenaza, la probabilidad de ocurrencia, el impacto, nivel de
riesgo, la implementación de controles y el riesgo residual REFERENCIAS
estimado después de su aplicación [6]. [1] C. I. d. D. H. (CIDH), Al menos 23 fallecidos en casi un mes de
convulsión social en Bolivia, La Paz: www.eltribuno.com/, 2019.
Es necesario que el análisis de riesgo sea lo más detallado
[2] O. M. d. l. s. OMS, Brote de enfermedad por coronavirus (COVID-19),
posible, haciendo énfasis en la protección de datos y la fuga de https://www.who.int/es/emergencies/diseases/novel-coronavirus-2019,
información confidencial, y de este modo establecer controles 2019.
que eviten ambos riesgos considerando un análisis de costo [3] Microsoft, https://www.microsoft.com/es-es/microsoft-365/business,
beneficio antes de su implementación que sean efectivos para microsoft.com, 2020.
proteger lo descrito en el presente artículo. [4] Ley-393/Servicios-Financieros, Ley de Servicios Financieros.
[5] ASFI-RNSF, RNSF, Recopilación de normas para servicios financieros.
VI. RESULTADOS [6] Decreto-Supremo-N°-4218, Decreto Supremo N° 4218 de 14 de abril de
• Se ha expuesto mediante el presente artículo, que las 2020, LA PAZ, 2020.
convulsiones sociales y enfermedades endémicas en el país [7] ATT-D.S.N°-4199, D.S. N° 4199, La Paz: ATT, 2019.
afectan el normal funcionamiento de las empresas y que [8] L.-3.-S. Financieros, Ley-393-Servicios Financieros.
ninguna institución es ajena a estos eventos, por lo que surge
Breve CV del autor

Gustavo Fernando Linares Nuñez es Ingeniero de Sistemas por la Universidad Católica Boliviana; Diplomado en Auditoria de
Sistemas, Universidad del Valle; Implementador Líder Senior ISO 27001 Seguridad de la Información – PECB Certificación
Internacional; Implementador Líder Senior ISO 22301 Continuidad del Negocio – PECB Certificación Internacional; Certified
Ethical Hacker – EC-COUNCIL. Email: gustavo.linares@outlook.com.
98
Inteligencia Artificial en la Seguridad de TI

Gustavo Rondo Montes
La Paz – Bolivia
gurondo777@gmail.com
Resumen—Este artículo tiene la finalidad de mostrar un Obviamente, queda mucho por hacer para lograr una
panorama general de la aplicación de la Inteligencia Artificial seguridad perfecta mediante el uso de la IA. Dicha IA no solo
enfocada a la seguridad de las tecnologías de información, una debería constituir una mente simulada de buena fe que pudiera
opinión que se da hoy en día, es que no solo se debería constituir superar el Test de Turing, sino que también debería ser un
una mente artificial simulada de buena fe que pudiera superar el profesional en ciberseguridad muy bien adiestrado, capaz de
Test de Turing de un ser humano, sino que también debería tener replicar las decisiones tomadas por el ingeniero en seguridad con
la capacidad de simular a un profesional en ciberseguridad muy más experiencia, pero en una escala muy superior.
bien adiestrado, capaz de replicar las decisiones tomadas por el
ingeniero en seguridad con más experiencia pero en una escala Antes de lograr una Inteligencia Artificial brillante propia de
muy superior. Antes de lograr una Inteligencia Artificial brillante la ciencia ficción, debemos pasar por algunas etapas de prueba,
propia de la ciencia ficción, debemos pasar por algunas etapas de si bien dichas etapas tienen un gran valor en sí mismas.
prueba, si bien dichas etapas tienen un gran valor en sí mismas, Constantemente asistimos a avances verdaderamente
cuando madure como tecnología, constituirá uno de los asombrosos. Cuando madure como tecnología, constituirá uno
desarrollos más asombrosos de la historia, cambiando la condición de los desarrollos más asombrosos de la historia, cambiando la
del ser humano de manera similar e incluso superior a cambios condición del ser humano de manera similar e incluso superior
trascendentales como la electricidad, la aviación e Internet. a cambios trascendentales como la electricidad, la aviación e
Internet, ya que estamos en la era “pre IA”.
Palabras clave—Conocimiento, inteligencia artificial,
tecnología de información. II. PROBLEMÁTICA
I. INTRODUCCIÓN El futuro de la industria de la ciberseguridad parece que pasa
El software de Inteligencia Artificial (IA) o aprendizaje por la inteligencia artificial (IA).
automático (ML, Machine Learning por sus siglas en inglés) Prácticamente 7 de cada 10 empresas así lo creen. Y es que
tiene la capacidad de “aprender” a partir de las consecuencias de el 69 % de aquellas que han sido consultadas por el Instituto de
eventos pasados para poder predecir e identificar amenazas en Investigación de Capgemini se muestra convencida de que no
ciberseguridad. Según un informe de Webroot, la IA es utilizada tendrá capacidad para responder a los ciberataques y las
por aproximadamente el 87 % de los profesionales en amenazas críticas que caracterizan al panorama empresarial
ciberseguridad de los Estados Unidos [1]. actual si no usan IA. El motivo de fondo es que el mundo está
En el mundo de la seguridad, la Inteligencia Artificial cambiando con la introducción del internet de las cosas, los
constituye un caso claro de elemento potencialmente avances en la nube, la llegada del 5G o el uso de tecnologías de
positivo. La industria está notoriamente desequilibrada, con interfaz conversacional, por ejemplo.
agentes maliciosos que intentan aprovechar miles de Según un 60 % de los directivos, la IA es útil en el campo de
vulnerabilidades para lanzar sus ataques al tiempo que intentan la seguridad porque incrementa la eficiencia y la productividad
desplegar un arsenal de herramientas cada vez mayor para evadir de los analistas, que gastarían menos tiempo en falsos positivos.
la detección una vez que han roto la seguridad de un sistema. Un 64 % aprecia que se reduzca el coste derivado de detectar
Con los recursos avanzados, la inteligencia y la motivación brechas y responder ante el descubrimiento de las mismas. Un
para completar un ataque, los intrusos son capaces de generar porcentaje mayor, el 69 %, destaca su contribución en
ataques de alto nivel estos ataques se producen cada día, es así la precisión a la hora de descubrir problemas. Y otro 74 % valora
que la victoria resulta eventualmente imposible para los que se disminuye el tiempo de respuesta [2].
defensores. Y esto se está reflejando en las inversiones. Prácticamente la
La velocidad analítica y la potencia de nuestra seguridad “de mitad de los consultados (48 %) dice que en 2020 aumentarán
ensueño” mediante el uso de IA como mínimo debería poder los presupuestos para IA en ciberseguridad y que lo harán un 29
hacer frente a este tipo de escalada, nivelando el terreno de juego %. Hasta ahora solo 1 de cada 5 empresas usaba IA en
para los profesionales de la seguridad que actualmente tienen ciberseguridad, pero se espera que el año que viene 2 de cada 3
que realizar una defensa constante contra atacantes que pueden hayan desplegado esta tecnología [2].
escoger un punto débil en su tiempo libre. En su lugar, incluso Más allá de las ventajas, que animan a cambiar la forma de
los ataques bien planeados y ocultos podrían detectarse y ser hacer las cosas, todavía hay desafíos que superar, sobre todo la
derrotados rápidamente. dificultad para transformar pruebas de concepto en despliegues

[N] G. Rondo, «Inteligencia Artificial en la Seguridad de TI», Revista PGI. Investigación, Ciencia y
99
completos o la cuestión de la integración de infraestructuras, B. Aprendizaje de lo Superficial a lo Profundo

sistemas de datos y aplicaciones. Debido a las limitaciones de la capacidad de procesamiento
III. OBJETIVO del hardware, el aprendizaje automático sólo podía implementar
un aprendizaje superficial de conjuntos de datos muy grandes.
Dar a conocer y comprender la importancia de la seguridad Con los recientes y significativos avances en el poder de
en las tecnologías de información enfocándolos desde la procesamiento de las unidades de procesamiento gráfico (GPU),
perspectiva de la inteligencia artificial. ahora podemos utilizar un enfoque de aprendizaje profundo en
el que logramos ver datos en muchos más niveles o dimensiones;
IV. HIPÓTESIS de ahí la palabra “profundo”.
Es posible mediante la inteligencia artificial poder suplir las
necesidades de seguridad que demanda las tecnologías de Milestone, por ejemplo, se ha trasladado a esta nueva
información. plataforma de cómputo de GPU al recodificar
nuestro software para usar un nuevo tipo de codificación
V. REVISIÓN DE LITERATURA llamada paralelización. La paralelización de software es una
técnica de codificación para dividir un solo problema en cientos
Es fácil pensar que todo aquello denominado como ‘smart’ de problemas más pequeños. El software puede ejecutar esos
sea algo inteligente, pero esto no es obligatoriamente así. Un 100 o mil procesos en mil núcleos de procesamiento, en lugar de
ejemplo recurrente dentro de la industria son los analíticos esperar a que un núcleo procese los datos mil veces [3].
inteligentes, la mayoría de los cuales, a pesar de tener esta
denominación, son simplemente algoritmos predefinidos que Con la paralelización, hay un gran avance en la rapidez con
dependen de alguien para que los modifique, actualice y mejore; la que podemos resolver un problema. Y cuanto más rápido
en otras palabras, no necesariamente aprenden algo nuevo con podamos resolver un problema, con más profundidad se pueden
el paso del tiempo. procesar los conjuntos de datos.
En su forma más básica, la IA alude a la capacidad de la C. Desafíos en un Futuro Inteligente
máquina para aprender por sí misma, diferente al aprendizaje Históricamente el gran desafío de la IA ha sido la potencia,
automático (machine learning), el cual se refiere a cómo se está pues se necesita una gran cantidad de cómputo para procesar
aplicando la IA en la evaluación de datos, tanto en un nivel todos estos datos. Sin embargo, con NVIDIA, el proceso de
superficial como en uno profundo. También tenemos los computación ya no es un problema [4].
analíticos, que suelen ser un concepto que abarca todos los
resultados que se le presentan al usuario, pero que no Ahora el reto para la arquitectura e infraestructura general de
necesariamente están relacionados con la IA. estos proyectos pasa por cómo asegurarlos. Es una gran cantidad
de datos y, si es valioso para nosotros, probablemente también
A. La Inteligencia Artificial y el análisis de video lo sea para otra persona. Así que, ¿cómo podemos mantener el
Tradicionalmente el análisis de video se ha basado en reglas control sobre eso? Ese es probablemente el agujero más grande
decretadas por un programador humano que establece que vemos en la mayoría de las implementaciones: una falta de
parámetros fijos para cada situación que el sistema debe atención hacia los elementos de ciberseguridad.
reconocer. En comparación, la tecnología de análisis de
Aún estamos en la infancia de la inteligencia artificial.
contenido basada en IA puede aprender directamente del video
Pasará bastante tiempo antes de que la IA tenga el potencial de
sobre los objetos, sus relaciones entre sí y su comportamiento
reemplazar las capacidades de un equipo humano. El escenario
[1].
más probable es que la inteligencia artificial se aproveche para
Esto hace posible identificar los objetos de manera procesar muchos más datos en mucho menos tiempo, lo que
“inteligente” y clasificar las situaciones. El sistema podrá permitirá a los usuarios finales tomar mejores decisiones con
comprender si tiene un comportamiento normal o anormal y mayor rapidez.
alertar al operador sobre actividades inusuales, lo que llevará a
Necesitamos personas, sólo queremos darles mejores datos
desarrollar sistemas predictivos en el futuro.
para su toma de decisiones; gente que haga un dictamen de los
La inteligencia artificial y el aprendizaje automático se datos proporcionados, y el video sin duda será una herramienta
aplican a dispositivos y equipos para obtener funciones que el crucial en este proceso, asegurando el acceso visual en tiempo
ser humano no podría alcanzar; por ejemplo, sentarse y mirar real, convirtiendo los datos en información visual.
todas las imágenes de las cámaras simultáneamente.
Combinar la inteligencia de la máquina con el juicio humano
Nuestra atención no funciona de esa manera, pero las es un requisito previo para aprovechar al máximo los datos
máquinas son extremadamente buenas y detalladas en esto. generados por los entornos IoT (Internet de las Cosas). Y no
Aprovechar datos y videos de los dispositivos es la base para tengo dudas de que el video será la base para que las personas
combinar la inteligencia de la máquina con el juicio humano. confiemos en estos datos en el futuro [5].
En otras palabras, la inteligencia artificial es la evolución del En la actualidad, existen pocas soluciones que
análisis de video, pero en lugar de crear algoritmos alrededor de verdaderamente implementen la inteligencia artificial en la
algo que estamos viendo, está construyendo sistemas que industria de la seguridad. Muchas soluciones están “entrenadas
realmente aprenden lo que está sucediendo sobre la marcha. para IA”, lo que significa que en el laboratorio sus algoritmos se
Inherentemente, la calidad seguirá mejorando con el tiempo, y entrenan utilizando capacidades de IA. Pero, una vez que se
eso nos ayudará a impulsar una mejor adopción con una mejor desarrolla ese algoritmo, se implementa como solo un
calidad. dispositivo inteligente y no se produce más aprendizaje. La
100
única vez que estos algoritmos mejorarán es cuando se REFERENCIAS

actualicen para incluir un aprendizaje mejorado [6]. [1] Webroot and opentext. (2018 – 2019) Resources-internet-security-faq.
Recuperado de: https://www.webroot.com/us/en.
VI. CONCLUSIONES [2] Silicon insights for it profesionals (2020) Visite la página seguridad-sin-
La aplicación de la IA en el campo de la ciberseguridad, inteligencia-artificial Recuperado de: https://www.silicon.es/
aunque es emergente, es la gran apuesta. Las medidas defensivas [3] J.A. Tuszynki, et al. Dielectric Polarization, Electrical Conduction,
deben ir por delante de los atacantes y los algoritmos de Information Processing and Quatum Computation in Microtubules. Are
they plausible? Philisophical Transactions of the Royal Society London
Inteligencia Artificial se están presentando como la tecnología 356: 1897-1926, 1998.
idónea para combatirlos. [4] C.G. Langton. Artificial Life. Santa Fe Institute in the Science of
Esta capacidad de optimización de recursos, que se nos Complexity. New York: AddisonWesley,1998.
presenta para poder adelantarnos a las amenazas, puede ser [5] H. Garret and C. Grisham. Biochemistry. Chapter 17. 2nd ed. Harcourt
Brace College Publishers. Sauder College Publishing. New York 1999. -
decisiva para evitar un aumento en el volumen de riesgos y R. Kurzweil. The Age of Spiritual Machines: When the computers exceed
daños al que empresas y usuarios (por desgracia, pero con human intelligence. Penguin Books, 1999.
remedio) ya se están enfrentando. [6] J. Satinover. The quantum Brain: The search for freedom and the next
generation of man. John Wiley & Sons, Inc. New York, 2001.
Breve CV del autor

Gustavo Rondo Montes es Ingeniero de Sistemas por la Universidad Salesiana de Bolivia; Diplomado en Telecomunicaciones;
Diplomado en Auditoria de Sistemas. Actualmente realiza la Maestría en Informática Forense Seguridad de la Información y
Auditoria de Sistemas en el Postgrado en Informática UMSA. Email: gurondo777@gmail.com.
101
Procesos basados en ISTQB aplicados en

la etapa de pruebas de integración
Hugo Gabriel Aguirre Aguirre
La Paz – Bolivia
hgabriel.aguirrea@gmail.com
Resumen—En cualquier empresa o institución que desarrolla Consecuentemente, los jefes de proyecto estiman el costo y la
software en Bolivia y en el extranjero, requieren que el producto duración del proyecto a desarrollar utilizando solamente el juicio
software salga al mercado o ingrese en producción con el menor de un experto, lo que produce cronogramas y presupuestos poco
número de defectos posibles en el tiempo planificado, varias de las acertados.
organizaciones tienen un equipo de control de calidad de software
ya establecido que permite probar el software y encontrar defectos Para las instituciones es fundamental medir el proceso de
antes de su puesta en producción garantizando de este modo la ingeniería de software y el producto que se elabora, en el proceso
satisfacción del cliente o usuario final, para cumplir lo de control de calidad de software, no se tiene una forma de
mencionado, se requiere que el equipo de control de calidad de trabajo establecido que permita estimar cuanto recurso es
software tenga los roles y funciones definidas. Por esta razón se suficiente y peor aún no se tienen definido las tareas, roles y
realiza el trabajo de investigación con el fin de identificar los roles funciones que debe desempeñar cada miembro del equipo de
y funciones que permitan la óptima realización de las pruebas pruebas de integración, a veces se estima mucho recurso y
unitarias, de integración, de sistema y de aceptación; y permite que el personal tenga tiempos muertos, a veces se estima
específicamente a las pruebas de integración donde se aplicará los poco recurso y no se terminan de ejecutar las pruebas
conceptos mencionados en ISTQB y se determinarán los procesos planificadas, teniendo como resultado un producto software de
requeridos para realizar de manera óptima el control de calidad baja calidad. Para mejorar los objetivos es necesario conocer el
en esta etapa.
estado actual de desarrollo del software [5] [5].
Palabras clave—Procesos ISTQB, roles, funciones, pruebas de Para el presente documento, el área de estudio se centrará en la
integración. institución RUAT (Registro Único para la Administración
Tributaria Municipal), que es una institución que tiene la misión
I. INTRODUCCIÓN de “Diseñar, desarrollar y administrar sistemas informáticos que
Las empresas o instituciones que desarrollan software en permitan a los Gobiernos Municipales, Ministerio de Hacienda
Bolivia y en el extranjero, creen en un software que cumpla los y Policía Nacional cumplir con las atribuciones conferidas por
estándares de calidad inmersos en cada una de las etapas del Ley en lo referido a tributos e ingresos propios.”, dicha
ciclo de vida, implementando la mejora de procesos y realizando institución cuenta con un área de control de calidad de software
pruebas de software, seleccionando los servicios, técnicas de cuyos procesos se encuentran basados en el ISTQB.
pruebas y herramientas más adecuadas, según las necesidades y
expectativas en materia de: Funcionalidad, Fiabilidad, Aspectos principales de la problemática:
Usabilidad, Eficiencia, Mantenimiento y Portabilidad [1]. Este • La calidad en productos terminados es insuficiente [5].
trabajo de investigación pretende dar a conocer los procesos
• Se da más importancia a los costos, tiempos y alcance en
requeridos en pruebas de integración definiendo los roles, flujo
el desarrollo en lugar de la calidad del software [5], este
de trabajo, funciones del personal que realiza las pruebas de
tipo de enfoque siempre impacta negativamente en la
software, aplicando conceptos contenidos en el International
calidad del producto. Según Kaur and Sengupta [5], en la
Software Testing Qualifications Board (ISTQB) [1].
etapa de pruebas de aceptación, conformidad por el
En el documento presentado, inicialmente se hace una usuario, no se detectan todos los errores, esto se debe: A
revisión de los conceptos contenidos en el ISTQB [1] para luego que las pruebas no son bien planificadas, a que el
hacer una análisis de la funcionalidad que debe tener un equipo personal no tiene la capacitación adecuada o que se
de pruebas de integración aplicando los conceptos estudiados, se asigna poco tiempo a las pruebas debido a que el
definirán las tareas que debe cumplir el equipo de integración y proyecto está retrasado (importa más el tiempo que la
los roles que debe cumplir cada integrante del equipo así como calidad).
también el flujo de trabajo que se debe seguir para certificar la • El costo es muy elevado debido a la mala asignación de
actividad en pruebas de integración. recursos para solucionar defectos de software. Según
Problemática. En gran parte de las organizaciones donde se Seaman y Guo [6], el hecho de sacrificar la calidad en el
produce software para apoyar el negocio, las prácticas de desarrollo, ocasiona sobrecostos en el mantenimiento del
estimación de recursos y planificación son débiles [5]. producto.

[N] H. Aguirre, «Procesos basados en ISTQB aplicados en la etapa de pruebas de integración», Revista PGI.
102
La asignación de recursos, tareas, roles y funciones al • Ejecución de pruebas

realizar las pruebas de integración no es óptima ya que (1) en • Automatización de Pruebas
algunos proyectos existe mucho recurso, teniendo tiempos
muertos (2) poco recurso en tiempo y personal, provocando baja • Jefe de pruebas
calidad en el software (3) no existe un buen plan de trabajo y el A continuación, se describe cada rol y las funciones
jefe de proyecto no designa responsabilidades claras, no se específicas que debe cumplir cada rol:
revisa los requisitos, no existe la revisión de diseño, no hay
revisión del código fuente (4) aunque exista una buena TABLA I. ROLES EN EL PROCESO DE PRUEBAS DE INTEGRACIÓN.
planificación, no se llega a cubrir las revisiones planificadas
ocasionando que el producto sea defectuoso. El objetivo del Roles Definición Funciones
presente trabajo es establecer los procesos requeridos en pruebas Este rol identifica y define las pruebas
* Define el
de integración definiendo los roles, flujo de trabajo, funciones alcance de las
necesarias, supervisa el proceso de prueba
Analista de
pruebas
del personal que realiza las pruebas de software, aplicando
pruebas
necesario y los resultados de cada ciclo de
* Realiza el plan
conceptos contenidos en el International Software Testing prueba y evalúa la calidad global. El rol
de pruebas
Qualifications Board (ISTQB), estableciendo de este modo un también representa a los interesados que no
tienen una representación directa o regular
marco de trabajo en el área de control de calidad de software en el proyecto.
para la etapa de pruebas de integración en la Institución RUAT.
* Identificar
El Diseñador de Pruebas es responsable de Herramientas
Diseñador de pruebas
II. MÉTODOS definir el enfoque de pruebas y garantizar su * Describir caso
satisfactoria implementación. El rol incluye de prueba
En primera instancia, los métodos propuestos deben ser la identificación de las técnicas apropiadas,
enfocados a resolver los puntos planteados en la problemática al herramientas y directrices para implementar
momento de realizar pruebas de integración en la institución las pruebas necesarias, y para dar
RUAT, no se tiene una receta para saber cuánto recurso debe ser orientaciones sobre los correspondientes
requerimientos de recursos para el esfuerzo
asignado para la realización de las pruebas de software, se sabe de las pruebas.
que cada prueba es muy distinta de otra, sin embargo, es posible
predecir el tiempo y el personal que se debe asignar a las pruebas * Ejecutar las
El ejecutor de las pruebas es el responsable pruebas
de software basándonos en una prueba similar realizada
Ejecución de
pruebas de ejecutar los casos de prueba propuestos * Actualizar
anteriormente. por el diseñador de las pruebas, debe plantilla de
actualizar los casos de prueba en la plantilla casos de prueba
Primero, se debe tener pleno conocimiento de los procesos de caso ya definidos, debe ejecutar con * Registro de
planteados en el ISTQB, luego se debe conocer el responsabilidad las pruebas cumpliendo la pruebas
planificación realizada.
funcionamiento actual de la institución, conocer la forma en que
se realizan las pruebas de software dentro de la institución, tener * Implementar
Automatización de pruebas
Persona que realiza el uso de software pruebas

en claro con cuanto personal se cuenta para realizar las pruebas especial (casi siempre separado del software automatizadas
de integración, si existe algún lineamiento o procedimiento que que se prueba) para controlar la ejecución de
se sigue al momento de realizar las pruebas de integración, como pruebas y la comparación entre los
resultados obtenidos y los resultados
es el comportamiento del flujo que se sigue entre el equipo que esperados. La automatización permite
realiza el desarrollo y el que realiza pruebas, conocer si existe incluir pruebas repetitivas y necesarias
una estructura que permita definir si existen pruebas de unidad dentro de un proceso formal de pruebas ya
o solamente pruebas de integración, de sistema o de aceptación, existente o bien adicionar pruebas cuya
ejecución manual resultaría difícil.
conocer cómo se realiza el reporte de observaciones y si se tiene
un tiempo programado para su respuesta, todos los aspectos * Administra los
El jefe de pruebas tiene la misión y
recursos
Jefe de pruebas
mencionados nos ayudaran a determinar si es posible aplicar los responsabilidad de que los objetivos de las
* Analizar
procesos propuestos, ya que una forma de trabajo no debe ser pruebas tengan éxito. Este rol involucra
documentación
calidad y una promoción de pruebas,
adecuada a una herramienta, más bien la herramienta debe ser administración de recursos y solución de
técnica
adecuada a la forma de trabajo de una institución. * Planificar
problemas que impidan el logro de las
pruebas
pruebas.
A continuación, se realiza un análisis para determinar los
roles, funciones, tareas y el flujo de trabajo que se propone al Fuente: (ISTQB, 2019).
momento de realizar las pruebas de software. Los roles definidos pretender hacer conocer las funciones
A. Definición de Roles de acuerdo al ISTQB que debe tener cada integrante del equipo de pruebas de
integración, si un producto software es probado por más de tres
Luego de realizada la valoración y análisis del personas, cada persona tendrá un rol claramente definido donde
funcionamiento de la institución, se debe establecer si el equipo del equipo que realiza las pruebas, si el producto software es
de pruebas de integración cuenta con roles especializados como probado por tres o menos personas, cada persona tendrá que
lo menciona el ISTQB, es decir si el personal que realiza pruebas cumplir uno o más roles dependiendo de las etapas que fueron
de integración tiene un rol establecido o una función específica definidas por el jefe de pruebas.
que cumplir, si tiene una especialización dentro del equipo que
realiza las pruebas, el ISTQB nos dice que cada equipo que B. Definición de tareas
realiza pruebas de software debe contar con personal Una vez detectado el flujo que se sigue para realizar las
especializado y nos plantea roles, estos roles pueden ser [5]: pruebas de integración, la forma de trabajo de la institución, las
• Analista de pruebas tareas del personal de pruebas y los roles que desempeña cada
persona dentro del equipo de pruebas de integración, es
• Diseñador de pruebas necesario definir algunas tareas que debe desempeñar el
103
personal que realiza pruebas, se establecen las siguientes tareas Reproducción del Incidente: Si se trata de un incidente, se lo
tomando como ejemplo que el producto software está reproduce para identificar los pasos previos que generaron el
desarrollado en lenguaje Java y base de datos Oracle: mismo, si no es un incidente y se trata de un nuevo requisito, se
pasa a la siguiente etapa.
Habilitación del Ambiente: Se habilita el ambiente de
pruebas en base a los artefactos modificados con la actividad de
desarrollo realizada.
Ejecución de las Pruebas: Se ejecutan las pruebas con el
guion definido en el plan de pruebas, si las pruebas consideran
automatización, se debe ejecutar la automatización de las
pruebas.
Retrospectiva: Se tienen las reuniones periódicas de
retroalimentación durante la realización de las pruebas y a la
finalización de las pruebas entre el jefe de pruebas y los
probadores del trabajo realizado, para evaluar el resultado de las
pruebas e identificar mejoras posibles en la ejecución de las
pruebas.
Resultado de las Pruebas: Se elaboran informes, documentos
necesarios para la certificación de la actividad.
FLUJO PRUEBAS
REPRODUCCION DEL HABILITACION DEL PRUEBAS BASADAS EN RESULTADO DE LAS
REVISIONES PREVIAS CAPACITACIÓN PLANIFICACION EJECUCION DE PRUEBAS RETROSPECTIVA
INCIDENTE AMBIENTE SESIONES PRUEBAS
Revisión de DAO Pruebas La demo y el

Reunión de Verificación de Reunión de
Capacitación por Reproducción del (Formato y basadas en producto final
planificación la demo retrospectiva
parte del equipo Incidente contenido) sesiones son idénticos
de mantenimiento
Revisión del
Ticket
Se cumplen
Verificación todos los
Revisión de
Generación del del modelo de requisitos
script (Formato y
Plan de Coordinar con el datos
contenido)
Pruebas personal de
mantenimiento
Revisión de
requisitos
Generación de
Revisión de Verificación
documentos
archivos java del diccionario
modificados de datos
Revisión del
análisis Los
Revisión de documentos
Verificación de fueron
código PL/SQL
cumplimiento versionados en
modificado
de requisitos el VSS
Revisión de
informes Creación de
Ejecución de script de
DAO recuperación
de datos
Creación de
Revisión de El código PL/
script de
actas SQL se
análisis de
encuentra
datos
compilado
Ejecución de
script
Se desplego el
EAR/APK
Fase
Fig. 1. Flujo de tareas a realizar por el equipo que realiza pruebas de software
Fuente: Elaboración propia. Fig. 2. Flujo de trabajo del equipo que realiza pruebas de integración
Fuente: Elaboración propia.
C. Definición de flujo de trabajo
Una vez detectado el flujo que se sigue para realizar las Una vez que se concluyen las pruebas de integración, las
pruebas de integración, la forma de trabajo de la institución, las pruebas son certificadas y de acuerdo a la funcionalidad interna
tareas del personal de pruebas y los roles que desempeña cada de la institución se debe seguir las etapas posteriores a las
persona dentro del equipo de pruebas de integración, se debe pruebas de integración hasta que el producto software sea
establecer un flujo de trabajo interno en el equipo que realiza las enviado a producción
pruebas, es decir que pasos se siguen desde que se recibe el
producto software hasta que este es certificado, se propone el III. RESULTADOS
siguiente flujo de trabajo: La aplicación de procesos que involucran tareas, roles y
Revisiones Previas: Se revisa el requisito, el análisis funciones basados en el ISTQB, involucra un estudio que debe
realizado por el equipo de desarrollo, los informes, actas ser realizado a la forma de trabajo dentro de una institución que
generadas y todo documento que pueda servir como insumo para desarrolla software, más aún si ya se tiene un proceso de pruebas
realizar las pruebas. definido, en muchos casos para realizar las pruebas se considera
métodos que otras empresas o instituciones tienen operando, sin
Capacitación: Se realiza la capacitación de los cambios embargo, no siempre funcionan ya que la forma de trabajo de
realizados con el equipo de desarrollo, se realizan las consultas una institución es muy diferente a la de otra.
a dudas en los requisitos obtenidas en la anterior etapa de
revisiones previas. Aplicando los procesos definidos en este documento, no solo
se definen tareas, roles y funciones que debe cumplir cada
Planificación: Se asigna los recursos, roles y funciones, se integrante del equipo de pruebas de integración, sino más bien
genera el plan de pruebas en base a la capacitación realizada con se tiene un método que puede ser aplicado a otras etapas en todo
el equipo de desarrollo y a los requisitos obtenidos en las el ciclo de vida del desarrollo de software, el ISTQB determina
revisiones previas. roles e indica las áreas que debe realizar cada rol, es importante
mencionar que implementando los procesos ya definidos,
104
tenemos un método que permita la óptima asignación de actividades en pruebas de integración se hicieron visibles
recursos de control de calidad de software, esto quiere decir que problemas que se atendieron oportunamente, antes de la
podemos estimar la cantidad optima de personal que realizará puesta en producción del software.
las pruebas y permite asignar el tiempo que debe durar una
prueba. • La aplicación de los procesos definidos por el ISTQB,
permitió asegurar que el equipo que realiza pruebas de
Es importante mencionar que conocer el ISTQB y aplicar los software verifique adecuadamente lo que el usuario
tipos de pruebas, análisis de riegos, definir roles y otros temas necesita. Como consecuencia, la cantidad de reprocesos
que aborda, es un aporte muy significativo para el desarrollo de para la conformidad del usuario disminuyó luego de la
proyectos de software, ya que permite realizar las pruebas con ejecución de dichos procesos.
una estructura bastante robusta, no se debe pretender realizar las
pruebas sin tener una estrategia definida, se debe investigar y REFERENCIAS
mejor aún si se tiene una certificación a nivel de ISTQB se podrá [1] ISO/IEC 9126. (2001). International Standard, Information technology –
incorporar ciertas técnicas al momento de realizar las pruebas. Quality characteristics and guidelines for their use. Geneva, Switzerland:
International Organization for Standardization.
IV. CONCLUSIONES [2] ISTQB. (2019). International software testing qualifications board.
Bélgica. Obtenido de http://www.istqb.org/
Entre las conclusiones podemos indicar:
[3] Mills., E. (diciembre 1988). Software Metrics SEI Curriculum Module
• Se logra mejorar el tiempo de pruebas de integración y la SEI–CM–12–1.1, ftp://ftp.sei.cmu.edu/pub/education/cm12.pdf.
calidad del producto software como resultado de la [4] Pressman, R. (2010). Ingeniería del Software. Un enfoque práctico. 7ta
edición. España: Ed: McGraw-Hill Interamericana.
aplicación de roles propuestos por el ISTQB, esto se
[5] CHAOS. (2015). https://www.laboratorioti.com/2016/05/16/informe-del-
refleja en una menor cantidad de reprocesos para que el caos-2015-chaos-report-2015-bien-mal-fueron-los-proyectos-ano-2015/.
usuario otorgue la conformidad del software y en una
[6] Seaman, C. y Guo, Y. (2011). Measuring and monitoring technical debt.
menor cantidad de errores luego del pase a producción Advances in Computers.
del software. [7] Kaur, R. y Sengupta, J. (2011). Software Process Models and Analysis on
• La cantidad de errores relacionados a requisitos Failure of Software Development Projects. International Journal of
Scientific & Engineering Research.
funcionales disminuyó luego de la aplicación de los
procesos propuestos. Durante la ejecución de las
Breve CV del autor

Hugo Gabriel Aguirre Aguirre es Ingeniero en Informática por la Universidad Autónoma Juan Misael Saracho (Tarija 2006).
Especialista en Pruebas de Software, con más de 10 años de experiencia en el desarrollo de software, certificación internacional
ISTQB. Diplomado en Educación Superior-Formación Basada en Competencias (FAUTAPO 2007); Diplomado en Planificación,
Producción y Gerencia de Sistemas (UMSA 2015); Diplomado en Educación Superior y Docencia Universitaria (UMSA 2019);
Diplomado en Testing de Software (UCB 2020). Actualmente realiza la Maestría en Alta Gerencia en Tecnologías de la Información
y las Comunicaciones e Innovación para el Desarrollo en el Postgrado en Informática UMSA.
Trabaja como responsable de Control de Calidad de Software en el Registro Único para la Administración Tributaria Municipal
RUAT. Sus intereses investigativos incluyen la Calidad de Software; Pruebas de Software manuales y automatizadas; y la
investigación tecnológica. Email: hgabriel.aguirrea@gmail.com.
105
Modelo de gestión de monitoreo y control de TI para

procesos de envío de información financiera
Jesús Estefan Soria Butrón
La Paz - Bolivia
soria.jesus@gmail.com
Resumen—En este artículo se describen dos marcos de trabajo El ámbito de trabajo o framework que se pretende utilizar
basados en estándares de buenas prácticas como ser ITIL son los estándares adoptados por las Bibliotecas de
(Librería de Infraestructura de Tecnologías de Información) y Infraestructura de Tecnología de Información (ITIL por su sigla
COBIT (Objetivos de control para la información y tecnologías en inglés) en la gestión de procesos, y los procesos COBIT
relacionadas) para diseñar un modelo de monitoreo y control en (Objetivos de Control para Información y Tecnologías
los procesos de envío de información financiera. El estudio de Relacionadas) para el control y seguimiento de los mismos.
ambos marcos de trabajo está enfocado a optimizar los procesos
relacionados en el envío de información financiera que atraviesa II. MÉTODOS
una institución financiera cada cierto período, información que es
enviada a la autoridad supervisora del sistema financiero. Por la A. Planteamiento del Problema
naturaleza de la investigación se opta por un diseño no En Bolivia todas las Entidades de Intermediación Financiera
experimental de tipo aplicada y documental basado en el estudio (EIF) tienen la obligación de enviar información financiera
de las normativas actuales de la entidad supervisora. periódicamente a las entidades reguladoras como la Autoridad
Esta investigación pretende estudiar ambos marcos de trabajo de Supervisión del Sistema Financiero - ASFI.
para adoptar los mejores objetivos y practicas relacionados al
control y monitoreo de recursos de TI, para de esta forma Siendo que el proceso de validación y consolidación de la
optimizar los flujos de trabajo y elaborar un modelo para los información que es requerida por la Autoridad Supervisora varía
procesos de recolección, análisis, ejecución y envío de información de acuerdo a las nuevas normativas que la entidad reguladora
financiera. pública, lo que causa que los procesos de implementación de
estas normas no sean desarrolladas de manera óptima,
Palabras clave—COBIT, ITIL, gobierno, TI, procesos, mejores ocasionando que la consolidación de los datos tenga errores, que
prácticas. la variación de la continuidad del trabajo sea alta, así como el
I. INTRODUCCIÓN riesgo de enviar información incompleta o incorrecta; teniendo
efectos directamente con la entidad bancaria como ser sanciones
Las Entidades Bancarias en Bolivia clasificadas dentro de económicas. Estos inconvenientes afectan de manera directa e
rango de Bancos Múltiples, están sujetas a las normativas que indirecta a las áreas que son parte de la entidad financiera.
rige la Autoridad de Supervisión del Sistema Financiero (ASFI).
Una de las normativas obligatorias establece las condiciones que Asimismo, existe el Área de Riesgos y cumplimiento que
todas las Entidades de Intermediación Financiera (EIF) deben toda Entidad Bancaria posee para el mejor funcionamiento, sin
cumplir en establecer los contenidos, tipos de envío, formatos, embargo, existe la dificultad en el cumplimiento de sus
sistemas informáticos, nomenclatura de archivos y plazos para manuales de funciones que es de entera responsabilidad de
la remisión de información periódica a la ASFI, en ese sentido quienes ejecutan los procedimientos. Además, está en la
la periodicidad del envío de la información está clasificada deficiencia de la actualización de los manuales, que influyen en
desde diaria a anual. Cada uno de estos periodos supone un la correcta aplicación de los procesos.
conjunto de reportes que deberán ser informados y validados a B. Formulación del Problema
través del Sistema de Captura de Información Periódica (SCIP)
que es proporcionado por la ASFI. ¿En qué medida contribuirá el modelo de gestión de
monitoreo y control de TI basado en estándares de buenas
Un modelo de gestión de monitoreo y control hace énfasis prácticas a los procesos de envío de información financiera a la
en el control del negocio de la organización, así como la autoridad de supervisión?
seguridad relacionada con los objetivos estratégicos. Este
control abarca puntos específicos dentro los procesos de C. Objetivo
Tecnologías de Información que son evaluados en el tiempo para Determinar el aporte del modelo de gestión de monitoreo y
verificar la calidad en cuanto a los requerimientos de control que control de TI basados en estándares de buenas prácticas a los
sean necesarios. De esta forma se conocerá información procesos de envío de información financiera a la autoridad de
necesaria que pueda mostrar la efectividad de los sistemas supervisión.
respecto a la gestión de los recursos de la organización.

[N] J. Soria, «Modelo de gestión de monitoreo y control de TI para procesos de envío de información
financiera», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 106-109, 2020.
106
D. Fundamentos Teóricos garantizan que TI en la empresa sustenta y extiende las

1) Estándares de buenas prácticas estrategias y objetivos de las organizaciones.
Los estándares de buenas prácticas están descritos en los La implementación de un Gobierno de TI no solo se enfoca
marcos de referencia más conocidos, como ser ITIL y COBIT. a los recursos y servicios propios de un área de tecnología, si no
Ambos marcos de referencia forman una base de conocimientos que extiende sus servicios a todas las áreas de la institución para
donde se describen los mejores procedimientos para la ejecución así enfocar de una manera holística. Según H. Juárez [2] el
de procesos institucionales, esta base son las recopilaciones de Gobierno de TI centra sus actividades dentro de las siguientes
la experiencia de varios profesionales en el camino de hallar la áreas:
manera más eficiente de trabajo y ejecución de procesos. Estas
experiencias están relacionadas con tareas de monitoreo, control • Alienación estratégica, que garantiza el enlace entre los
y seguridad. Las ventajas de usar estos marcos de referencias son planes de negocio y de TI en base a la definición,
las siguientes, según Pico Mantilla [1]: mantenimiento y validación de la propuesta de valor de
TI
• Es posible mejorar la gestión del Tecnologías de la
Información. • Entrega de valor, relacionado con la ejecución de la
propuesta de valor en el ciclo de entrega, garantizando
• Permite tener un marco de referencia eficaz que que se entregue el beneficio gracias a la optimización de
gestiona políticas, controles internos y prácticas los costos.
definidas, lo que ayuda a que cada persona tenga
conocimientos de las funciones que debe realizar y el • Administración de recursos, relacionado con la
procedimiento para ejercitarlas. inversión optima y gestión de recursos de TI.
• Menor dependencia de expertos. • Administración de riesgos, donde la Junta Directiva y al

Alta Gerencia tomen un claro entendimiento de los
• Menor cantidad de errores. riesgos corporativos, los requerimientos de
cumplimiento obligatorio y una distribución de las
• Eleva la confianza de socios, clientes y entes
responsabilidades en la gestión de riegos de la
reguladores (pág. 23).
organización.
Estas características propias del uso de estándares de buenas
prácticas van en beneficio de los logros de los objetivos • Medición de desempeño, relacionado con el monitoreo
estratégicos de la institución, reduciendo los recursos que son de las estrategias, uso de los recursos, desempeño de los
necesarios en base una planificación que mitigue los riegos en procesos, y entrega de los servicios.
lo posible. El principal reto de implementar un Gobierno de TI dentro
de una organización es lograr de la manera más eficiente que los
2) Gobierno De TI
procesos que hacen a la administración de los servicios de TI
Toda organización o institución cuenta con su propio
puedan mejorar los niveles del servicio, así como disminuir los
Gobierno Corporativo que básicamente están formados por la
costos y los recursos asociados a la misma, esta relación de
Alta Gerencia y al Junta Directiva, el propósito de este gobierno
procesos se ve reflejado en la siguiente figura.
está dirigido al cumplimiento de sus objetivos, pues se enfoca en
la dirección estratégica de la organización para justamente
asegurar el cumplimiento del negocio a través de una apropiada
administración de los riesgos (tratando de mitigar en lo más
posible). Este proceso también se encarga de gestionar los
recursos de la organización vigilando su uso y administrándolo
de la manera más eficiente. Como indica H. Juárez [2] que el
Gobierno Corporativo está relacionado con:
• Cumplimiento Regulatorio, que es la adherencia a la
legislación, políticas internas, requerimientos de
auditoria, etc.
• Desempeño, relacionado al mejoramiento de la
rentabilidad, eficiencia, efectividad, crecimiento, etc.
Por otro lado, tenemos al Gobierno de TI cuya función Fig. 1. Gobierno de TI de J. Vásquez [4]
fundamental es definir las relaciones y procesos que son
necesarios para que la organización logre el cumplimiento de sus 3) Ciclo de Vida ITIL
objetivos estratégicos en un equilibrio entre los riegos, la ITIL debe considerarse como un medio de mejora continuas
efectividad de los procesos y el retorno de la inversión de TI. en los procesos cuyo objetivo sea el de entregar valor a los
clientes, reduciendo en lo posibles los costos y los riesgos
Por tanto, el Gobierno de TI según H. Acevedo es: [3] asociados en la ejecución de los procesos. La mejora de estos
• Responsabilidad de la junta directiva y la procesos da como resultado la mejora de los servicios de TI, una
administración ejecutiva. mejora que combina de la manera más eficiente tres factores
fundamentales en toda organización: procesos, usuarios y
• Una parte integral del gobierno corporativo y consta del tecnología.
liderazgo, estructuras organizacionales y procesos que
107
Sintetizando todos los puntos anteriores tenemos que los monitoreo y la gestión de las actividades de TI. El uso de las TI
servicios de TI deben cumplir con una utilidad y garantía para es una inversión importante que debe ser administrado, ayuda a
poder entregar valor, esta generación de valor es conducida por los ejecutivos a comprender y gestionar las inversiones de TI
un proceso formal de administración de servicios de TI, así durante su ciclo de vida y proporciona un método para evaluar
mismo esta generación de valor debe ser dentro de los límites si los servicios de TI [5].
establecidos en los acuerdos de nivel de servicio. Todos estos
puntos deben ser tomados en cuenta tanto para la entrega, como COBIT también contribuye a reducir las brechas existentes
para el consumo de un servicio y deben ser ejes centrales a lo entre los objetivos de la organización, y los beneficios, riesgos,
largo de todo el ciclo de vida de ITIL, tal como afirma J. necesidades de control y aspectos técnicos propios de un
Vásquez [4]. proyecto TI; proporcionando un marco referencial para su
dirección efectiva, tal como indica V. Ledezma [6]
El ciclo de Vida de ITIL en su versión 3.0 está definido por
las siguientes etapas: COBIT en su quinta versión tienen agrupado dentro de ciclo
de vida cinco dominios que integra 34 objetivos de control, estos
• Estrategia de servicio cinco niveles son los siguientes:
• Diseño de servicio
• Evaluación, dirección y Monitoreo
• Implementación y transición del servicio
• Alineación, organización y planeación
• Operación del servicio
• Construcción, adquisición y planeación
• Monitoreo y mejora continua del servicio
• Entrega de servicio y soporte
El resultado de la implementación de estas etapas garantiza • Monitoreo y evaluación
que la institución pueda lograr un equilibrio entre los objetivos
corporativos con los objetivos de TI, pues de esta manera los
servicios de TI estarán orientados a la optimización de los
servicios con un bajo riesgo en el proceso. Estas cinco etapas
ilustradas en la siguiente figura es el resultado de la optimización
de procesos en las versiones anteriores, donde era mayor la
cantidad de etapas y proceso para su implementación.
Fig. 3. Ciclo de Vida COBIT de H. Acevedo [3]
III. CONCLUSIONES
Fig. 2. Ciclo de Vida ITIL de V. Ledezma [6] Los marcos de referencias ayudan a las organizaciones a
mejorar la ejecución de los procesos institucionales, en este caso
4) Ciclo de Vida COBIT en particular, los procesos de una entidad para el envío de
Toda institución busca conseguir sus metas y sus objetivos información bancaria involucran la participación de más de un
estratégicos para generar utilidades y beneficios, bajo este área de la institución, cada una de estas áreas tienen tareas
marco, es importante que las organizaciones tengan un método específicas en el proceso de envío. Si bien existen manuales de
para controlar sus metas. Una de estas guías que permite realizar procedimientos y funciones, estas muchas veces no son
un control y monitoreo de las metas del negocio es COBIT. Este actualizadas cada vez que existen cambios en las normativas.
marco de referencia nos permite identificar los posibles riesgos También es común que exista área denominada ‘de Riesgos y
y amenazas al logro de los objetivos, identificando así las Cumplimiento’ cuya función es mitigar los riesgos y dar
responsabilidades para poder mitigarlos en lo más posible. cumplimiento a las normativas, sin embargo, se dan situaciones
Además, permite a las organizaciones aumentar su valor TI, donde los controles a los procesos no son los adecuados
reduciendo en forma significativa los riesgos asociados a causando mayores riesgos a las organizaciones.
proyectos tecnológicos. A partir de parámetros generalmente La implementación de los estándares de referencia como
aplicables y aceptados, para mejorar las prácticas de planeación, ITIL, ayuda a la institución a mejorar los procesos involucrados
control y seguridad de las Tecnologías de Información. También en el envío de información a través de diseños de nuevas TI
brinda las mejoras mejores prácticas y herramientas para el relacionadas con el proceso principal. La etapa de
108
Implementación y Transición del servicio es fundamental, los REFERENCIAS

constantes cambios en las normativas de la autoridad de
supervisión dificultan la implementación de los cambios, las
[1] M. S. Pico Mantilla, «Propuesta de Gestión de las TICS para un sistema
técnicas desarrollada por ITIL son fundamentales para una alterno de Entidades Bancarias, basado en Mejores Prácticas,» Quito,
transición sin muchos conflictos. La etapa de “Mejora Continua” 2012.
complementa a que las futuras implementaciones de normativas
[2] H. Juárez Acevedo, «Integrando COBIT, ITIL e ISO27000 como parte
puedan realizarse con el menor uso de recursos. del gobierno de TI,» Scitum Seguridad, México, 2012.
Se utilizará el estándar COBIT con las técnicas relacionadas [3] H. Acevedo Juárez, «Integrando COBIT, ITIL e ISO-27000 como parte
a la etapa de “Entrega de servicio y soporte” y “Monitoreo y del Gobierno de TI,» 2015.
evaluación”. Estas etapas están relacionadas con las mencionada [4] A. J. Vásquez Ortiz, «uso del ciclo de vida de ITIL para la adopción de
anteriormente en ITIL, haciendo mayor énfasis en el control y servicios en la nube para pymes mexicanas,» Universidad
monitoreo dando así seguimiento a los procesos ya Iberoamericana, México, 2014.
implementados en las etapas anteriores. [5] Governance Institute y OGC, «Alineando COBIT, ITIL, ISO/IEC 27002
en beneficio del negocio,» 2008.
No se implementarán todas las etapas de ambos marcos de
referencias, sino que se adaptarán las etapas que tengan mayor [6] V. Ledezma Vejar, «El Gobierno TI es el único camino posible para
relación con el proceso de envío de información, de esta forma asegurar que las áreas de sistemas contribuyen al éxito de las empresas,»
Sucre, 2014.
se diseñara un modelo para mejorar los procesos en base a las
buenas prácticas de los marcos de referencia.
Breve CV del autor

Jesús Estefan Soria Butrón es Licenciado en Ingeniería de Sistemas. Diplomado en Formación Docente para la Educación Superior.
Hizo cursos de Gestión de riesgos en prevención de lavado de dinero y financiamiento del terrorismo, curso de Ethical Hacking.
Se desempeña laboralmente como Jefe Unidad de Sistemas ASCINALSS (Asociación de Sargentos y Suboficiales de las Fuerzas
Armadas). Anteriormente como Asesor de TI Banco Do Brasil y Consultor externo Corte Nacional Electoral gestión 2009.
Email: soria.jesus@gmail.com.
109
Modelo de Ciberseguridad Corporativa

en el Sistema Bancario
Jonathan Wilmer Magne Quispe
La Paz - Bolivia
jwmagneq@gmail.com
Resumen—El presente trabajo de investigación tiene como al mismo nos sumergiremos en los diferentes problemas y la
objetivo, detallar los puntos que son necesarios para llevar a cabo realidad de los riesgos de ciberseguridad con los que
un modelo de ciberseguridad dentro del sistema bancario. actualmente convive la Banca en Bolivia, además de ver algún
ejemplo ya materializado del mismo.
Palabras clave— ciberseguridad; sistema bancario; modelo.
B. Ciber riesgo
I. INTRODUCCIÓN A medida que la empresa se ha digitalizado, esta se volvió
Estamos en una era digital, pero la consideración del impacto vulnerable a una amplia gama nueva amenaza. Esta amenaza es
de la digitalización está rezagada en algunas áreas. Lo cual está global, pero sigue siendo subestimada. De hecho, trae pérdidas
contribuyendo a un problema económico y de seguridad asombrosas a organizaciones año tras año, principalmente
mundial. debido a causas internas, pero pocos realmente entienden y
muchos no sienten responsabilidad por las consecuencias. Se
La seguridad de la información abarca las medidas y
estima que el ciberdelito cuesta a la economía global más de $
actividades que intentan proteger los activos de información que
400 mil millones al año [3] y se espera aumentará a 2,1 billones
tienen valor para una organización, mediante la reducción de
de dólares a nivel mundial [6].
riesgos y mitigando amenazas posibles. Estos activos se pueden
encontrar en diferentes formatos, por ejemplo, en formato Aunque los impactos del ciberdelito, todos, desde los
digital, de forma física o en forma de ideas o conocimientos de gobiernos hasta los ciudadanos, son las empresas las que llevan
personas que pertenecen a la organización. La seguridad de la la peor parte el daño; una proporción significativa de los cuales
información es el paraguas que abarca el resto de las disciplinas, es causado por el robo de propiedad intelectual y espionaje.
la protección de la información es el libro y la ciberseguridad es Aunque el ciberdelito cubre una amplia gama de los delitos
un capítulo dentro de ese libro. perpetrados en línea, del hacktivismo a los delitos sociales, por
empresas y servicios financieros el fraude es una de las
La Ciberseguridad tiene como foco principal la protección
principales preocupaciones.
de la información digital de los sistemas. Por ello, se puede
considerar que está comprendida dentro de la seguridad de la El fraude puede tener efectos colaterales como eficiencia y
información [1]. flujo de caja, pero ¿quién está en riesgo y por qué? En general,
cuanto mayor sea la organización, más atractiva es el objetivo,
Alguna vez, la ciberseguridad pudo haber sido tarea del
pero en verdad, todo el mundo está en riesgo. La amenaza
departamento de TI. Eso hace mucho que dejó de ser el caso.
tampoco es puramente externa: según una investigación de IBM,
Hoy en día, cada persona que trabaja en una organización debe
en 2015. El 45% de los ciberataques se llevaron a cabo por parte
comprender su función y responsabilidad en la defensa de
de personas internas maliciosas (y un asombroso 60% por
ciberseguridad de su organización.
personas con información privilegiada en general) [5].
La alta gerencia, en particular, debe comprender su
Muchos, si no la mayoría de los ataques de ciberfraude ahora
importancia y educarse sobre los peligros y las necesidades
comienzan con alguna forma de robo de identidad. Esto significa
salvaguardias. Los controles técnicos efectivos y actualizados
que, lamentablemente, incluso la fuerza laboral mejor
son esenciales, pero cada vez más empleados, ya sea a sabiendas
intencionada todavía representa una amenaza significativa para
o sin saberlo, son la causa más frecuente de infracciones de
cualquier empresa porque cada uno de sus miembros es un
seguridad [2].
objetivo potencial para los ciberdelincuentes.
Por lo tanto, también pueden ser una defensa clave con la
Hay básicamente dos objetivos en una organización: datos o
formación y la educación adecuadas. En una era de amenazas
sistemas, a través de un software diseñado para socavar sus
invisibles, tanto internas como externas, ¿cómo puede defender
defensas, infiltrarse en sus sistemas y robar detalles de seguridad
su organización y hacerla inexpugnable?
o imitar sus empleados, o a través de su gente, por medio de la
A. Objetivo ingeniería social - engañando a su personal para que entregue
Detallar las capas de seguridad que forman parte del modelo voluntariamente ellos el acceso que desean.
de ciberseguridad corporativa en el sistema bancario, para llegar

[N] J. Magne, «Modelo de Ciberseguridad Corporativa en el Sistema Bancario», Revista PGI. Investigación,
110
C. Entidad reguladora – ASFI convertirse en una pieza completando así un rompecabezas

La Autoridad de Supervisión del Sistema Financiero (ASFI) complejo [8].
es una institución de derecho público y de duración indefinida, La ingeniería social es frecuentemente combinada con un
con personalidad jurídica, patrimonio propio y autonomía de ataque de software, por ejemplo, con piratería de correo
gestión administrativa, financiera, legal y técnica, con electrónico, que refuerza su efecto combinado.
jurisdicción, competencia y estructura de alcance nacional, bajo
tuición del Ministerio de Economía y Finanzas Públicas y sujeta Otra ruta de ataque podría ser una grabación automatizada
a control social. El objeto de ASFI es regular, controlar y afirmando que tiene una tarjeta de crédito o cuenta bancaria que
supervisar los servicios financieros en el marco de la ha sido comprometido y pidiendo al individuo objetivo
Constitución Política del Estado, la Ley N° 393 de Servicios proporcionar información personal a través del teclado. Con un
Financieros y los Decretos Supremos reglamentarios, así como número telefónico falsificado de la empresa.
la actividad del mercado de valores, los intermediarios y sus Otro ataque frecuente es un estafador actuando como
entidades auxiliares [12]. proveedor de una empresa que solicita algún cambio en su banco
Dentro de esta labor, se tiene la recopilación de normas para y cuenta número. Luego, los pagos futuros por las corporaciones
servicios financieros, específicamente el Titulo VII, dentro del se dirigen a estas cuentas fraudulentas.
mismo se tiene que tomar muy en cuenta el Capítulo II: Una forma de ingeniería social ampliamente difundida y que
Reglamento para la Gestión de Seguridad de la Información. puede llegar a ser altamente perjudicial, es el ataque del
Donde se tiene las directrices y requisitos mínimos que las "presidente falso". Nuevamente, se envían correos electrónicos,
entidades de intermediación financiera, empresas de servicios esta vez internas desde una cuenta de correo electrónico
financieros complementarios y sociedades controladoras de pirateada, particularmente el de un vicepresidente o gerente para
grupos financieros deben cumplir para la gestión de seguridad instruir a otro empleado a hacer un pago de la empresa objetivo
de la información de acuerdo con su naturaleza, tamaño y a un destinatario fraudulento [10].
estructura. Dentro de este Capítulo es necesario tomar muy en
cuenta las secciones de la Planificación estratégica, estructura y El esfuerzo y los detalles invertidos en tales ataques no
organización de los recursos de TI, Administración de seguridad deberían ser subestimados ya que los ciberdelincuentes pueden
de la información, Desarrollo, mantenimiento e implementación intercambiar docenas de correos electrónicos con posibles
de sistemas de información, Gestión de operaciones de víctimas para convencer ellos de la credibilidad del remitente.
tecnología de la información, la gestión de la seguridad en
E. Ejemplos del mundo real
transferencias y transacciones electrónicas, ya que dichas
abarcan el área de ciberseguridad dentro de la entidad bancaria. El día 22 de octubre del 2018, se identificaron mensajes
fraudulentos en la red social Facebook, los cuales suplantaban la
D. Diversificación de Ataques identidad del Banco Unión S.A. de Bolivia [12].
En la última década el ciberdelito se ha convertido en una
industria completa y sofisticada basada en servicios con
suministros, cadenas, modelos de negocio y habilidad
especialización; esta es la desventaja del rápido avance
tecnológico que hemos disfrutado.
Una de las principales formas en el que los ciberdelincuentes
operan es por manipular al personal de una organización; pueden
engañarlos sin saberlo descargar malware en los sistemas de la
empresa, abriendo a la organización hasta el control criminal, o
directamente revelando información. Finalmente, y lo más
descaradamente de todo, pueden persuadirlos de realizar
instrucciones fraudulentas que creen han sido legítimamente
dadas por sus superiores corporativos.
Los ciberdelincuentes son indiscriminados en su uso de
canales de comunicación, phishing por correo electrónico,
smishing por mensajería SMS, y vishing por voz en el teléfono.
Por un lado, echaron su amplia red capturando información
usando direcciones de correo electrónico automatizadas o
teléfono números, por el otro apuntan funcionarios superiores
individuales de la empresa (CFO o CIO), para obtener
información confidencial información o convencerlos de
transferir dinero fuera de la empresa. Ellos juntan fragmentos de
información aparentemente insignificante, que construyen en
una compleja imagen de cómo funciona la empresa,
permitiéndoles obtener credenciales, abusar de los privilegios de Fig. 1. Mensaje fraudulento
usuario, ingresar a los sistemas o convencer a los empleados de
Una vez ingresado al enlace proporcionado se mostraba la
que sus comunicaciones y solicitudes son auténticas. Un nombre
siguiente pantalla:
o fecha de nacimiento aquí, una contraseña allí, un pequeño
fragmento de procedimiento de oficina - cualquier cosa puede
111
penetración, pruebas y detección de intrusos. Finalmente, la

política debe explicar los planes de remediación y planes de
recuperación ante desastres en caso de un ataque exitoso.
B. Cambio de cultura
Crear una cultura donde la responsabilidad de mitigar los
riesgos en torno al ciberdelito no es exclusivamente de TI,
Cumplimiento, Tesorería o Finanzas, sino es fundamental que
este sea compartido en toda la organización. Cada empleado en
la organización juega un papel y comparte la responsabilidad de
salvaguardar los activos de la empresa. La cultura puede ser
esculpida por normas, comportamientos y actitudes de las
personas dentro de la organización [9].
Todos los niveles de gestión deben participar de forma clara
y coherente, además de tener el compromiso y tomar en cuenta
Fig. 2. Sitio fraudulento la importancia de la ciberseguridad. Es necesario las
actualizaciones regulares sobre los tipos de estafas y el fraude
Donde claramente se observa que la dirección en cuestión para mantener educada a la fuerza laboral.
del sitio es «https://bancaunion-bo.com», la cual no corresponde Técnicas de prevención y los cambios en la política o los
al sitio original de Banca por Internet del Banco Unión, ya que procedimientos deben ser compartidos en toda la organización
esta es: https://uninetplus.bancounion.com.bo. con correos electrónicos regulares, boletines informativos
El objetivo del ataque sería la de robar usuarios y contraseñas seminarios web y/o un sitio web dedicado que actúa como
de usuarios legítimos del servicio de Banca por Internet del recurso y repositorio para obtener información sobre
Banco Unión S.A. Este tipo de ataques se conoce como ciberseguridad. Los procesos de escalada para intentos los
«phishing», y es uno de los ataques con mayor frecuencia debido ataques deben ser claros y accesibles fácilmente, al igual que la
a su alta tasa de efectividad frente a otro tipo de ataques. información sobre el uso adecuado del correo electrónico de la
empresa.
Es importante aclarar que la plataforma de Banca por
Internet del Banco Unión cuenta con controles de seguridad C. La mejora de procesos
basados en Doble Factor de Autenticación, a fin de reducir el Mayor automatización, con menos manipulación manual,
impacto en el caso de accesos no autorizados a las cuentas de las mitiga en gran medida el riesgo de fraude interno, pero aumenta
personas, sin embargo, los delincuentes articulan sus ataques en vulnerabilidad al ciberdelito ya que la información y las
diversas fases, por lo que la obtención de usuario y contraseña transacciones son electrónicos, digitalizados y basado en la web
es necesariamente un primer paso para conseguir sus objetivos. o en la nube. Los procesos deben revisarse y ser rediseñados (si
es necesario) al menos anualmente para garantizar la prevención
II. MODELO DE CIBERSEGURIDAD de las últimas técnicas de fraude.
Si bien las pérdidas derivadas de ciberataques técnicos de
tipo software pueden ser graves, tales ataques se mitigan Proteger a los clientes del banco y la información de sus
poniendo en su lugar el tipo correcto de capas. Estas capas de cuentas, es importante para evitar que los pagos se dirijan a una
seguridad son las siguientes: entidad fraudulenta. Los datos maestros deben restringirse a un
equipo dedicado y responsable.
A. Estructura de gobierno
Es necesario sospechar siempre de las solicitudes de
La cultura de prevención se basa en una fuerte estructura de transferencias que se envían con un sentido de secreto y urgencia
gobierno corporativo. Escribir, comunicar y auditar políticas como se mencionó anteriormente. No se debe "responder" para
claras, que definen riesgos y proporcionan orientación sobre responder a una solicitud de pago enviada por correo
comportamientos aceptables: es fundamental para mitigar electrónico. En lugar, llamar al remitente para verificar su
fraude interno y externo. autenticidad.
Establecer un equipo dedicado de ciberseguridad para Se debe considerar tener varias capas de aprobación. Una
establecer el marco de ciberseguridad, priorizar sus proyectos y forma de comprobar la autenticidad es presionar el botón de
el seguimiento de la implementación es la piedra angular de un respuesta (no presione "enviar") y luego colocar el cursor sobre
programa sólido de prevención del ciberdelito. la dirección de correo electrónico. Muchas veces la dirección de
Es una buena práctica que este equipo informe a la Junta a correo electrónico no es una dirección de correo electrónico
través del gerente de seguridad de la información o una función valida, sino que se creó una falsa por estafadores. Tenga en
similar, con el fin de elevar la discusión y asegúrese de que la cuenta que los estafadores pueden obtener una gran cantidad de
mensajería correcta sea proveniente de todas las posiciones de información sobre los roles de varias personas dentro de la
liderazgo. Toda organización debe tener una política de organización e incluso puede saber cuándo los procesadores de
protección de datos en vigor que identifica los datos que son pago clave están fuera de la oficina. Se producen más intentos
sensibles y vulnerables a ataque, y cómo y dónde esos datos en los días previos a un fin de semana festivo cuando el personal
están almacenados. La política también debe establecer roles y de respaldo puede estar procesando pagos y puede ser menos
responsabilidades de los propietarios de datos y usuarios. Otros familiar con pasos de prevención del ciberdelito. Por lo tanto, es
aspectos de esta política pueden incluir parámetros de fundamental entrenar personal y garantizar pasantes, contratistas
112
o el personal temporal para que estos se encuentren igualmente intrusión. Cuando se utiliza un tercer socio, es necesario
capacitados en prevención del ciberdelito mantener el control del mismo.
D. Formación y sensibilización del personal III. EL FUTURO DE LA CIBERSEGURIDAD
Como se indicó anteriormente, el personal es un control muy El costo al cual incurre una organización a causa de la
importante para las empresas contra el fraude como también lo ciberdelincuencia seguirá aumentando, aumentan a medida que
es la tecnología. Sin embargo, como hemos visto, sin la debida más procesos, corporaciones y consumidores de todo el mundo
formación y concienciación en ciberseguridad lejos de ayudar a se conecten. El costo de una violación de datos promedio se
protegerse contra una violación de seguridad: el personal puede, espera que supere los $150 millones por 2020 generando
de hecho, ellos mismos sin saberlo causar infracciones graves, grandes ganancias a la ciberdelincuencia. Para las empresas, esto
que pueden ser fatales a las defensas de una empresa. Por lo significa niveles más altos y sofisticados de intentos de fraude,
tanto, un mandato de alto nivel que prioriza y enfatiza la pago, extorsión y espionaje corporativo, entre los que se están
importancia del personal sobre educación, sobre alerta, produciendo muchos otros delitos informáticos.
responsabilidad, fugas de seguridad (así como por
comportamiento fraudulento) es de suma importancia en la La seguridad en el futuro probablemente sea controlada a
lucha contra el ciberdelito. través de una combinación de modelos basados en riesgos y
basados en control, con el saldo en parte dependiente de apetito
Dada la ubicuidad del correo electrónico empresarial, todos de riesgo de la empresa [10].
los empleados deben estar bien capacitados sobre el uso del
correo electrónico. No se debe permitir el uso personal del Además, el desarrollo de herramientas como la tecnología
sistema de correo electrónico de la empresa. Nunca abra ningún Distributed Ledger podría usarse para fortalecer la protección
enlace o archivos adjuntos en correos electrónicos sospechosos. contra el ciberfraude. Por ejemplo, la naturaleza de blockchain
lo cual nos asegura la autenticidad a los participantes y verifica
Todo el hardware debe requerir doble autenticación, todas las identidades de contraparte, pueden proteger a los
contraseña frecuente cambiada y contraseña "segura" requisitos consumidores y las empresas del fraude.
(al menos 8 alfanuméricos caracteres con símbolos, números y
capitalizaciones). VPN, tokenización y el cifrado es IV. CONCLUSIONES
fundamental. Sin embargo, el cifrado por sí solo no resolverá el Las entidades financieras en Bolivia no pueden permitirse
problema. contraseñas y otros inicios de sesión, las credenciales dejar de lado la ciberseguridad: necesitan priorizar e invertir en
nunca deben compartirse entre los empleados. No permitir él ahora. Tomar un enfoque más holístico influye éxito del
"Traiga su propio dispositivo" para comunicaciones dentro de la programa de ciberseguridad. Mientras las defensas tecnológicas
empresa a menos que este cuente con un software de cifrado. permanezcan cruciales, veremos cada vez más que los
Limitar el acceso a datos y sistemas sensibles para solo aquellos empleados son los agentes involuntarios de ciberataques, a
empleados que necesitan acceso [5]. menos que eduquemos a ellos la manera de prevenir ataques,
E. Controles tecnológicos estos mismos podrán convertirse en instrumentos que ayuden a
La primera línea de las defensas es preventiva y debe incluir mitigar el riesgo cibernético. Es responsabilidad en cada
fuertes requisitos de autenticación, filtros IP y registros de organización, desarrollar una estructura de gobierno y cultura de
referencias. La prevención del fraude también requiere una riesgos que eleve la importancia de la ciberseguridad.
revisión del almacenamiento de datos examinar dónde y cómo El liderazgo superior debe también asegurarse de que todos
los datos están siendo grabado y almacenado, quién tiene acceso los empleados reciban la educación y formación necesaria, para
a él, y si realmente lo requiere. Acceso a la empresa, los entender, estar atentos, a favor y en guardia contra estos ataques,
sistemas, aplicaciones y datos sólo se darán a los autorizados y y para mantener este conocimiento actualizado. Además de
según sea necesario, todos los accesos solicitudes registradas y construir y reforzar su firewall humano, las empresas pueden
técnicas de autenticación de los autorizados deben mantenerse aprovechar el asesoramiento y el apoyo de su proveedor de
actualizados. seguridad para mantener y actualizar constantemente sus
Sin embargo, la segunda etapa de la detección de fraude y la configuraciones tanto de detección y prevención de fraude, y sus
obstrucción es igualmente importante y requiere software tácticas de ciberseguridad en su conjunto.
efectivo de detección de malware, entre otras herramientas. Los REFERENCIAS
sistemas de fraude son diseñados para analizar y auto aprender
[1] Seguridad de la Información y Ciberseguridad ¿es lo mismo?
patrones para detectar fraudes y detenerlo cuando se deslice más https://www.cic.es/seguridad-de-la-informacion-y-ciberseguridad-es-lo-
allá de las medidas preventivas iniciales. La tecnología ha sido mismo/#:~:text=La%20Ciberseguridad%20se%20distingue%20de,ser%
aumentada mediante el uso de Big Data como herramienta para 20usado%20para%20aspectos%20defensivos.
identificar patrones anormales que indican actividad sospechosa [2] Akhavein, J., Frame, W., & White, L. (2005). The diffusion of financial
innovations: An Examination of The Adoption of Small Business Credit
Para sistemas y software, asegúrese el último antivirus y Scoring by Large Banking Organizations. Journal of Business 78, 577-
antimalware, así como sus actualizaciones y parches. Los 596. http://dx.doi.org/10.1086/427639
sistemas de detección de intrusos son fundamentales para [3] There's Nowhere to Hide from the Economics of Cybercrime
intervenir, contener los ataques. Tener un plan de redundancia http://www.mcafee.com/uk/resources/reports/rp-economic-impact-
en caso de un ataque de denegación de servicio (DDoS). Cifrar cybercrime2.pdf
todos los datos sensibles en reposo y en tránsito. Asegúrese de [4] IBM 2016 Cyber Security Intelligence Index
que existan cortafuegos entre distintas redes. Considere [5] Altamimi, T. (2011). Information Security Risks for Internet Banking in
Saudi Arabia. A study submitted in partial fulfillment of the requirements
establecer redes separadas, servidores, LAN para diferentes for the degree of Master of Science in Information Systems at the
partes de su organización para limitar el impacto de un éxito university of Sheffield.
113
[6] Cybercrime Will Cost Businesses Over $2 Trillion By 2019 Bank. A Thesis Submitted to the Institute of Distance Learning, Kwame
[https://www.juniperresearch.com/press/press-releases/cybercrime-cost- Nkrumah University of Science and Technology in partial fulfillment of
businesses-over-2trillion-by-2019] the requirement for the degree of commonwealth executive master of
[7] Ambhire, V., & Teltumde, P. (2011). Information Security in Banking business administration.
and Financial Industry. International Journal of Computational [10] Price Water House Coopers. (2014b). Threats to the financial Services
Engineering & Management, 14. Retrieved from Sector. Retrieved from http//www.pwc.com/crimesurvey
http://www.ijcem.org101 [11] Ataque de Phishing a Banco Unión S.A. https://www.odibolivia.org/
[8] Bonnette, C. (2003). Assessing Threats to Information Security in 2018/10/22/ataque-de-phishing-a-banco-union-s-a/
Financial Institutions. GSEC Certification Practical Assignment, Version [12] Autoridad de supervisión del sistema financiero
1.4b - Option 1 Retrieved from http://sans.org https://www.asfi.gob.bo/index.php/asfi/acerca-de-nosotros
[9] Emmanuel, A. (2011). The Effect of Internet Banking on the Ghanaian
Banking Industry: A Case of CAL Bank, UNI Bank and PRUDENTIAL
Breve CV del autor

Jonathan Wilmer Magne Quispe es Licenciado en Informática por la Universidad Mayor de San Andrés. Actualmente realiza la
Maestría en Informática Forense, Seguridad de la Información y Auditoria Informática en el Postgrado en Informática de la UMSA.
Es actualmente Arquitecto de Soluciones Digitales del Banco Nacional de Bolivia, anteriormente en el Banco de Crédito BCP.
Miembro del grupo de investigaciones GI-FORSAI UMSA. 2do Lugar Big Bank Explosión de ideas. Publicó el artículo “Modelo de
seguridad de información para transferencias bancarias mediante comunicación de campo cercano en dispositivos móviles” Revista
PGI No. 6. Email: jwmagneq@gmail.com.
114
Modelo médico-paciente para toma de decisiones en

salud utilizando herramientas de Tecnologías Grid
Juan Carlos Mendoza Valdez
La Paz - Bolivia
juancarlosmendozav@gmail.com
Resumen—El modelo de toma de decisiones en salud médico- desarrollos integrados en diversas áreas biomédicas como ser:
paciente propuesto utiliza herramientas de Grid Computing para MammoGrid, Medicus, mantisGrid y GridDicom que sirve para
el almacenamiento de grandes volúmenes de información de realizar consultas de imágenes basadas en estudios Dicom y
historiales clínicos de los establecimientos de salud de segundo búsquedas basadas en contenido.
nivel del municipio de la ciudad de La Paz y el framework
MapReduce para desarrollar aplicaciones distribuidas y filtrado Se tiene tres tipos de Grid; Grid computacional que utiliza
de datos con el fin de obtener un historial clínico consolidado, el recursos computacionales substanciales para resolver cálculos
mismo que optimiza el proceso de toma de decisiones de los complejos, que, por sus demandas, no pueden ser resueltos por
profesionales en salud en el momento de realizar el acto médico un solo sistema; Grid de datos, integra recursos de datos
obteniendo alternativas de tratamientos en el cual profesional distribuidos para manejo intensivo de datos y sintetiza estos
médico y el paciente toman decisiones conjuntas, esto resulta una datos en repositorios, librerías digitales y bases de datos
buena estrategia para mejorar el cumplimiento del tratamiento distribuidas geográficamente; Grid de acceso, que ejecuta tareas
por parte del paciente. que por concepto un solo sistema no puede.
Palabras clave—Gestión y Control de historiales clínicos, Grid El objetivo de este trabajo es desarrollar un modelo de toma
Computing, MapReduce, Toma de decisiones en salud. de decisiones con herramientas de tecnología Grid de datos, que
nos permita gestionar y controlar la información de los
I. INTRODUCCIÓN historiales clínicos, de los establecimientos de salud de segundo
En tiempos de Hipócrates y Galeno establecían las primeras nivel como también la información se utilizara en toma de
normativas respecto a la relación de los pacientes con el médico, decisiones del comité de análisis de información.
la toma de decisiones respecto a la propia salud era un proceso
que se establecía más por la capacidad y autoridad del II. MÉTODOS
profesional que por la capacidad de decisión que podía tener el Para la construcción del modelo se utilizó la metodología
paciente[1], hoy en día se considera que en ejercicio de la Delphi [2], que busca un consenso formal, el grupo de
autonomía del paciente se deben tomar en cuenta sus valores, especialistas en medicina valora un conjunto de análisis,
deseos y preferencias como elementos determinantes de las exámenes, tratamientos de los historiales clínicos de manera
decisiones en salud. privada a lo largo de varias iteraciones (figura 1).
La tecnología ha cambiado la práctica de la medicina como
una herramienta fundamental para la toma de decisiones.
La computación distribuida es un modelo de computación en
el que el algoritmo está distribuido en varios programas, en
distintos espacios de memoria, que se comunican entre sí.
Generalmente esto significa que el procesamiento ocurre en
nodos diferentes de una red. La computación distribuida puede
formar parte de los recursos que integran un Grid.
La tecnología Grid, hasta hace pocos años atrás solo se
utilizaba para procesos de investigación científica, como el
proyecto SETIH (Search for extraterrestrial intelligence), el
cual consistía en distribuir el cálculo de procesos entre los
distintos equipos que se encuentran en la internet y procesen
grandes volúmenes de datos.
Actualmente la tendencia de esta tecnología salió de la
aplicación científica hacia la aplicación de las empresas, como
ser la Banca, Investigación Farmacéutica, Sector Financiero, y
en Salud. Con relación a este último existen proyectos y Fig. 1. Método Delphi aplicado a historias clínicas. Elaboración propia

[N] J. Mendoza, «Modelo médico-paciente para toma de decisiones en salud utilizando herramientas de
Tecnologías Grid», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 115-117, 2020.
115
El modelo propuesto utiliza el Grid de Datos para el La relación entre el médico y paciente debería ser centrada
almacenamiento de grandes volúmenes de datos, que estarán en el paciente, que consiste en “ver el mundo a través de los ojos
dispersos en los distintos nodos que conforman la Grid, el cual del paciente”. Para conseguirlo, el médico tiene que saber callar,
es muy económico de implementar. induciendo al paciente a narrar su problema y manifestar sus
expectativas.
El problema que se tiene actualmente sobre los historiales
clínicos de datos históricos, es la disponibilidad de ser La información, sobre todo la referida a enfermedades con
consultados, porque cada establecimiento de salud almacena mal pronóstico, puede ser iatrogénica. Pero lo determinante de
esta información de manera local y no es posible compartirlo la información iatrogénica no es tanto la veracidad o la
porque fueron registrados en distintos formatos de archivos: transparencia en cuanto al estilo comunicativo.
Excel, txt, csv, dbf y otros, y estos no fueron migrados a sus
bases de datos actuales, lo que hace difícil realizar una consulta Los pacientes necesitan, además de recibir una atención de
histórica sobre los historiales clínicos de los pacientes esto hace calidad, sentirse tratados como personas. Para ello, es
difícil el trabajo de toma de decisiones por parte del profesional imprescindible respetar su intimidad, atender sus emociones y
médico y más para el seguimiento del tratamiento del paciente. tener en cuenta sus valores, invitándoles a participar en las
decisiones si lo desean. La participación mejora los resultados
Entonces para poder gestionar los historiales clínicos se hace de la atención clínica (Figura 4).
uso de herramientas que procesen grandes volúmenes de datos
(BigData) en el entorno de la computación Grid de datos que se
realizaron con el modelo de programación MapReduce, que da
soporte a la computación paralela y distribuida (Figura 2).
Fig. 2. Arquitectura MapReduce

Fuente: [Elmogy Mohammed, 2016]
En el sector de la salud es una necesidad inmediata en

términos de proveer una mayor seguridad al paciente y al
conflicto decisional que surge frente a la toma de decisiones, y
Fig. 4. Formulario para el apoyo en la toma de decisiones médico-paciente
los profesionales en salud deben adoptar protagonismo, Fuente: [Elaboración propia]
desarrollando habilidades para apoyar a sus pacientes en los
conflictos que deben enfrentar. Para poder contar con los datos del historial clínico del
paciente se trabaja con la implementación del Grid y el
El modelo propuesto (Figura 3) es una estrategia para desarrollo de las herramientas de consulta de datos en
resolver conflictos decisionales en salud, partiendo del MapReduce por el cual se obtendrá información de los
desempeño del profesional médico y del personal asistencial en historiales clínicos útil para el diagnóstico del paciente, para la
función de proveer un mayor confort para el paciente. implementación se utilizó la metodología agile Scrum, el cual se
eligió por su modo de desarrollo, es de carácter adaptable más
que predictivo orientado a las personas más que a los procesos,
como también emplea la estructura incremental basada en
iteraciones y revisiones.
Para la fase de deliberación, se analiza los resultados del
formulario llenado por el paciente (figura 4), en el cual se
mencionan todos los aspectos que se debe considerar para
proseguir con el tratamiento del paciente, este formulario
contempla el modelo médico-paciente.
En el modelo, el profesional médico emite varias opciones
de tratamiento junto a su medicación incluyendo no hacer nada,
para ser analizado y revisado por el paciente, el cual se explica
las alternativas con las que el paciente este de acuerdo y se sienta
más cómodo, entonces empieza una deliberación entre el médico
y paciente.
Pasando a fase de decisión que corresponde a una serie de
Fig. 3. Modelo de toma de decisiones médico-paciente
Fuente: [Elaboración propia]
intervenciones para ayudar a los pacientes a decidir y
116
proporcionar (como mínimo) información sobre las opciones y Una vez realizado la consulta la información obtenida, se
resultados relevantes para su salud. Incluye preparar al paciente utiliza en la fase de deliberación del modelo, cabe señalar que
y al profesional médico para la toma de decisión, potenciando las consultas pueden ser realizadas por cualquier dato que se
una participación más activa del paciente. encuentre dentro los registros del historial clínico, sin embargo,
se debe tomar en cuenta que los criterios de filtro, los cuales
Respecto a este proceso decisional, se considera que una deben ser por datos relevantes a la información necesitada, ej.
buena decisión es aquella que los pacientes realizan con la Cedula de identidad, código de asegurado, u otros datos que
información debida, consistentes con sus valores personales, identifique al paciente.
sobre expectativas realistas.
Como se puede apreciar, este modelo teórico abarca todas IV. DISCUSIÓN
las etapas del proceso decisional, señala claramente los De acuerdo a los resultados obtenidos se concluye que el
elementos que se deben considerar para su implementación, la modelo de toma de decisiones médico-paciente propuesto podrá
figura 3 muestra una representación esquemática de lo expuesto. ser aplicado en los establecimientos de salud a nivel nacional
porque desde una perspectiva ética no puede negarse el derecho
III. RESULTADOS de los pacientes a ser informados sobre su enfermedad y poder
El universo de estudio se realizó en el Departamento de La elegir entre las diferentes opciones de tratamiento (si hubiese), o
Paz, Provincia Murillo, en el municipio de la paz, en participar en las decisiones que se tomen al respecto (si lo
establecimientos de salud de segundo nivel, con el tipo de desean). Humanizar la asistencia exige tener en cuenta las
atención al público, y el tipo de consulta externa por expectativas y experiencias previas del paciente (contando con
especialidad, tomando en cuenta el rango de edades de 20 y más su familia), manejar conocimientos científicos actualizados,
años tanto de varones y mujeres, en el mes de enero de la gestión abordar conjuntamente de forma clara y serena el margen de
2019, haciendo un total de 4679 pacientes (SNIS-VE). incertidumbre inherente a cada procedimiento, elaborar
propuestas de intervención teniendo en cuenta sus preferencias
El tamaño de la muestra es de 255 pacientes, se calculó de y ratificar la opción elegida. Implicar a los pacientes en la toma
un universo de 4679 pacientes varones y mujeres, el cual se de decisiones resulta una buena estrategia para mejorar el
estimó mediante muestreo de la siguiente formula cumplimiento terapéutico
Desde el punto de vista de los pacientes, un paciente
informado de su estado de salud puede suponer una menor
inversión de tiempo en tratar y aconsejar, una mayor aceptación
Una vez elaborado e implementado el modelo, se obtiene los al régimen de tratamiento, una mayor responsabilidad en el
resultados del filtrado de la información, para el apoyo a la toma cuidado de su salud y, mediante la participación activa en su
de decisiones compartida (Figura 5). propio tratamiento, una mejora más rápida de su condición de
salud, o en el caso de enfermedades crónicas, llevar una vida
más satisfactoria y duradera.
REFERENCIAS
[1] Mendoza P.S., Jofré A.V., Valenzuela S.S. La Toma de decisiones en
salud y el modelo conceptual de Ottawa. Invest. educ. enferm 2006.
[2] Zayas (1998), Campistrous (1998), Valdés (1999), Moráguez (2001).
[3] O'Connor AM, Rostov A, Fiset V, Tetroe J, Entwistle V, Llewellyn-
Thomas H, et al. Decision aids for patients facing health treatment or
screening decisions: systematic review. BJM. 1999 sep;319(7212):731-4
[4] O'Connor A. Validation of decisional conflict scale. Med Decis Mak.
Fig. 5. Resultado de filtrado de información de historiales clínicos aplicado
1995 Jan-Mar;15(1):25-30.
al modelo de toma de decisiones médico-paciente
Fuente: [Elaboración propia] [5] Kee F. Patient's prerogatives and perceptions of benefit. BMJ. 1996
Apr;312(7036):958-60.
En la figura 5, se presentan los resultados obtenidos con la [6] O'Connor A, Tugwell P, Wells GA, Elmslie T, Jolly E, Hollingworth G,
información cargada de los registros de historias clínicas, la et al. A decision aid for women considering hormone therapy after
información fue cargada según el procedimiento interno, menopause: decision support framework and evaluation. Patient Educ
políticas y autorizaciones de los establecimientos de salud por Couns. 1998 Mar;33(3):267-79.
tema de información sensible y privado.
Breve CV del autor

Juan Carlos Mendoza Valdez es Ingeniero de Sistemas por la Universidad Salesiana de Bolivia. Microsoft Certified Profesional,
Microsoft Certified Especialist, MCSE, ITIL, Vmware, ComTIA+. Actualmente realiza la Maestría de Gerencia Estratégica de
Sistemas de Información GETSI en el Postgrado en Informática de la Universidad Mayor de San Andrés.
Ejerce profesionalmente como Encargado de infraestructura de la Caja de Salud de la Banca Privada. Anteriormente como Asistente
de Tecnologías de la misión de observación electoral de la Unión Europea, Encargado de Infraestructura en Yacimiento de Litio
Bolivianos, Gerente de Tecnologías de Información para Zona Sudamérica en Catholic Relief Services (ONG Internacional). Obtuvo
reconocimiento por la ayuda prestada en la crisis Venezuela (Caracas 2018).
Sus intereses investigativos incluyen análisis de datos en BI y BigData, Grid Computing y redes neuronales.
Email: juancarlosmendozav@gmail.com, Página Web: https://pro-cert.blogspot.com.
117
Sistema de seguridad de las proyectoras EPSON

Juan Guillermo Durán Alarcón
La Paz - Bolivia
gduran@unifranz.edu.bo
Resumen—Para poder tener mayor conocimiento en la Estos aparatos electrónicos tienen programado un proceso de
seguridad de las proyectoras EPSON es necesario conocer la seguridad donde puede ser configurado por cualquier usuario
metodología que se utiliza en el proceso que realiza el usuario que tenga conocimiento para la configuración de seguridad [4].
donde dicho producto no tenga problemas de bloqueo.
II. MÉTODO
Palabras clave—bloqueo, monitoreo, configuración, riesgo,
proceso, procedimiento. A. Proyectores Opacos
Los proyectores opacos son dispositivos diseñados para
I. INTRODUCCIÓN proyectar láminas planas opacas sobre una superficie externa.
Un proyector de vídeo o vídeo proyector es un aparato óptico
El episcopio básicamente consta de una fuente de luz
que recibe una señal de vídeo y proyecta la imagen
(lámpara de proyección), un soporte con la lámina a proyectar,
correspondiente en una pantalla de proyección usando un
y una lente. Adicionalmente puede tener como reflector interno
sistema de lentes, permitiendo así mostrar imágenes fijas o en
un espejo cóncavo, que aumenta el rendimiento de la fuente de
movimiento.
luz; un sistema que permite mover la lente, a fin de enfocar la
Todos los proyectores de vídeo utilizan una luz muy brillante imagen; y un espejo reflector externo, que permite orientar la
para proyectar la imagen, y los más modernos pueden corregir imagen sobre la superficie externa sobre la que se proyecta.
curvas, borrones y otras inconsistencias a través de los ajustes Funciona con láminas de madera, cartón o cartulina: sobre estos
manuales. Los proyectores de vídeo son mayoritariamente se sobreponen dibujos, fotografías y hasta objetos
usados en salas de presentaciones o conferencias, en aulas tridimensionales.
docentes, aunque también se pueden encontrar aplicaciones
B. Proyectores de Diapositivas
para cine en casa. La señal de vídeo de entrada puede provenir
de diferentes fuentes, como un sintonizador de televisión Un proyector de diapositivas es un dispositivo óptico-
(terrestre o vía satélite), una computadora personal. mecánico que sirve para ver diapositivas (transparencias
fotográficas) proyectadas sobre una superficie lisa, como una
Otro término parecido a proyector de vídeo es retroproyector pared. Métodos creativos: aquí el programador utiliza funciones
el cual, a diferencia del primero, se encuentra implantado como GetAsyncKeyState, GetForegroundWindow, etc. Éstos
internamente en el aparato de televisión y proyecta la imagen son los más fáciles de escribir, pero como requieren la revisión
hacia el observador. el estado de cada tecla varias veces por segundo, pueden causar
La seguridad de la información es el conjunto de medidas un aumento sensible en uso de la CPU y pueden ocasionalmente
preventivas y reactivas de las organizaciones y de los sistemas dejar escapar algunas pulsaciones del teclado.
tecnológicos que permiten resguardar y proteger la información C. Proyector cinematográfico
buscando mantener la confidencialidad, la disponibilidad e
integridad de datos y de la misma [1]. Un proyector cinematográfico es un dispositivo opto-
mecánico empleado para mostrar películas al proyectarlas en
El concepto de seguridad de la información no debe ser una pantalla. La mayoría de los componentes ópticos y
confundido con el de seguridad informática, ya que este último mecánicos, excepto los concernientes a la iluminación y al
sólo se encarga de la seguridad en el medio informático, pero la sonido, están también presentes en las cámaras cinematográficas
información puede encontrarse en diferentes medios o formas, y [5].
no solo en medios informáticos.
D. Sistema de seguridad
Para el hombre como individuo, la seguridad de la El sistema de seguridad de las proyectoras consta de
información tiene un efecto significativo respecto a su algoritmos programados en la memoria interna de la placa madre
privacidad, la que puede cobrar distintas dimensiones de cada proyector, este sistema puede ser configurado en base a
dependiendo de la cultura del mismo [2]. procesos del manual de configuración EPSON, los usuarios
El sistema de seguridad de los proyectores tiene un algoritmo pueden elegir los métodos que ofrece la seguridad de las
programado para su seguridad como contraseña, bloqueos y proyectoras, el software programado por el usuario queda
limitaciones; sin embargo, no todo sistema de seguridad es cien guardado en la memoria interna del proyector.
por ciento confiable [3].

[N] J. Durán, «Sistema de seguridad de las proyectoras EPSON», Revista PGI. Investigación, Ciencia y
118
E. Recursos de seguridad del proyector H. Ingreso de contraseña para uso del proyector
Se puede proteger el proyector contra el robo o uso no Si configura una contraseña y activa una contraseña Protec.
autorizado mediante la configuración de los siguientes recursos Aliment. Se verá un mensaje que le solicitará esta contraseña
de seguridad. cada vez que encienda el proyector.
• Seguridad por contraseña para impedir que se encienda
el proyector y evitar que se realicen cambios a la
pantalla de inicio y a otros ajustes.
• Seguridad por bloqueo de los botones para bloquear el
funcionamiento del proyector mediante los botones del
panel de control.
• Cableado de seguridad para fijar físicamente el Fig. 2. Ingreso de contraseña
proyector en un lugar con un cable.
Debe ingresar la contraseña correcta para usar el proyector.
F. Tipos de seguridad por contraseña
• Mantenga presionado el botón Num del control remoto
Puede configurar estos tipos de seguridad por contraseña
mientras ingresa la contraseña con los botones
utilizando una contraseña compartida:
numéricos.
• La contraseña Protec. aliment. evita que alguien use el
proyector sin antes ingresar una contraseña.
• La contraseña Prote. logo usuario evita que alguien
cambie la pantalla personalizada que el proyector puede
mostrar cuando se enciende o cuando usa la función
Pausa A/V. La presencia de la pantalla personalizada
disuade el robo ya que identifica al propietario del
proyector. Fig. 3. Botones numéricos del control
• La contraseña Red protegida evita que alguien cambie Si la contraseña es incorrecta, puede ocurrir lo siguiente.
los ajustes de red en los menús del proyector.
• Verá un mensaje de “Contraseña incorrecta” y se le
G. Configuración de una contraseña solicitará que intente nuevamente. Ingrese la contraseña
Para usar la seguridad por contraseña, debe primero correcta para continuar.
configurar una contraseña.
• Si introduce una contraseña incorrecta varias veces
• Mantenga presionado el botón Freeze del control seguidas, el proyector muestra un código de solicitud y
remoto durante aproximadamente cinco segundos hasta un mensaje indicándole que debe ponerse en contacto
que aparezca el menú. con el soporte técnico de Epson. Cuando hable con el
soporte técnico de Epson, proporcione el código de
solicitud mostrado en la pantalla y una prueba de
propiedad para obtener ayuda para desbloquear el
proyector.
I. Bloqueo de los botones del proyector.
Se puede bloquear los botones del panel de control del
proyector para evitar que alguien lo use. Se puede bloquear
Fig. 1. Encendido de contraseña todos los botones o todos los botones excepto el botón de
• Pulse la flecha hacia abajo para seleccionar Contraseña encendido.
y pulse el botón Enter. Verá el mensaje “¿Cambiar la • Pulse el botón Menú.
contraseña?”.
• Seleccione el menú Ajustes y pulse el botón Enter.
• Seleccione Sí y pulse el botón Enter.
• Mantenga presionado el botón Num del control remoto
y utilice los botones numéricos para configurar una
contraseña de cuatro dígitos. La contraseña aparece
como **** a medida que la introduce. A continuación,
verá un mensaje de confirmación.
• Vuelva a ingresar la contraseña. Verá el mensaje
“Contraseña aceptada”.
• Pulse el botón Esc para volver al menú.
• Anote la contraseña y guárdela en un lugar seguro en Fig. 4. Configuración de bloqueo
caso de que la olvide.
119
• Seleccione el ajuste Bloqueo funcionam. y pulse el B = La proyectora solo enciende con control.
botón Enter.
C = La proyectora solo enciende con botón de enc./apag.
• Seleccione uno de estos tipos de bloqueo y pulse el D = La proyectora enciende pidiendo contraseña.
botón Enter.
E = La proyectora no puede utilizarse.
• Seleccione Sí y pulse el botón Enter.
J. Desbloqueo de los botones del proyector. TABLA I. CONFIGURACIÓN DEL SISTEMA DE SEGURIDAD
Si se han bloqueado los botones del proyector, mantenga Bloqueo de botones Protect element Control remoto Observación
presionado el botón Enter del panel de control del proyector OFF OFF ON A
OFF OFF OFF AyC
durante siete segundos para desbloquearlos [6].
OFF ON OFF DyE
OFF ON ON AyD
III. RESULTADOS
PARCIAL OFF ON A
Se dará ejemplo de proyectoras configuradas de los PARCIAL OFF OFF AyC
diferentes métodos, simulando que existió un apagón de luz, PARCIAL ON OFF DyE
demostrar cada configuración qué resultado se obtiene: PARCIAL ON ON AyD
TOTAL OFF ON AyB
Si se configura en OFF el bloqueo de funcionamiento, TOTAL OFF OFF E
protect. Aliment. En OFF y receptor remoto habilitado en TOTAL ON OFF E
Front/posterior o Front la proyectora enciende tanto en control TOTAL ON ON A, B y D
como en botón de encendido y puede utilizarse.
IV. DISCUSIÓN
Si se configura en OFF el bloqueo de funcionamiento, En base a los resultados obtenidos de cada configuración la
protect. Aliment. En OFF pero el receptor remoto está seguridad puede ser perjudicial dependiendo a la configuración
deshabilitado la única manera de encender el proyector es solo que se haga y la perspectiva que tenga el usuario.
presionar el botón de encendido/apagado, la proyectora puede
utilizarse. V. CONCLUSIÓN
Si se configura en OFF el bloqueo de funcionamiento, Se debe tomar en cuenta que la seguridad en cualquier lado
protect. Aliment. en ON y receptor remoto deshabilitado, el no garantiza un cien por ciento el funcionamiento; no existe una
proyector no puede encenderse con el control remoto, pero sí solución definitiva para asegurar la configuración de los
con el botón de encendido, la proyectora mostrará un mensaje dispositivos ya que depende del tiempo de que cualquier usuario
para escribir la contraseña; sin embargo, no se podrá colocar ya encuentre una vulnerabilidad en el sistema programado de la
que el control remoto está deshabilitado; la proyectora no se seguridad de la tecnología; puede llegar a ser accidental o
puede utilizar. intencional, de todas manera el usuario en sí no es una amenaza,
lo que puede ser una amenaza es la operación que puede llegar
Si se configura en TOTAL el bloqueo de funcionamiento, a configurar el usuario.
protect. Aliment. en ON y receptor remoto deshabilitado, la
proyectora no puede encenderse con el control remoto tampoco REFERENCIAS
con el botón de encendido/apagado, se considerará que la placa [1] Bonifaz, J. R. (mayo 2018). El uso de las herramientas tecnológicas y su
madre está quemada; sin embargo, la memoria interna está influencia.
programada con la configuración mencionada; la proyectora no [2] Rojas, H. D. (2017). Importancia de seguridad en las empresas.
se puede utilizar. [3] Security Data. Article 2013 (s.d.). Algoritmo de seguridad de
proyectores.
En resumen, se muestra la siguiente tabla los resultados que
se obtiene con cada configuración que se pueda programar el [4] Deloitte CISO Labs data, 2015, proyectores conf. De seguridad. View in
article
sistema de seguridad que ofrece la proyectora EPSON.
[5] HiSPANO, H. (s.f.). primeros dispositivos de proyección.
A = La proyectora se puede utilizar. [6] Manual de proyectoras EPSON x24+, 2017, Histor
Breve CV del autor

Juan Guillermo Durán Alarcón es Licenciado en Ingeniería de Sistemas por la Universidad Salesiana de Bolivia. Diplomado en
educación superior mención en TICs, Diplomado en educación superior mención enseñanza basado en competencias, Certificado
Cisco redes CCNA, Certificado Mikrotik redes inalámbricas. Especialización ciberseguridad y derechos informáticos.
Especialización seguridad de internet, Diplomado en redes y ciberseguridad. Actualmente realiza la Maestría de seguridad de
información, auditoría informática e informática forense en el Postgrado en Informática de la Universidad Mayor de San Andrés.
Premio obtenido de parte de la alcaldía de nuestra señora de La Paz por desarrollo videojuego, Mención laboral en imprenta como
diseño gráfico 2005 a 2012.
Artículo publicado en “herramientas y políticas de seguridad para el resguardo de información electrónica”, Revista PGI, N° 6.
Email: gduran@unifranz.edu.bo.
120
Transformación Digital
en Empresas Editoriales bolivianas
Lenz Gutierrez Aliaga
La Paz – Bolivia
lenzguty@hotmail.com
Resumen—Las empresas han perdido la capacidad de ser más II. MÉTODOS

competitivas y ver como las startups (empresas emergentes)
empiezan a renacer y volverse más profesionales que las que han El presente estudio corresponde a una investigación
estado ahí siempre. El pensar que siempre el éxito que los llevo a
• Comparativa basada en la diferenciación y el
estar en la cima será constante y preservara por siempre, no lo es,
establecimiento de semejanzas y diferencias entre los
porque la probabilidad de terminar desplazados si no se
transforman es alta. Estos cambios exponenciales que van
objetos estudiados tomando como elementos
atravesando varias empresas del mundo plantean una reingeniería principales su presencia en la web, redes sociales y
en la lógica del negocio. Las empresas que cuentan con una base sistemas de información.
tecnológica tienen la capacidad de poder conocer mejor a sus • Inductivo basado en un caso de estudio del periódico El
usuarios y organizarse de una manera distinta y así desarrollar Deber.
una cultura que realmente se enfoque en crear valor, no obstante,
más que hacer una inversión tecnológica es una transformación III. RESULTADOS
cultural en la gente que logre explotar su talento para así poder
desarrollar valor para los usuarios que consumen, en este caso el Para este estudio que es denominado como benchmarking
servicio. donde utilizamos el método comparativo tomaremos en cuenta
sitios web diseñados para este tipo de análisis y de esta manera
Palabra clave—cambio exponencial, startup, valor, poder observar indicadores que nos aproximarán a ver el estado
transformación digital. de salud de las páginas web, redes sociales y sistemas de
información de 4 periódicos bolivianos (El Deber, Los Tiempos,
I. INTRODUCCIÓN Página Siete, La Razón). De esta manera podremos deducir cuál
La democratización para el acceso a la información hace que de estas empresas podría acercase a una transformación digital
cualquier persona pueda usar la tecnología para crear valor en en su estado inicial, medio o avanzado. Para el análisis de los
todos los niveles empresariales, esto crea una oportunidad sin datos se utilizarán estimaciones para cada caso descrito.
precedente para crear innovaciones tecnológicas. De acuerdo a la investigación obtenida en la página
La transformación digital puede ser implantada en todo tipo https://www.alexa.com en Bolivia se pueden observar los
de empresa y si ésta ya cuenta con una base tecnológica el siguientes datos:
proceso puede resultar un poco más conveniente a la A. Análisis WEB
transformación.
a) Popularidad del sitio
¿Cuántos años más se seguirá viendo los periódicos de Una estimación de la popularidad de este sitio.
circulación nacional en las calles? es una pregunta que se hacen
los dueños de los periódicos más grandes del mundo.
Si bien el camino a la extinción del papel periódico no será
completa, el auge del internet y las redes sociales desde hace
muchos años ya remplazó los hábitos de lectura a lo digital y
sumado el aspecto generacional donde los jóvenes de ahora
nacieron conociendo los teléfonos inteligentes, restan aún más
las posibilidades de la existencia del papel, de ahí que ya hace
algunos años los periódicos nacieron a la vida en la web y en las
redes sociales sin dejar de lado la producción en papel. El
presente artículo revelará qué empresas editoriales podrían
aplicar una transformación digital.
Fig. 1. Ranking promedio

[N] L. Gutierrez, «Transformación Digital en Empresas Editoriales bolivianas», Revista PGI. Investigación,
121
En la Fig. 1, se observa que la clasificación se calcula A. Análisis en Redes Sociales

utilizando una combinación de visitantes diarios promedio a este
sitio y páginas vistas durante los últimos 6 meses. El sitio con la
mayor combinación de visitantes y páginas vistas ocupa el
primer lugar.
Fig. 5. Facebook
Fig. 2. Tiempo de permanencia en la página
En la Fig. 2, se observa que el tiempo promedio que un

visitante se queda en la página, esto hace referencia a que los
visitantes encuentran interés en el contenido.
Fig. 6. Twitter
Fig. 3. Porcentaje total de tráfico

Fig. 7. YouTube
En la Fig. 3, se observa el porcentaje de llegadas a los sitos
mediante búsqueda en Google, Redes Sociales, link de acceso En la Fig. 5, 6 y 7, se observa de acuerdo a los indicadores
directo en otro medio, escritura directa de la URL. Esto hace obtenidos que el periódico el deber está utilizando métodos de
referencia a los métodos que utilizan las páginas para llamar a atracción hacia sus redes sociales lo que denota que tiene un
más visitantes. equipo especializado en el área.
B. Sistemas de Información
TABLA I. USO DE SOFTWARE
ERP CRM Sistemas Editoriales integrado al 100%

La Razon SAP NO Quark, Sistema de Publicidad NO
El Deber DanaSOFT DanaSOFT DanaSOFT SI
Los Tiempos Propio NO Quark, Indesing NO
Pagina siete Propio NO Quark NO
En la Tabla I, se observa el indicador que muestra más

claramente que el periódico el Deber se encuentra en una etapa
de transformación digital avanzada.
Fig. 4. Métrica de reputación
El Deber comenzó una transformación digital el 2017 donde
pasaron de ser una empresa de medios que vende publicidad a
En la Fig. 4, se observa la referencia a la reputación frente a
una empresa de conexión de las marcas con su público objetivo
Google. Podemos deducir que los periódicos El Deber y la
basado en Design Thinking. Antes de esta transformación digital
Razón están en una etapa de crecimiento.
era una empresa que venía con una cultura muy antigua donde
122
se premiaba la ineficiencia. Comenzó con una reestructuración IV. DISCUSIÓN

organizacional orientada a una transformación digital, en el Este estudio de medios editoriales nos arroja como
proceso se aclararon los mitos de creer que digitalizando su resultados, qué empresas están en el camino hacia una
servicio estarían en una transformación digital, lo que no es real, transformación digital, así como en alertar a que el éxito de toda
así como no es real que solo las empresas tecnológicas pueden empresa ya no está basado en la popularidad que tuvo hace años
transformarse. Todas las empresas que utilizan la tecnología con y que la transformación digital ya no es una opción sino una
un sentido que permita a la audiencia conectarse con la marca y necesidad para todas las empresas.
los anunciantes conectarse con la audiencia logrando dar valor a
esa inversión. REFERENCIAS
Se comenzó haciendo benchmarking y buscando [1] Elaboración propia.
asesoramiento externo, como tarea principal se buscó frenar la [2] https://www.alexa.com/
caída de ventas en todos sus productos basado en ocho pilares: [3] https://www.socialbakers.com
contenido, gestión de talento, TI y proceso, marcas, nuevos [4] https://www.facebook.com/business/insights/tools/audience-insights
negocios, clasificados, circulación y nueva propuesta de valor
comercial.
De esta manera el Deber está en una etapa de transformación
Digital estable, tomando a la innovación como pilar
fundamental.
123
Ciberseguridad en la implementación de SD-WAN

Madelaine Nelly Velasquez Blacutt
La Paz - Bolivia
madevelb@gmail.com
Resumen—La implementación de redes definidas por software • Virtualización

en áreas amplias (SD-WAN) se ha expandido a medida que las
empresas necesitan el establecimiento de comunicaciones entre sus
• Servicios de red: procesamiento de paquetes, proxy,
sucursales. La tecnología SD-WAN ofrece automatización de enrutamiento, plano de datos.
procesos y una arquitectura característica para brindar un • Administración de servicios: base de datos, intercambio
servicio garantizado a aplicaciones finales de la empresa. Con el de mensajes, servidores web, servidores de aplicación
desarrollo de SD-WAN, también ha crecido la superficie de ataque web, monitoreo de recursos.
que podría vulnerarse, exponiendo información sensible de las
empresas, de esta forma, estrategias de ciberseguridad deben ser
• Servicios de seguridad: cifrado, firewall, WAF, IDS,
tomadas en cuenta, relacionando los posibles vectores de ataque a IPS, filtrado y clasificación, antivirus, seguridad DNS
los componentes de la arquitectura SD-WAN. Este artículo • Software de sistema: sistema operativo.
pretende recomendar acciones para proteger una arquitectura
SD-WAN en sus distintas capas. B. Arquitectura de SD-WAN.
La tecnología SD-WAN busca simplificar las operaciones en
Palabras clave—SDN, SD-WAN, ciberseguridad, red de datos. redes WAN, optimizando la gestión e incluyendo flexibilidad.
Se estudia la arquitectura desde los puntos de vista lógico y
I. INTRODUCCIÓN físico, describiendo los componentes y capas [4]. SD-WAN
La tecnología de red definida por software o SDN (del inglés separa en plano de control y plano de datos el tráfico que maneja
Software Defined Network) aparece en el mercado como una para lograr centralizar la gestión de los dispositivos.
solución a la necesidad de desplegar redes confiables, flexibles,
con control centralizado y monitoreo [1]. Como una aplicación 1) Arquitectura lógica
específica para redes de área amplia o WAN (del inglés Wide Se consideran tres capas en SD-WAN definidas como capa
Area Network), SD-WAN o Software Defined WAN es ofrecida de datos, capa de control y capa de aplicación, como se muestra
por distintos fabricantes como solución a los desafíos en la Figura 1.
presentados en redes WAN [2].
Los negocios al tener un crecimiento constante de usuarios y
sucursales, que deben ser comunicadas para el consumo de
servicios en distintas locaciones, incrementa el número de
dispositivos de red que deben ser configurados y administrados.
Para esto, la arquitectura de red debe ser flexible a cambios y
ofrecer una gestión centralizada, de forma que los equipos
adopten cambios rápidamente como crecimiento de ancho de
banda y optimización de los canales [3].
El presente trabajo presenta la arquitectura de la tecnología
SD-WAN para el análisis de la superficie de ataques en los
distintos componentes y capas, de forma que se generen
recomendaciones para la implementación tomando en cuenta
aspectos de ciberseguridad, para el aseguramiento de datos que
usa la red WAN. Fig. 1. Arquitectura lógica de SD-WAN [5]
II. SOFTWARE DEFINED WAN (SD-WAN) En la capa de datos, se realizan funciones como reenvío de
datos y virtualización del ancho de banda. La virtualización del
A. Definición y componentes. ancho de banda combina diferentes enlaces para un lugar,
Cada componente de la arquitectura de SD-WAN puede disponiendo de una reserva de ancho de banda a ser distribuido
contar con su propia infraestructura, dependiendo el fabricante entre las aplicaciones. El reenvío de datos consiste en la
que ofrece la solución, utilizando software libre o software distribución de datos a través de dispositivos de red, usando el
propietario. Entre los componentes principales de la ancho de banda proporcionado. El plano de datos funciona solo
implementación se cuenta con los siguientes: según las instrucciones de la capa superior de control.

[N] M. Velasquez, «Ciberseguridad en la implementación de SD-WAN», Revista PGI. Investigación,
124
En la capa de control, se presentan las funciones Incluye distintos servidores para lo mencionado: gestión de
implementadas y administradas independientemente, para que los administradores de red y despliegue de configuración,
los operadores de red puedan modificar, desarrollar y revisar resolución de problemas y monitoreo (vManage). La
cada una de ellas. Las funciones pueden ser conectadas para orquestación y aprovisionamiento zero-touch después de
trabajar juntas e incrementar la flexibilidad de la red WAN, de realizar autenticación (vBond). Plano de control y servidor para
esta forma se garantiza la calidad de servicio (QoS, quality of la ejecución de las políticas creadas, enrutamiento (vSmart). Por
service) para aplicaciones que así lo requieren. último, los routers Edge, son responsables del flujo del tráfico.
Estos componentes y su interconectividad se representan en a
En capa de aplicación, se da la posibilidad de definir los Figura 4. Los controladores son máquinas virtuales con sistema
requerimientos específicos para la red y aplicaciones. Es posible operativo Linux.
declarar estos requerimientos en alto nivel, de forma que la
solución realice la traducción de estos requerimientos a
configuraciones de red. La capa de aplicación permite que los
administradores de red y desarrolladores de aplicaciones puedan
estar involucrados en el control del funcionamiento de la red.
2) Arquitectura física
Como se observa en la Figura 2, el plano de datos de SD-
WAN consiste en los dispositivos que realizan la entrega de
datos a los destinos conectados por routers y enlaces físicos.
Fig. 4. Interacción componentes Cisco SD-WAN [6]
De esta forma, el objetivo de la presente investigación es

realizar el análisis de caso para una implementación segura para
la tecnología emergente SD-WAN, la misma que aún no ha sido
adaptada en su totalidad en el medio local. Al contar con varios
Fig. 2. Arquitectura física de SD-WAN [5]
componentes, se debe realizar el análisis para cada uno de ellos
de forma que se proteja integralmente la solución.
Un controlador de red está a cargo de estos dispositivos, el
III. MÉTODOS
cual es un servidor y un cluster, dependiendo de la necesidad de
procesamiento y del tamaño de la red. Por último, la capa de El método de investigación para el presente artículo es de
aplicación está expresada por los servicios finales que utiliza el tipo deductivo, al emplear razonamiento a partir de principios
negocio y sus usuarios, mediante políticas para que un generales y premisas, para lograr la deducción de conclusiones
controlador de red distribuya los recursos disponibles entre los lógicas. Se realiza la examinación de hechos, para el posterior
sitios según la necesidad. De forma que se tenga disponibilidad análisis de lo observado.
de información, debe considerarse controladores de respaldo de
A. Diseño de la investigación
forma que asuman las tareas de control cuando los controladores
principales presenten algún fallo. Exploratorio, se realiza el estudio de la bibliografía de
interés, para la identificación de problemas y propuesta de
C. Arquitectura SD-WAN de Cisco. futuras investigaciones relacionadas.
En el caso particular de Cisco [6], detalla tres capas Descriptivo, caracteriza y observa los escenarios y sus
esenciales: datos, control, gestión y orquestación, Figura 3. componentes, así como su interacción para establecer una
descripción, lo más detallada posible.
Propositivo, por proponer soluciones en base a la
información analizada, para la adopción del modelo más seguro
ante riesgos identificados.
B. Fuentes de información
Las fuentes de información principales son los artículos
donde se estudian casos de implementación de clientes para
distintas marcas que adquieren soluciones del tipo SD-WAN.
Esta información se adquiere a través de observación directa de
implementación de soluciones por administradores de red,
quienes tienen contacto con el objeto de investigación.
Fig. 3. Arquitectura SD-WAN Cisco [6]
125
IV. RESULTADOS cifrados. De esta forma se exponen a ataques de

Entre los escenarios posibles para las implementaciones de suplantación de identidad o MITM en plano de datos.
SD-WAN, se toma en cuenta los componentes identificados y 4) En la virtualización de funciones de red (VNF, virtual
arquitectura para el análisis de vulnerabilidades y amenazas y network function), una expresión regular incorrecta de
planteo de contramedidas para los riesgos identificados. un IDS o WAF basado en software, puede exponer una
Toda empresa debe considerar en su implementación vulnerabilidad a un ataque de denegación de servicios
medidas de ciberseguridad en su infraestructura, de forma que de expresión regular [5]. También si se ve
se reduzca el riesgo de ataques que puedan afectar al negocio. comprometido algún mecanismo de configuración de
De esta forma, al haber desaparecido el perímetro de red por las una VNF y se obtiene control en un sistema operativo,
tecnologías emergentes, se debe considerar para el es posible comprometer a otras VNF en el mismo
aseguramiento de la red: autenticidad de los dispositivos segmento:
involucrados en la comunicación, aseguramiento de los enlaces • Denegación de servicio por función de seguridad.
mediante cifrado de canales y la escalabilidad, flexibilidad y alta
• Acceso no autorizado a los recursos de una VNF
disponibilidad en la solución.
• Escalamiento de privilegio.
Según Cisco [7], su solución SD-WAN ha sido diseñada,
tomando en cuenta la seguridad de la solución basado en los 5) En interfaces de gestión por SSH, HTTP, HTTPS,
siguientes puntos: expuestas a Internet, separación lógica de redes de
gestión. Las interfaces de gestión son utilizadas no solo
• Autenticación. Solo manejan tráfico los dispositivos para que un administrador pueda acceder, sino también
autenticados y permitidos. para comunicación con otros componentes como un
• Cifrado. Los canales de comunicación entre los controlador. Entre algunas debilidades se tiene:
dispositivos incluyen cifrado AES-GCM-256,
• Credenciales predeterminadas débiles y no
incluyendo una verificación de integridad.
cambiadas.
• Integridad. Garantiza que los datos transmitidos no
• Uso de una cuenta privilegiada con todos los
sufrirán cambios no autorizados, mediante una versión
accesos.
modificada del protocolo ESP.
• Configuración permisiva de sudo
A. Análisis de vulnerabilidades y amenazas en la
arquitectura SD-WAN. • Configuración de control de accesos ausente o
incorrectamente configurada
Según la bibliografía consultada, se considera las amenazas
y vulnerabilidades de seguridad relacionados a los componentes • Fuerza bruta para contraseña
y capas de SD-WAN, en la arquitectura genérica de este tipo de • XSS (reflejado, almacenado)
solución. • Acceso no autorizado a información del
1) Software no actualizado. Al ser una tecnología nueva, proveedor y tenants configurados
SD-WAN está en constante desarrollo; los 6) En los servicios de orquestación, para la comunicación
componentes en su mayoría (routers de borde, de los controladores y routers se usa Openflow, REST
controladores, orquestadores) tienen un núcleo Linux, API o protocolos sobre TLS para programar la
en distintas distribuciones, lo cual es propenso a conectividad de los componentes y establecimiento de
ataques de día cero, y vulnerabilidades conocidas del túneles [7]. Provisionamiento zero touch (ZTP, zero
núcleo. touch provisioning) [5], es un mecanismo que permite
a los nodos ser configurados automáticamente.
2) Funciones básicas de red. Un componente de red
puede ser un dispositivo físico, software, virtual o en la • Acceso no autorizado a recursos del sistema
nube, puede estar expuesto según [5]: operativo por funciones vulnerables.
• Enrutamiento basado en protocolos de • Suplantación de nodo SD-WAN
enrutamiento tradicionales. • Suplantación de servidor o cliente ZTP.
• VPN implementada con cifrado no seguro, los • Acceso no autorizado al servicio y datos del
cuales se exponen a las vulnerabilidades conocidas orquestador.
de estos algoritmos. Así también debe
implementarse protocolos seguros combinados 7) Amenazas de cifrado, los mecanismos de cifrado deben
como AH+ESP. implementarse en todas las capas de la arquitectura.
o Mecanismos de cifrado no implementados • Utilización de llaves públicas por defecto y
correctamente certificados que son usados para todos los
o Uso de algoritmos de cifrado inseguros clientes.
o Suplantación de peer • Utilización de certificados autofirmados para
o Selección de parámetros IKE débiles generación de llave pública, emitidas por el
o Selección de contraseñas y llaves débiles fabricante.
para autenticación
• Instalación manual de certificados autofirmados
3) Configuración automática para autenticación de en los nodos SD-WAN.
dispositivos con el orquestador, mediante túneles
126
B. Recomendaciones de implementación y contramedidas. g) Utilización de algoritmos de cifrado no vulnerados y

Como medida de seguridad para cada uno de los vectores de uso de certificados emitidos por una entidad autorizada, evitar
ataque planteados en el punto anterior, se describen las el uso de certificado auto firmados.
siguientes medidas:
V. DISCUSIÓN
a) Actualización constante de la solución La tecnología SD-WAN al ser relativamente nueva, ofrece
• Cada componente de la arquitectura debe recibir ventajas significativas para una red corporativa al ser flexible,
actualizaciones contantes, al ser SD-WAN una con gestión centralizada y con uso inteligente del ancho de
tecnología aún en desarrollo. banda según especificación de aplicaciones y servicios. Sin
• Recibir firmas actualizadas para análisis de datos. embargo, esta tecnología no cuenta con un diseño de seguridad
implementado desde el inicio, lo cual deja abierta una superficie
b) Funciones de cifrado y elección de protocolos
de ataques considerable. Al separar en varias capas su
• Utilizar protocolos de red y criptográficos arquitectura y utilizar componentes del tipo virtualizado para
estándar funciones de red, cifrado de enlaces y autenticación en un
• Actualizar un sistema operativo y componentes orquestador, se debe considerar las vulnerabilidades de cada
de terceros. componente que puede causar el acceso a datos que maneja la
solución. Entre las recomendaciones que deben implementarse
• Emplear mecanismos de confinamiento como
desde un inicio es la hardenización y actualización constante de
SElinux y AppArmor.
software de los componentes individuales, los cuales pueden ser
• Utilizar parámetros criptográficos seguros vulnerables a un atacante y obtener acceso a los controladores
• Emplear primitivas criptográficas seguras para la modificación de políticas e información crítica. Así
también el cifrado, presente en todas las capas, debe ser utilizado
c) Contra suplantación de identidad
con algoritmos no vulnerados y establecer mecanismos de
• Aplicar métodos de mitigación basados en
autenticación de los componentes de SD-WAN con su
hardening.
orquestador de forma segura, con certificados emitidos por
• Desarrollar mecanismos internos que detecten entidades de confianza. De esta forma se podrá mitigar riesgos
ataques a la red. de ataques a la solución SD-WAN desde la implementación y en
• Implementar mecanismos de red para la detección posterior operación productiva de la misma.
de ataques MitM.
REFERENCIAS
d) Hardenizar cada componente de las VNF
[1] X. Zuo, Y. Cui, M. Wang, T. Wang, and X. Wang, “Low-latency
• Las VNF al tener en su mayoría un núcleo Linux, networking: Architecture, techniques, and opportunities,” IEEE Internet
deben cambiarse los parámetros por defecto para Computing, 2018.
evitar ataques a vulnerabilidades conocidas de la [2] Z. Yang, Y. Cui, B. Li, Y. Liu and Y. Xu, "Software-Defined Wide Area
distribución. Network (SD-WAN): Architecture, Advances and Opportunities," 2019
28th International Conference on Computer Communication and
e) En la gestión: Networks (ICCCN), Valencia, España, 2019.
• Cambio de contraseñas por defecto. [3] F. Bannour, S. Souihi, and A. Mellouk, “Distributed sdn control: Survey,
• Confinamiento y segmentación de redes. taxonomy, and challenges,” IEEE Communications Surveys & Tutorials
2018.
• Configurar correcta del protocolo TLS. [4] Rangan, R.K.m "Trends in SD-WAN and SDN", CSI Publicactions. Abril
• Proteger la interfaz web mediante WAF. 2020.
[5] Sergey G., Kolegov, D. "SD-WAN Threat Landscape". Noviembre 2018.
• Deshabilitar de cuenta privilegiada o acceso por
[6] Cisco. (2019). Cisco SD-WAN Cloudscale architecture.
contraseña compartida en caso de emergencia. https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-
• Control de accesos según mínimo privilegio. networks/sd-wan/nb-06-cisco-sd-wan-ebook-cte-en.pdf
[7] Security Configuration Guide, Cisco IOS XE SD-WAN Releases 16.11,
• Bloqueo de acceso ante falla repetida de ingreso 16.12 - Security Overview [Cisco SD-WAN]. (2020, 26 agosto). Cisco.
de credenciales. https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/secu
f) Mecanismos de autenticación seguros para rity/ios-xe-16/security-book-xe/security-overview.html#id_118806
autenticación de los componentes del sistema, mediante [8] FCC TAC Cybersecurity Working Group, "Security BCP
Recommendations for SDN/NFV". Diciembre 2016.
certificados emitidos por una entidad de confianza [8].
127
Propuesta de investigación: Modelo de análisis

forense digital para el sistema de negociación
electrónico de la Bolsa Boliviana de Valores, basado
en la Norma ISO/IEC 27037:2012
Mary Anahy Pomar Montes de Oca
La Paz - Bolivia
anahypomar.2020@gmail.com
Resumen—Este artículo se refiere a un modelo de análisis y en caso de que éstas ocurran, se puedan controlar a tiempo,
forense digital, que a partir de los incidentes críticos de reduciendo el impacto que puedan causar en la entidad.
información permita estar capacitados ante alguna posible
amenaza, con el objetivo de poder recopilar evidencia suficiente y A. Planteamiento del problema
necesaria que sirva como evidencia y prueba ante un tribunal, La BBV implementó una nueva plataforma de negociación
teniendo en cuenta los lineamientos propuestos en la norma electrónica, con el propósito de buscar un sistema que cumpla
técnica IS0/IEC 27037:2012. Esta norma proporciona directrices con estándares internacionales, a través de un proceso de
para la identificación, recolección, adquisición y preservación de licitación internacional. Se contrató bolsas y mercados
la evidencia digital en una organización. españoles, Bolsas de Mercados Españoles (BME), para poder
adecuar su sistema SMART a la realidad del mercado de valores
Palabras clave—Análisis forense, digital, incidente; ISO/IEC
bolivianos. El resultado es el sistema electrónico de negociación
27032:2012.
SMART-BBV, que adopta tecnología de punta y reglas de
I. INTRODUCCIÓN negociación estándares, que en esta primera etapa permite a las
agencias de bolsas realizar operaciones de compra y venta de
A causa de la globalización y con el avance tecnológico en valores seriados entre ellas, de forma remota desde sus propias
materia de análisis forense digital, en nuestro país, el tema ganó oficinas.
importancia a partir de la gestión de incidentes, ya que a partir
de los incidentes de información críticos, si bien en algunas La implementación de ésta moderna plataforma tecnológica
organizaciones existe un equipo de respuesta a incidentes junto a otros proyectos que se vienen realizando, está
(CSIRT), como es el caso de la Bolsa Boliviana de Valores configurando una nueva bolsa que busca siempre mayor
(BBV), todavía no se tiene un modelo de análisis forense digital eficiencia, equidad, competitividad y transparencia. En la
definido para poder abordar, analizar y responder a posibles actualidad la misma es importante, de acuerdo a la coyuntura del
amenazas. Las técnicas a ser utilizadas y realizadas en la país y al crecimiento económico. Con esta tecnología las
recopilación y preservación de las mismas, son apoyadas por la negociaciones en un recinto físico y a viva voz quedan atrás,
norma ISO/IEC 27037:2012, que es una nueva norma para la generándose un modelo de mercado con un proceso de
Recopilación de Evidencias. formación de precios más eficiente al tratarse de un mercado
ciego. Además, el sistema permite registrar órdenes de forma
La BBV, implementó una nueva plataforma de negociación masiva y los cierres se procesan de forma automática, pudiendo
electrónica, para buscar un sistema que cumpla con estándares realizarse más operaciones y manejar mayores volúmenes de
internacionales. Luego de un proceso de licitación internacional, valores.
contrató a bolsas y mercados españoles, Bolsas de Mercados
Españoles (BME), para que adecúen sus sistemas SMART a la El sistema de negociación actual presenta varios problemas
realidad del mercado de valores bolivianos. relacionados con: la transparencia de las operaciones realizadas,
limitación del universo de participantes y la democratización de
Lo que se busca conseguir, es apoyar la respuesta a la información. Una de las soluciones a estos problemas es la
incidentes de seguridad de TI, en el sistema de Negociación implementación de un Sistema de Negociación Electrónica.
electrónico SMART-BBV, fortaleciendo la Seguridad
tecnológica de la BBV y estar preparados para los incidentes Para analizar este tema es necesario conocer las causas de la
informáticos. Es preciso tener un modelo de análisis forense inexistencia de un modelo de análisis forense digital en la
digital, para poder actuar, disminuyendo las posibles intrusiones empresa, en este caso de la BBV. Teniendo en cuenta los
lineamientos propuestos en la norma técnica ISO/IEC

[N] M. Pomar, «Propuesta de investigación: Modelo de análisis forense digital para el sistema de negociación
electrónico de la Bolsa Boliviana de Valores, basado en la Norma ISO/IEC 27037:2012», Revista PGI.
128
27037:2012, esta norma proporciona directrices para la • Equidad: todos los participantes de un mercado
identificación, recolección, adquisición y preservación de la financiero deben recibir exactamente el mismo trato y
evidencia digital en una organización. oportunidad.
B. Objetivo • Mercado “ciego”: aquel mercado financiero en el que la
Diseñar el modelo de análisis forense digital para realizar el negociación ocurre sin que los operadores conozcan a
manejo de incidentes de seguridad de TI en el sistema de sus contrapartes.
negociación electrónica de la BBV. • Oportunidad: lograr que todos los participantes del
C. Hipótesis mercado accedan a él, a un mismo tiempo y que cuenten
todos con la misma información en el mismo momento.
La carencia de un modelo de análisis forense digital incide
en el sistema de negociación electrónico de la BBV, sujeto a la • Precio “justo”: precio de un instrumento financiero
norma ISO/IEC 27037:2012. pactado como resultado de la concurrencia de muchos
D. Preguntas de investigación oferentes y demandantes.
• ¿Cuáles son los fundamentos teóricos sobre el modelo • Profundidad: atributo de un mercado de valores en el
de análisis forense digital para la BBV?. que se negocian una gran cantidad de instrumentos
financieros y donde intervienen muchos oferentes y
• ¿Cuál es el estado actual de la implementación del demandantes de esos instrumentos.
análisis forense digital en la BBV?
• Transparencia: todas las transacciones financieras son
• ¿Qué resultados se obtienen una vez puesta en la resultado de la misma información disponible para
práctica la estrategia la implementación del análisis todos los participantes y donde ninguno de ellos tiene
forense digital mediante un modelo, en la BBV? acceso o hace uso de información asimétrica o
E. Marco teórico privilegiada.
Análisis Forense Digital: Se define como un conjunto de Por lo tanto, gracias a este sistema las negociaciones en el
principios y técnicas que comprende el proceso de adquisición, mercado de valores se realizarán oportunamente, de manera
conservación, documentación, análisis y presentación de equitativa, dentro de un mercado ciego, generando precios justos
evidencias digitales y que llegado el caso puedan ser aceptadas para los valores y promoviendo la profundidad del mercado, en
legalmente en un proceso judicial [1]. un escenario transparente [4].
Dentro del Análisis Forense Digital, podemos mencionar las
siguientes fases;
• Identificación del incidente.
• Recopilación de evidencias.
• Preservación de la evidencia.
• Análisis de la evidencia.
• Documentación y presentación de los resultados.
Evidencia digital: se entiende como el conjunto de datos en
formato binario, comprende los ficheros, su contenido o
referencias a éstos (metadatos) que se encuentren en los soportes
físicos o lógicos del sistema atacado [2].
Equipo de respuesta a incidentes: requiere establecer, entre
otros aspectos, unos procedimientos y métodos de análisis que Fig. 1. Técnica del árbol de problemas
nos permitan identificar, recuperar, reconstruir y analizar
evidencias de lo ocurrido y una de las ciencias que cubren estas BBV: La bolsa cumple la función de facilitar la negociación
necesidades es la Ciencia Forense, la cual nos aporta las técnicas de valores registrados en ella, brindando al mercado y a sus
y principios necesarios para realizar nuestra investigación, ya miembros los sistemas y mecanismos adecuados para que se
sea criminal o no [3]. ejecuten esas transacciones. Estas facilidades incluyen la
provisión de un recinto físico, esquemas tecnológicos
Sistema de negociación electrónico: El sistema de sofisticados, así como la definición de reglas claras de
negociación electrónico es un sistema concurrente que permite funcionamiento.
transar valores a distancia o de manera remota. Este sistema
cumple con cualidades o atributos requeridos en un mercado De esta manera, la bolsa proporciona condiciones y
financiero y que está basado en los siguientes principios: facilidades que brindan confianza, a la hora de comprar y vender
valores [5].
• Accesibilidad: lograr que todos los participantes del
mercado accedan a él en exactamente las mismas Gestión de incidentes: La gestión de incidentes es un área
condiciones y sin privilegios. de procesos perteneciente a la gestión de servicios de
tecnologías de la información. El primer objetivo de la gestión
de incidentes es recuperar el nivel habitual de funcionamiento
129
del servicio y minimizar en todo lo posible el impacto negativo electrónica de la BBV, basado en la norma ISO/IEC
en la organización de forma que la calidad del servicio y la 27037:2012, es indispensable la utilización de herramientas
disponibilidad se mantengan [6]. jurídicas para el proceso de investigación y posterior condena de
un delito informático.
Norma ISO/IEC 27037:2012: En inglés: “Information
technology—Security techniques—Guidelines for identification, Esta propuesta de modelo de análisis forense debe estar lista
collection, acquisition and preservation of digital evidence”. para aplicarse acorde a los requerimientos necesarios, de tal
Esta norma viene a renovar las antiguas directrices RFC 3227 forma que, si hay un ataque, se tenga el modelo listo para
con recomendaciones de la ISO 27037 más dirigidas a detectar al atacante y actuar conforme a las leyes.
dispositivos actuales y más acorde con el estado de la técnica
actual. Esta norma ISO 27037 está claramente orientada al REFERENCIAS
procedimiento de la actuación pericial en el escenario del recojo, [1] Análisis Forense Digital – Miguel López Delgado.
identificación y secuestro de la evidencia digital; no entra en la https://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
fase de Análisis de la evidencia [7]. [2] SMART-BBV https://www.bbv.com.bo/Media/Default/ConozcaBBV
/SistemaSMART.PDF.
II. CONCLUSIONES [3] Bolsa Boliviana de Valores (BBV)
/https://www.bbv.com.bo/ConozcaBBV
Se puede concluir que, con la implementación del Modelo
[4] Perito Informático y Tecnológico – PeritoIT/https://peritoit.com/2012/10
de análisis forense digital para el sistema de negociación /23/isoiec-270372012-nueva-norma-para-la-recopilación-de-evidencias/
130
Metodología de Administración e Implementación de

Repositorios Digitales para la Seguridad de la
Información Clasificada del Sector Gubernamental
Nilda Mónica Cutili López
La Paz - Bolivia
nilda_mcl@hotmail.com
Resumen—Los repositorios digitales, posibilitan una gestión II. MÉTODOS

automatizada de los procesos institucionales, facilitando de forma
ordenada la difusión con el personal autorizado y accesibilidad de La presente metodología, parte de dos pilares
sus contenidos digitales, dichos contenidos en el presente se fundamentales: La Normativa Legal Vigente y la Identificación
denotan como información clasificada. Es así que, para la de aspectos relacionados con el tratamiento de información
implementación y administración de repositorios con información clasificada en el ámbito internacional.
de alta sensibilidad, se plantea una metodología que guie estos
procedimientos, el mismo está desarrollado en 5 fases
El ámbito legal, enmarcado Resolución Administrativa
fundamentales descritos en el desarrollo del presente. AGETIC/RA/0040/2018 [1], el Decreto Supremo 3525 sobre la
Agencia de Gobierno Electrónico y Tecnologías de la
Palabras clave—Archivo digital, gestión documental digital, Información [2], el Decreto Supremo Nº 28168 referido al
información clasificada, información sensible, repositorios digitales, Acceso a la Información [3], sobre todo la Ley Nº 164 Ley
sector gubernamental, estatal. General de Telecomunicaciones Tecnologías de información y
Comunicación [4] y los Lineamientos para la elaboración e
I. INTRODUCCIÓN implementación de los Planes Institucionales de Seguridad de la
Los repositorios digitales, son una solución frente a información de las entidades del Sector público [5].
requerimientos actuales del sector gubernamental, Por otra parte, la identificación de aspectos relevantes del
principalmente cuando la institución debe socializar su contexto internacional, con contextualización al ámbito
información con cierto grupo de funcionarios públicos nacional, tiene que ver con:
(usuarios), para lo cual tiene implicancia una serie de procesos
y procedimientos que influyen en la aplicación, funcionamiento, Las normas de seguridad de la información clasificada de
mantenimiento y administración, a objeto de permitir trabajar España [6], el Libro Naranja del departamento de Defensa de
con una herramienta de gran aporte al desempeño institucional EEUU [7], la Norma Internacional General de Descripción
con las medidas de seguridad necesarias, basados en las Archivista ISAD-G [8], las normas españolas para la seguridad
dimensiones la confidencialidad, disponibilidad e integridad de de la información clasificada NS04, la NS05 [9], entre otros.
la información, que a su vez se encuentre enmarcado en el A. Propuesta Metodológica
cumplimiento de la normativa vigente del Estado Plurinacional
de Bolivia, y por ende recoja las actividades, técnicas, La metodología consta de cinco 5 fases principales que son:
resaltantes del ámbito internacional. • FASE 1: Diagnóstico
Es así, que el presente, muestra el desarrollo de una • FASE 2: Análisis y diseño
metodología de implementación y administración de
repositorios digitales para la seguridad de la información • FASE 3: Implementación y Pruebas
clasificada del ámbito gubernamental y posterior presentación
de resultados. La misma se encuentra basada en la siguiente • FASE 4: Capacitación
interrogante, ¿Cuál es el tratamiento adecuado, de • FASE 5: Administración
administración e implementación de repositorios digitales, para
la seguridad de la información que es clasificada del sector Considérese que, en cada fase, se define tareas, roles y
gubernamental? responsabilidades, etc. Así también, está orientada con un diseño
detallado de cada etapa y actividad, que permita que la
La hipótesis se encuentra alineada a “El desarrollo de una implementación sea llevada a cabo por medio de gestión
metodología de administración e implementación de autónoma de la institución interesada en contar con un
repositorios digitales, brinda seguridad a la información repositorio digital, sin requerirse de la necesidad de contratación
clasificada del sector gubernamental”. de equipos de trabajo externos que la ejecuten.

[N] N. Cutili, «Metodología de Administración e Implementación de Repositorios Digitales para la
Seguridad de la Información Clasificada del Sector Gubernamental», Revista PGI. Investigación, Ciencia
y Tecnología en Informática, nº 8, pp. 131-134, 2020.
131
1) PRIMERA FASE: Diagnóstico • Seguridad Física

Esta fase está dedicada, al inicio de la implementación de los • Gestión de Riesgos
repositorios digitales, es donde se determina las necesidades
reales y la situación actual del tratamiento de la información ✓ Normas de uso y de servicio
clasificada. • Misión y Visión
Fase en concordancia a estándares internacionales de • Clasificación de documentos digitales
certificación de seguridad cibernética (GSEC) [10]. • Gestión de usuarios y grupos
• Control de accesos
• Entrevistas al personal ejecutivo • Permisos de los usuarios
• Entrevista al personal involucrada con la información • Formato de los documentos digitales
clasificada • Tipo de documentación
• Conservación digital
• Entrevista al personal de tecnologías de información • Servicios
• Entrevista al personal responsable de seguridad de la • Anulación de documentación
información • Seguridad Física
• Seguridad en las operaciones
• Documentación • Gestión de Riesgos
2) SEGUNDA FASE: Análisis y Diseño
Siendo una de las más extensas, esta fase requiere de un ✓ Selección del Software
trabajo minucioso y detallado sobre el análisis de las • Características Principales
necesidades institucionales establecidas en la primera fase de • Base de Datos
diagnóstico, a fin de que permita la proyección de los beneficios • Sistema de Archivos
y cobertura del servicio que se pretende implementar. • Medidas de Seguridad
• Tecnologías de Código Abierto
En esta fase se va a planificar todos los aspectos que se deben • Repostes Estadísticos
tomar en cuenta previa implementación y funcionamiento del
repositorio digital que albergará la información clasificada, esta
✓ Documentación
estará determinada de acuerdo a los siguientes puntos:
✓ Recursos 3) TERCERA FASE: Implementación y Pruebas
• Recursos Humanos Concluida con la segunda fase, corresponde proceder con el
• Digitalizador proceso de implementación del Repositorio Digital, por lo cual
• Catalogador las actividades correspondientes a esta fase son:
• Supervisor
4) CUARTA FASE: Capacitación
• Administración del Repositorio Digital La capacitación al personal involucrado, es parte integral en
• Personal con acceso a la información clasificada la implementación del sistema, a fin de poder ponerlo en
• Personal de seguridad de la información marcha, con la garantía de que los distintos responsables están
• Infraestructura Tecnológica en condiciones de utilizarlo de manera adecuada y así puedan
• Servidor asesorar a los potenciales usuarios sobre el manejo y bondades
• Conexión a un servidor SMTP que ofrece el repositorio digital.
• Red Local
• Software Repositorio Digital Para ello es preciso la coordinación del área de recursos
• Acceso a internet humanos, con el responsable de seguridad de la información a
objeto de fijar actividades relacionadas con la capacitación al
• Recursos Económicos
personal involucrado con el sistema a fin de poner en
conocimiento los manuales y normas de seguridad y de servicio
✓ Responsabilidades de la información aplicados a este.
• Personal involucrado con información clasificada
• Categorización de la Información Clasificada También se debe incluir un plan de sensibilización respecto
• Control de Flujo de Trabajo al tratamiento de la información clasificada a fin de garantizar el
• Catalogación de documentos éxito del uso del repositorio digital.
• Tratamiento de metadatos 5) QUINTA FASE: Administración
• Digitalización y custodia Cuando se dé por concluido las anteriores fases, se dará
• Soporte procedimental inicio a la fase de administración y posterior mantenimiento;
• Anulación de documentos donde se debe considerar el óptimo funcionamiento del sistema
• Personal de TI y responsable de SI y los servicios que conlleva, precautelando la seguridad de la
• Capacitación y soporte información clasificada albergada en el repositorio digital. Esta
• Actualización de BD fase está directamente relacionada a la Resolución
• Mantenimiento Administrativa AGETIC/RA/0040/2018.
• Disponibilidad
• Copias de Seguridad
• Conversión y migración
132
III. RESULTADOS TABLA I. MAPA DE CALOR DE RIEGOS PREVIO A LA IMPLEMENTACIÓN

DE LA PROPUESTA METODOLÓGICA
A fin de dar marcha a la propuesta metodológica, se procedió
a la implementación de un prototipo de repositorio.
Este se encuentra alojado en la siguiente dirección
http://157.245.10.142:8080/ como se muestra en la figura. En
cumplimiento a la propuesta metodológica en el punto Selección
del Software, se realizó la evaluación de 4 herramientas
candidatas, conforme a la siguiente valoración 1 (SI cumple) y
0 (NO cumple), dando como resultado DSpace con una
puntuación aventajada de 26/34, en comparación a 20/34
(Lasefiche), 22/34 (Alfresco Comunity) y 18/34 (Alfresco con
suscripción). Fuente: Elaboración propia, 2019
IV. DISCUSIÓN Actualmente los riesgos están en un nivel no aceptable y

luego van subiendo. Es decir que los riesgos identificados
A. Demostración De La Hipótesis requieren especial atención de manera prioritaria, a objeto de no
Para la demostración de la hipótesis, se citará la misma: comprometer la seguridad de la información clasificada del
sector gubernamental.
“El desarrollo de una metodología de administración e
implementación de repositorios digitales, brinda seguridad a En este entendido, a fin de la prueba de hipótesis, se han
la información clasificada del sector gubernamental” considerado como evidencias la elaboración de tres posibles
escenarios identificados posterior a la implementación de la
A objeto de demostrar la hipótesis, se planteó un estado propuesta metodológica, estos escenarios son: Escenario
previo y un estado posterior, dichos estados se realizaron en Pesimista, Escenario Probable, Escenario Optimista, a ello se
función a un análisis de riesgos, considerando la metodología suma la situación actual, que dio como resultado lo siguiente:
MAGERIT y matrices de evaluación de riesgos. Basado en 10
indicadores.
Item 1
Se realizó una encuesta aplicada a las instituciones que 5
conforman la muestra, que por la sensibilidad de los datos serán Item 10 4 Item 2
referidas como Institución A, B, C, D, E, F y G, a tal efecto, la 3
2 Optimista
escala de valoración fue (1=inaceptable, 2=Deficiente, Item 9 Item 3
3=Regular, 4=Bueno y 5=Excelente), dando como resultado 1 Probable
previo al proceso de aplicación de la propuesta metodológica, la 0
Pesimista
Figura 1. La ilustración refleja, una medición inicial de Item 8 Item 4
indicadores deficiente con tendencia a lo inaceptable. Como Actualidad
consecuencia nos lleva a comprender, que el actual tratamiento
de la información clasificada del sector gubernamental no se Item 7 Item 5
encuentra entre los niveles aceptables.
Item 6
Item 1
5
Fig. 2. Comparación de escenarios Probabilísticos.
Item 10 4 Item 2 Fuente: Elaboración propia, 2019
3
TABLA II. MAPA DE CALOR DE RIEGOS ESCENARIO PESIMISTA
2
Item 9 Item 3
1
0 Actualidad
Item 8 Item 4
Item 7 Item 5
Item 6
Fig. 1. Representación Gráfica de indicadores previo
a la implementación de la propuesta metodológica.
Fuente: Elaboración propia, 2019 Fuente: Elaboración propia, 2019
Así también, se identificó 28 riesgos asociados a la seguridad En un escenario pesimista el riesgo de la seguridad es menor,
de la información clasificada, los mismos fueron representados con relación al estado previo a la implementación de la
en un mapa de calor de riesgos, evidenciado en la tabla 1. propuesta metodológica, es decir el riesgo ha disminuido.
133
TABLA III. MAPA DE CALOR DE RIEGOS ESCENARIO PROBABLE gran impacto como es la seguridad interna y externa del Estado
Plurinacional de Bolivia.
Sobre la formulación de la hipótesis de investigación, la
misma ha sido comprobado mediante la técnica de creación de
escenarios, que permitió combinar distintas variables para
prever situaciones posibles. En proyectos muy complejos suelen
plantearse numerosos escenarios, pero para el desarrollo del
presente, bastó con el planteamiento de tres situaciones:
escenario pesimista, escenario probable, escenario optimista.
Teniendo como resultado, la efectividad de la propuesta
metodológica, para la seguridad de la información clasificada
Fuente: Elaboración propia, 2019 del sector gubernamental.
En un escenario probable, el riesgo de la seguridad de la
REFERENCIAS
información clasificada es también menor, con relación al estado
actual, es decir el riesgo ha disminuido [1] Resolución Administrativa AGETIC/RA/0040/2018. (01 de 06 de 2018).
AGETIC. La Paz, Bolivia: Agencia de Gobierno electrónico y
Finalmente, en un escenario optimista, los riesgos de la Tecnologías de Información y Comunicación.
seguridad de la información clasificada son muchísimo menor, [2] Decreto Supremo 3525. (4 de 04 de 2018). Agencia de Gobierno
con relación al estado actual, es decir el riesgo ha disminuido Electrónico y Tecnologías de la Información. La Paz, Bolivia.
considerablemente. [3] Decreto Supremo Nº 28168 Acceso a la Información. (16 de 05 de 2005).
Gaceta Oficial del Estado Plurinacional de Bolivia. Bolivia, Bolivia.
Por lo tanto, de los 3 casos de análisis de riesgos [4] Ley Nº 164 Ley General de Telecomunicaciones Tecnologías de
correspondientes a los diferentes escenarios probabilísticos, el información y Comunicación. (8 de 08 de 2011). Gaceta Oficial de
riesgo de la seguridad de la información clasificada disminuye Bolivia. Bolivia, Bolivia.
considerablemente. Así también, de acuerdo a la comparación [5] Consejo para las Tecnologías de Información y Comunicación. (2017).
Lineamientos para la elaboración e implementación de los Planes
de los ítems (Indicadores), en ningún caso el escenario actual es Institucionales de Seguridad de la información de las entidades del Sector
mayor a los otros escenarios. público. La Paz, Bolivia.
Con base esta demostración se afirma que la hipótesis está [6] Autoridad Delegada para la seguridad de Información Clasificada.
(2018). Normas de la Autoridad Nacional. Madrid: Ministerio de defensa.
comprobada.
[7] Department of Defense Standard. (1985). Orange Book Department of
V. CONCLUSIONES Defense Trusted Computer System Evaluation Critical. EEUU.
[8] Comité de normas de descripción. (septiembre de 1999). Norma
El desarrollo de una “metodología de administración e Internacional General de Descripción Archivística - ISAD (G).
implementación de repositorios digitales para la seguridad de la Estocolmo, Suecia: Ministerio de Educación Cultura y Deporte.
información clasificada del sector gubernamental”, contribuye a [9] Autoridad Delegada para la seguridad de Información Clasificada.
la gestión institucional, de una manera eficiente, considerando (2018). Normas de la Autoridad Nacional. Madrid: Ministerio de defensa.
que brinda seguridad a la información clasificada, que cuya [10] GIAC Security Essentials (GSEC)
divulgación no autorizada, puede desencadenar en riesgos de
134
Integración del Cuadro de Mando Integral (CMI)

con el Modelo Canvas como Estrategia de
Gestión Empresarial
Ortiz Hilari Añaguaya
La Paz - Bolivia
ortiz.hilari@hilarigroup.com
Resumen—El Cuadro de Mando Integral (CMI) y el modelo trabajar sobre la base de cómo una organización crea,
Canvas, pueden integrarse entre sí como una estrategia de proporciona y captura valor. “Especialmente adecuado en la
gestión Empresarial. El Cuadro de Mando Integral (CMI es una fase start-up o de búsqueda del modelo de negocio, en la que
herramienta de gestión que traduce las estrategias de la Empresa predominan la alta complejidad y la dificultad de considerar
en objetivos, en términos operativos y en e indicadores a través numerosas variables” [17], el Modelo Canvas propone un
de cuatro perspectivas. El Modelo Canvas es una herramienta lenguaje y visualización que permite describirlo fácilmente,
para definir y crear modelos de negocio en nueve apartados que facilitando su evolución y adaptación, de forma intuitiva,
reflejan su lógica. En el artículo se refleja el desarrolla una siendo fácil de usar y comprender para definir la alternativa
estrategia de gestión empresarial que, iniciando del Cuadro de
estratégica seleccionada por la nueva empresa, “donde exista
Mando Integral se pueda integrar con el modelo Canvas, de
forma mutua.
una propuesta de valor que recoja, además de la importancia de
los procesos internos, la relevancia de las relaciones con los
Palabras clave—canvas, cuadro de mando integral, empresa. diferentes stakeholders” [17][18][2].
En este trabajo se realiza un análisis de las perspectivas del
I. INTRODUCCIÓN
CMI y la forma de integrar los 9 apartados del modelo Canvas.
Con el informe Estadístico de Registro de Comercio de Donde el diseño del CMI permite traducir las ideas
Bolivia de FUNDEMPRESA del año 2019 sobre la Base desarrolladas en el modelo Canvas en objetivos e indicadores
Empresarial Vigente al mes de agosto de 2019, el año 2011 se que permiten implementar estrategias de gestión empresariales.
inscribieron 14499 empresas, en el 2012 fueron 26028, el 2013
fueron 65022, el 2014 se inscribieron 42768, el 2015 fueron Hipótesis. La integración del Cuadro de Mando Integral
19823 empresas; el 2016 19211 empresas, el 2017 18882 con el Modelo Canvas como estrategia de Gestión Empresarial,
empresas y el 2018 26460 empresas. Y de enero a agosto de permitirá a las empresas poner en marcha su negocio y reducir
2018, la cantidad de inscripciones fue de 20637 empresas, a el riesgo de fracaso en los primeros años de vida.
similar periodo la gestión 2019 se inscribieron 13156 empresas Objetivo. Proponer estrategias de Gestión Empresarial,
[1]. En este sentido, “desde diferentes ámbitos se defiende que Integrando el Cuadro de Mando Integral con el Modelo
las empresas necesitan herramientas que les permitan Canvas, para empresas con miras a nuevos emprendimientos.
desarrollar sus estrategias y les indiquen el grado de
consecución de sus objetivos y actividades como medio de II. CUADRO DE MANDO INTEGRAL
incrementar su probabilidad de supervivencia” [4]. El Cuadro de Mando Integral fue desarrollado por el Dr.
“El CMI se considera como una de las herramientas más Robert S. Kaplan de Harvard Business School y el Dr. David
conocidas e importantes para la implementación de la P. Norton a principios de los años 90 y ha sido utilizada por
estrategia” [6] “Su utilidad destaca en el momento de muchas empresas a lo largo de estos años.
desarrollar objetivos operativos para la comunicación de la
misión y estrategia de la empresa, así como en la medición del
grado de consecución de éstas, proponiendo convertir la
estrategia en un conjunto de medidas de actuación que
permiten su traducción y gestión” [9]. Por lo que “un CMI está
organizada en cuatro principales perspectivas: financiera,
cliente, procesos internos e innovación y crecimiento,
interrelacionadas entre sí” [3].
“El Modelo Canvas es una herramienta para la generación
de modelos de negocios desarrollado por [11], que permite
Fig. 1. Perspectivas del CMI. Fuente: Kaplan y Norton (1992)

[N] O. Hilari, «Integración del Cuadro de Mando Integral (CMI) con el Modelo Canvas como Estrategia de
Gestión Empresarial», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 135-
138, 2020.
135
Los objetivos e indicadores del CMI se estructuran en IV. PROPUESTA DE INTEGRACIÓN CMI CON EL MODELO CANVAS
cuatro principales grupos que se interrelacionan, las mismas Bajo la influencia previa del CMI en el propio desarrollo de
representan distintas perspectivas de una empresa. su tesis doctoral, [11] argumenta que el Modelo Canvas puede
Su diseño y uso permitiría a las empresas establecer sus llegar a facilitar la identificación de medidas relevantes para
objetivos e indicadores desde cuatro perspectivas y deben mejorar la gestión de la empresa y plantea la semejanza entre
responder a cuatro interrogantes: herramientas. De hecho, este autor realiza una llamada para
una mayor investigación que analice cómo desarrollar
• Perspectiva financiera: ¿cómo debe aparecer la indicadores que supervisen la estrategia desarrollada en el
empresa ante sus accionistas/inversores para tener modelo Canvas, y cómo podría encajar en las 4 perspectivas
éxito financiero? básicas del CMI. Este autor defiende que el modelo Canvas,
• Perspectiva del cliente: ¿cómo debe aparecer la mediante la recogida y captura de la lógica relativa a la nueva
empresa ante sus clientes para alcanzar su misión? empresa, podría favorecer una mejor definición de las mismas
• Perspectiva interna: ¿en qué debe la empresa ser que comenzando con un papel en blanco.
excelente para satisfacer a accionistas/inversores y
clientes? Existe un interesante debate sobre las diferencias entre la
• Perspectiva de innovación y aprendizaje: ¿cómo formulación de la estrategia y el concepto de modelo de
mantendrá la empresa su capacidad, mejorando y negocio, “el Modelo Canvas es un marco en el que la empresa
cambiando para conseguir lograr su misión? define sus grandes temas estratégicos” [12] y el CMI puede
ayudar a concretar un plan de negocio. Partiendo de la
Cada perspectiva del CMI es indispensable para visualizar propuesta de [12]. Por lo tanto, basándonos en los
a la empresa como un todo. Los indicadores se relacionan entre procedimientos ampliamente aceptados de diseño de un CMI
sí mediante un sistema de vínculos o asociaciones causa-efecto [9] [10], a continuación, se analiza las 4 perspectivas y las
que “relatan” la estrategia. De esta forma, se conectan los relaciones con los apartados del modelo Canvas.
objetivos y se traslada la estrategia en un mapa causa-efecto.
A. Diseñar los elementos de la perspectiva financiera
Numerosas encuestas han demostrado la popularidad del La perspectiva financiera recoge la estrategia financiera de
CMI y su extendida implantación entre diferentes tipos de la empresa, incluyendo objetivos de los resultados financieros
organizaciones [15]. El CMI se puede emplear para la mejora deseados. El diseño del CMI ofrece una oportunidad a las
continua [8], lo que es importante para la consolidación y empresas para replantearse, después de haber generado su
crecimiento de nuevas empresas [5], a pesar de lo cual, la modelo de negocio, cuáles son o deberían ser sus objetivos
evidencia en pequeñas empresas es reducida y en aquellas de financieros para asegurarse la financiación que le permita
nueva creación prácticamente nula [5][16]. Sin embargo, en las desarrollar su negocio, mantener contento a sus actuales o
nuevas start-ups cobran especial importancia las métricas [7]. futuros inversores, para captar nuevos socios o inversores más
III. MODELO CANVAS comprometidos en el negocio, etc. En el modelo Canvas, la
información financiera que se deriva del modelo de negocio
El Modelo Canvas constituye un nuevo marco de análisis está recogida en las dos cajas que aparecen en lado inferior:
de estrategia para definir modelos de negocio. Su flujos de ingresos y costes. Por otro lado, la empresa habrá
representación en el llamado “lienzo de negocio” ha establecido los principales costes que su modelo de negocio va
popularizado como una metodología para mejorar la a generar.
comprensión de los modelos de negocio existentes, así como
para diseñar, entender e innovar otros nuevos. A fin de obtener Asimismo, en esta perspectiva adquiere relevancia la
mayor detalle e interrelación de las áreas que forman parte del optimización de los costes estructurales, o conseguir una buena
modelo de negocio, se describe los nueve elementos que lo estructura financiera, aspectos que pueden ser esenciales para
componen, como se observa en la Figura 2. las empresas que están empezando. Recogiendo estas ideas, y
dependiendo de lo que se tenga en el Modelo Canvas, de esta
manera se puede establecer como una primera propuesta:
Propuesta 1. En nuevas empresas, las propuestas analizadas
y recogidas en los apartados de flujos de ingresos y costes del
Modelo Canvas facilitan e inician la reflexión y definición de
objetivos, factores claves e indicadores de la perspectiva
financiera del CMI, ayudando a la concreción e implantación
de la estrategia definida en su modelo de negocio.
B. Diseñar los elementos de la perspectiva del cliente
Esta perspectiva apoya a la estrategia financiera recogiendo
Fig. 2. Modelo Canvas los objetivos de resultados que la empresa espera obtener con
Fuente: Osterwalder et al. (2005). sus clientes para alcanzar sus objetivos financieros. Se centra
en aspectos como la imagen de la empresa para sus clientes,
En la Figura 2, se puede apreciar su representación gráfica siendo esencial para las empresas que comienzan, ya que en
en una única hoja (de ahí su nombre) facilita capturar, ella se definen objetivos sobre cómo se pretende que la
visualizar, entender, comunicar y compartir la lógica del empresa sea percibida por los clientes.
negocio, “dando una visión holística de la nueva empresa,
ayudando a la comprensión de las relaciones entre las áreas que Por tanto, el Modelo Canvas recoge información que define
intervienen en las decisiones” [12][13]. el mercado objetivo de la nueva empresa, agrupando los
136
diferentes grupos de personas u organizaciones a las que se En el apartado de recursos clave del Modelo Canvas ya se
dirige en función de sus necesidades, comportamientos o han identificado aquellos recursos y capacidades que son
características, y la propuesta de valor que se le ofrece, lo que a imprescindibles para crear valor para el cliente a través del
su vez lleva a establecer diferentes tipos de relaciones de modelo de negocio definido. Estos incluyen recursos físicos,
atracción, mantenimiento y crecimiento. Todo esto facilita el intelectuales, humanos y económicos que son necesarios, los
encaje producto-cliente de la oferta planteada y la definición de cuales pueden ser propios, alquilados o facilitados por una
objetivos para la perspectiva del cliente en la mayoría de CMI. empresa socia. Asimismo, en el apartado relativo a los aliados
se describen todos aquellos acuerdos con terceros cruciales a
Centrándonos en la parte relacional del Modelo Canvas – fin de entregar valor al cliente.
propuesta de valor, segmentos de clientes y relaciones con
clientes– y a partir de la información recogida en estos Por consiguiente, se propone que, para definir los objetivos
apartados, se propone que las empresas encuentran más fácil concretos de la perspectiva de innovación y aprendizaje, la
establecer objetivos sobre número de clientes, fidelización de empresa debe partir de lo señalado en estos dos apartados, sin
los clientes, aumentar las ventas en clientes actuales, aumentar olvidar los objetivos recogidos en las anteriores perspectivas.
la cuota de compra del cliente, mantener clientes, satisfacción De este modo, y atendiendo a la información que ha recabado
de clientes detallado por segmentos o por productos y en los bloques de recursos y aliados clave, la empresa puede
elementos de proposición de valor, de esta manera se puede establecer los objetivos, factores clave e indicadores necesarios
establecer como una segunda propuesta: para esta perspectiva recogiendo aspectos estratégicamente
importantes sobre la cantidad y calidad de las personas que
Propuesta 2. En nuevas empresas, las propuestas analizadas formarán parte de la organización, clima laboral, formación y
y recogidas en los apartados de propuesta de valor, segmentos desarrollo, valores, tecnologías, sistemas de información,
de clientes, y relaciones con clientes del Modelo Canvas alianzas estratégicas, acuerdos de colaboración o estructura
facilitan e inician la reflexión y definición de objetivos, organizativa, cambios en los procesos y mecanismos de
factores claves e indicadores de la perspectiva de cliente del coordinación, por lo que se puede establecer como una cuarta
CMI, ayudando a la concreción e implantación de la estrategia propuesta de trabajo:
definida en su modelo de negocio.
C. Diseñar los elementos de la perspectiva interna y recogidas en los apartados de recursos y aliados clave del
Una vez construida la perspectiva de cliente, se fija los Modelo Canvas facilitan e inician la reflexión y definición de
objetivos estratégicos de la perspectiva de procesos internos. Y objetivos, factores claves e indicadores de la perspectiva de
al momento de diseñar un modelo de negocio a través del innovación y aprendizaje del CMI, ayudando a la concreción e
Modelo Canvas, la empresa recoge en el apartado de implantación de la estrategia definida en su modelo de negocio.
actividades clave las consideradas esenciales para su propuesta
de valor, segmentos de clientes y relaciones con clientes. En síntesis, la Figura 3 recoge las propuestas de trabajo
realizadas para cada una de las perspectivas del CMI y
Teniendo en cuenta la información recogida en estos dos apartados del Modelo Canvas.
apartados, la empresa podrá definir objetivos más concretos y
operativos, para aquellos procesos determinantes que le
permitirán conseguir los objetivos marcados bajo la perspectiva
del cliente y financiera. Para ello se propone que, teniendo en
cuenta la información de esos apartados del Modelo Canvas y
en las dos anteriores perspectivas, la empresa analice sus
procesos para fabricar y distribuir sus productos y servicios y
de relación con clientes, determinando en cuáles debe ser
excelente y qué aspectos de dichos procesos son cruciales para
la propuesta de valor que se le ofrece al cliente, mantener las
actividades críticas con él y conseguir los objetivos propuestos
en la perspectiva de cliente y financiera. Por tanto, en función
de lo determinado por el modelo de negocios, se puede
establecer como tercera propuesta de trabajo:
y recogidas en los apartados de canales de distribución y
actividades clave del Modelo Canvas facilitan e inician la Fig. 3. Nuevas propuestas de integración del CMI-Canvas.
reflexión y definición de objetivos, factores clave e indicadores Fuente: Elaboración propia
de la perspectiva interna del CMI, ayudando a la concreción e
implantación de la estrategia definida en su modelo de negocio. V. CONCLUSIONES Y RECOMENDACIONES
El CMI permite a las empresas partir del modelo de
D. Diseñar elementos de la perspectiva de innovación y
negocio esbozado en el Modelo Canvas para identificar y
aprendizaje traducir el modelo de negocio en una estrategia trazada a través
En esta perspectiva, la empresa tomará como referencia los de un conjunto de objetivos e indicadores.
anteriores procesos que ha identificado como claves,
establecerá los recursos humanos, tecnológicos y de Los objetivos e indicadores integrados y relacionados bajo
infraestructuras indispensables para lograr que dichos procesos las cuatro perspectivas principales -financiera, de cliente,
sean eficientes, y que continúen siéndolo a lo largo del tiempo. interna e innovación y aprendizaje- ofrecen a las empresas una
137
forma rápida, comprehensiva y sistemática visión de los • Analizar y recoger los apartados de recursos y aliados
aspectos claves para su negocio, que le permiten aprender, clave del Modelo Canvas, para facilitar la definición de
adaptarse y pivotar teniendo en cuenta aspectos estratégicos. objetivos, factores claves e indicadores de la
perspectiva de innovación y aprendizaje del CMI.
Defendiendo su complementariedad con el Modelo Canvas,
se han realizado cuatro proposiciones sobre cómo iniciar la REFERENCIAS
reflexión y definición de objetivos e indicadores en nuevas
[1] FUNDEMPRESA, Informe Estadístico de Registro de Comercio de
empresas: Bolivia, (2019).
• Los apartados de flujos de ingresos y costes del [2] Anzola, P., Bayona, C. & García, T. (2015). “La generación de valor a
partir de innovaciones organizativas: efectos directos y moderadores”.
Modelo Canvas facilitan e inician la reflexión y Universia Business Review, 46: 70-93.
definición de objetivos, factores claves e indicadores
[3] Da Silva, J., Pastor, A. & Pastor, J. (2013). “El uso del Cuadro de
de la perspectiva financiera del CMI. Mando Integral como instrumento de medición para comparar los
• Los apartados de propuesta de valor, segmentos de modelos de excelencia en gestión”. Revista Ibero-Americana de
Estrategia, 13(4): 18-32.
clientes, y relaciones con clientes del Modelo Canvas
facilitan e inician la reflexión y definición de objetivos, [4] Davila, A. & Oyon, D. (2009). “Introducción a la Sección Especial de
Contabilidad, Innovación y Emprendimiento”. Revisión contable
factores claves e indicadores de la perspectiva de Europea,18(2): 277–280.
cliente del CMI. [5] Gumbus, A. & Lussier, R. (2006). “Los emprendedores utilizan un
• Los apartados de canales de distribución y actividades Cuadro de Mando Integral para traducir la estrategia en medidas de
clave del Modelo Canvas facilitan e inician la reflexión desempeño”. Revista de gestión de pequeñas empresas, 44(3): 407-425.
y definición de objetivos, factores claves e indicadores [6] Grant, R. (2006). Dirección Estratégica. Civitas Ediciones S.L.:
Pamplona (5ª edición).
de la perspectiva interna del CMI.
[7] Hidalgo, J. (2013). Métricas. En: López, M. & De Miguel, J.A: España
• Los apartados de recursos y aliados clave del Modelo Lean Startup 2013 (en https://app.box.com/s/4go0lk4zi1eb6kgxp7y4).
Canvas facilitan e inician la reflexión y definición de [8] Ibáñez, N., Castillo, R., Núñez, A. & Chávez, Z. (2010). “Prácticas
objetivos, factores claves e indicadores de la gerenciales asociadas a la evolución de las perspectivas del Cuadro de
perspectiva de innovación y aprendizaje del CMI. Mando Integral”. Negotium, 6(16): 136-172.
[9] Kaplan, R. & Norton, D. (1992). “Cuadro de mando integral: medidas
Se recomienda que, al igual que el Modelo Canvas, el CMI que impulsan el rendimiento”. revisión de negocios de Harvard, enero-
pueda evolucionar, adaptarse y modificarse añadiendo, febrero: 71-79.
eliminando o actualizando indicadores clave de rendimiento [10] Kaplan, R. & Norton, D. (2001). La organización centrada en la
según el negocio vaya evolucionando. Por lo que el CMI es estrategia: cómo prosperan las empresas de cuadro de mando integral en
el nuevo entorno competitivo. Boston: Prensa de HBS.
una herramienta con un elevado potencial para contribuir a la
puesta en marcha y desarrollo de nuevos negocios, permitiendo [11] Osterwalder, A. (2004). La ontología del modelo de negocio. Una
propuesta en un enfoque de ciencia del diseño. Disertación, Universidad
a las empresas definir y tener bajo control aquellas variables de Laussane, Suiza.
que ha considerado críticas para la marcha del mismo. [12] Osterwalder, A., Pigneur, Y. & Tucci, C. (2005). “Clarificando Modelos
Para ayudar a la implantación del modelo de negocio como de Negocio: orígenes, presente y futuro del concepto”. Comunicaciones
de la Asociación para la Ciencia de la Información, 16: 1-25.
estrategia de gestión empresarial, se recomienda:
[13] Osterwalder, A. & Pigneur, Y. (2010). Generación de modelos de
• Analizar y recoger los apartados de flujos de ingresos y negocio: un manual para visionarios, revolucionarios y desafiantes.
Hoboken, Nueva Jersey: Wiley.
costes del Modelo Canva para definir los objetivos e
[14] Rodrigues, P., Aibar, B. & Lima, L. (2012). “El cuadro de mando
indicadores de la perspectiva financiera del CMI, para integral como herramienta de gestión estratégica de PYMES
ayudar en la implantación de la estrategia definida en portuguesas”. Revista Internacional de la Pequeña y Mediana Empresa,
su modelo de negocio. 1(4): 90-128.
• Analizar y recoger los apartados de la propuesta de [15] Rigby, D. & Bilodeau, B. (2011). Herramientas de gestión y tendencias
2011. Bain & Company (consultado en
valor, segmentos de clientes, y relaciones con clientes http://www.bain.com/Images/BAIN_BRIEF_Management_Tools.pdf).
del Modelo Canvas, para la definición de objetivos,
[16] Rompho, N. (2011). “Por qué falla el Cuadro de Mando Integral en las
factores claves e indicadores de la perspectiva de Pymes: un estudio de caso”. Revista Internacional de Negocios y
cliente del CMI. Gestión, 6(11): 39-46.
• Analizar y recoger los apartados de canales de [17] Trimi, S. & Berbegal-Mirabent, J. (2012). “Innovación del modelo de
distribución y actividades clave del Modelo Canvas, negocio en el emprendimiento”. Revista Internacional de
Emprendimiento y Gestión, 8(4): 449-465.
para facilitar la definición de objetivos, factores claves
[18] Trkman, P., Budler, M. & Groznik, A. (2015). “Un enfoque de modelo
e indicadores de la perspectiva interna del CM. de negocio para la gestión de la cadena de suministro”. Gestión de la
cadena de suministro: una revista internacional, 20(6): 587-602.
Breve CV del autor

Ortiz Hilari Añaguaya es Ingeniero de Sistemas por la Universidad Salesiana (La Paz 2013). Actualmente realiza la Maestría en
Alta Gerencia en Tecnologías de la Información y las Comunicaciones e Innovación para el Desarrollo MAG-TIC, en el Postgrado
en Informática de la Universidad Mayor de San Andrés.
Ejerce profesionalmente como Gerente General en HILARIGROUP SRL. Anteriores: Órgano Judicial; Vías Bolivia; YPFB.
Inscrito en la SIB con Matrícula 21375. Publicó el artículo “Inclusión de la banda ka en el próximo satélite boliviano”, Revista PGI
UMSA, La Paz 2015. Página web: www.hilarigroup.com. Email: ortiz.hilari@hilarigroup.com.
138
Modelo para Evaluar la Efectividad de los Planes

Estratégicos de Tecnologías de la Información y
Comunicación
Oscar Gerardo Martinez Laruta
La Paz - Bolivia
osmartinez@gmail.com
Resumen—La efectividad de la gestión estratégica de las áreas comunicaciones, se alinean con la visión y misión global de
de Tecnologías de la Información y las Comunicaciones, desde el mediano y largo plazo que contempla las principales líneas
punto de vista de decisión o gerencial es muy importante, debido a estratégicas de negocio o institucionales a través de un “Plan
que dicho elemento nos permitirá conocer de modo adecuado el Estratégico de Tecnologías de la Información y las
nivel de alineamiento y cumplimiento de los objetivos Comunicaciones (PETIC)”. Como en todo plan que se ejecuta,
institucionales; por ello, es preciso establecer los indicadores clave se establecen indicadores que permiten conocer el progreso
de rendimiento adecuados que permitan conocer esta situación en logrado. Los indicadores más relevantes se despliegan en un
particular del sector financiero boliviano para finalmente cuadro de mando para la toma de decisiones oportunas.
elaborar un modelo para evaluar la efectividad de los planes
estratégicos de tecnologías de la información PETIC de las En la bibliografía encontrada, trabajos de auditoria a las área
entidades financieras reguladas. Esta es una investigación de sistemas efectuados al sector financiero revelan que las
actualmente en desarrollo y en el presente escrito se despliegan los PETIC establecen planes de mediano y largo plazo para
datos preliminares y resultados esperados. proyectos de TI; fueron ligeramente definidas, y en su mayoría
son formulaciones que basan su proyección tomando en cuenta
Palabras clave—Planificación estratégica, tecnologías de la los planes de negocio de la organización, pero por el carácter
información y las comunicaciones, efectividad, PETIC. especializado del tema sufren cambios algunos de ellos
I. INTRODUCCIÓN desordenados por lo que existe un crecimiento no controlado de
las TIC sin una orientación estratégica adecuada, esto puede
En la actualidad, las organizaciones que entregan valor a la causar que el cumplimiento de las metas estratégicas de la
ciudadanía o mercado, le han otorgado importancia al factor entidad no sean apoyadas adecuadamente.
“Competitividad” a través de estrategias muchas veces agresivas
para alcanzar las expectativas de los consumidores o usuarios; Asimismo, de un sondeo rápido del sector financiero hay
para ello, dichas organizaciones han incorporado en su referencia de que han avanzado en mayor proporción en el área
estructura “áreas tecnologías de la información y las de tecnología y han adoptado prácticas relacionadas con la
comunicaciones” los cuales fueron concebidos para apoyar el gestión de las TIC, seguridad de la información y la
logro de los objetivos de negocio y efectivizar rápidamente sus planificación estratégica como la operativa en Bolivia, el cual es
estrategias, dichas áreas tienen como función propiciar, producto de los requisitos regulatorios solicitados por la
administrar y gestionar la implementación de un ambiente y Autoridad de Supervisión del Sistema Financiero (ASFI). Se
recursos de tecnologías como ser: infraestructura de identifica también, que la planificación efectuada para las TIC
comunicaciones, servicios informáticos, sistemas de son una herramienta de cumplimiento y no han previsto la
información (administrativa y financiera, operaciones de medición de la efectividad, relacionada con la eficiencia y
negocio, relacionamiento con los clientes, gestión de recursos eficacia de la gestión de las TIC, esta aseveración es la base de
humanos, entre otros según su misión). Toda la estructuración, la presente investigación. habrá de corroborarla en mayor
obviamente requiere de un equipo de trabajo, procesos y profundidad, por lo que la propuesta de un estudio en detalle que
procedimientos que dan vida a los recursos informáticos en aras responda al siguiente cuestionamiento, será de interés del sector:
de soportar y apoyar la labor de las áreas de negocio. En ese ¿Es posible medir y evaluar la efectividad de los Planes
sentido la gestión de las áreas de tecnología, cobra gran Estratégicos de Tecnología de la Información y Comunicación
importancia debido a que es responsable en parte del riesgo en entidades del sector financiero?
reputacional respecto de los servicios entregados por las
organizaciones que van muy ligados con la fidelidad de los Por supuesto, la medición del PETIC requerirá el uso de
clientes o usuarios. indicadores clave de rendimiento o KPI (del inglés Key
Performance Indicator), que muestran si las acciones cursadas
Para el logro de los objetivos de negocio de las instituciones son positivas o negativas con respecto al cumplimiento de los
financieras, las áreas de tecnología de la información y las

[N] O. Martinez, «Modelo para Evaluar la Efectividad de los Planes Estratégicos de Tecnologías de la
Información y Comunicación», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8,
pp. 139-142, 2020.
139
objetivos. Depende de la forma en que se operativicen estos permitirán a las organizaciones alcanzar sus objetivos. Es el
indicadores para obtener información de calidad; es más que un proceso de especificar los objetivos de las organizaciones,
simple conteo de cumplimiento (cuantitativo) y, en general desarrollando políticas y planes para alcanzar esos objetivos, y
requerirá de análisis cualitativo. asignando recursos para implementar esas políticas y planes. La
gestión estratégica, por tanto, combina las actividades de varias
El estudio consistirá, por lo tanto, en la revisión de varios áreas funcionales de una organización para lograr objetivos
PETIC de instituciones financieras bolivianas para describir los organizacionales. Es el nivel más alto de actividad gerencial [3].
indicadores más importantes empleados en el medio y luego
desarrollar un modelo tipo que incorpore indicadores adecuados B. Herramientas de gestión estratégica
para establecer la efectividad del plan estratégico. Para la realización de un adecuado modelamiento de la
Es menester indicar que el presente estudio está en curso con metodología de planificación estratégica se prevé la utilización
motivo de la Tesis de Maestría del autor, y que actualmente se de herramientas como: análisis de escenarios, talleres
está desarrollando el trabajo de campo que consiste en la prospectivos, segmentación de áreas para un adecuado
recolección y análisis de los PETIC de varias entidades dimensionamiento, Análisis FODA, cuadros de mando, y otros
financieras bolivianas y este resultado aún no está disponible; necesarios que posiblemente surjan en el desarrollo de la
sin embargo, en el presente artículo se mostrará los avances de investigación [4].
la investigación. C. Seguimiento, monitoreo y evaluación
A. Antecedentes El monitoreo, el seguimiento y la evaluación son acciones
Dentro los antecedentes de la presente investigación, se ha que se realizan sobre un mismo quehacer institucional (proyecto
logrado identificar algunos estudios que han abordado temas institucional), un mismo proceso empresarial (proyecto
similares, como el estudio de (Gómez Gaviria, Rodríguez Ríos, económico) o un mismo desarrollo individual (proyecto de
& Toro Brand, 2014), ha implicado la definición de una vida); cuando estas instancias buscan alcanzar uno o varios
herramienta de monitoreo de los principales indicadores de objetivos previstos. En ese sentido, para simplificar el destino
gestión institucional con énfasis en la gestión financiera, del monitoreo, el seguimiento y la evaluación, diremos que los
productividad de los servicios de salud y la definición de un tres conceptos se aplican a proyectos de naturaleza diversa [5].
cuadro de mando como herramienta estratégica para la toma de La palabra monitoreo, no es lo mismo que seguimiento, dado
decisiones para la gerencia de salud, dicho estudio indica que ha que la segunda define un sistema. El Monitoreo sugiere una
logrado la definición de un cuadro de mando que permite posición estática, como quien está viendo un monitor desde su
realizar una rápida visión del estado de situación del servicio de lugar o está a la par de un trabajador para verificar que cumpla
salud de tercer nivel y que dicho modelo requerirá de un con los procedimientos. Seguimiento implica el movimiento
continuo trabajo de actualización. hacia una ruta de un proceso. De ahí que se hable de un viaje, un
En Bolivia, del año 2001 al 2005, el consorcio (TOP-INTA- trayecto y de los recursos técnicos para emprenderlo [5].
DATASYSTEMFIN-PRAGMA, 2005) a través del contrato con El monitoreo se conoce cuando involucra a los beneficiarios
el Banco Mundial, ha realizado un trabajo de consultoría para la y no solamente al personal del proyecto [6].
implementación de un modelo de planificación de Gestión por
Resultados para el Sistema Boliviano de Tecnología Monitoreo significa observar y recolectar información de
Agropecuaria del Ministerio de MDRyMA, que ha significado cada proceso. Seguimiento significa un análisis sistemático de
el diseño e implementación de metodologías de investigación, todos los procesos en su conjunto para así verificar si seguimos
gestión de proyectos y sistemas informáticos que automatizan la ‘en el rumbo’ correcto. El monitoreo garantiza el resultado. El
generación de indicadores de efectividad de la planificación; seguimiento evalúa el resultado. El seguimiento evalúa los
cuya aplicación significo el ordenamiento sistemático de la medios empleados y los resultados intermedios para ver si son
planificación desde lo estratégico a lo operativo; sin embargo, congruentes con el resultado final [7].
esta acción tuvo algunos inconvenientes en su implementación
D. Tablero de Control
debido a que la aplicación del modelo no tuvo la comprensión
suficiente de parte de la entidad beneficiaria; por otro lado, lo El tablero de control es una herramienta cuyo objetivo y
que se pudo destacar es la materialización de un esquema de utilidad básica es diagnosticar adecuadamente una situación. Se
trabajo que permitió vincular la planificación estratégica, la le define como el conjunto de indicadores cuyo seguimiento y
operativa, la financiera y la gestión del valor que generados por evaluación periódica permitirá contar con un mayor
los proyectos de inversión e innovación, los avances logrados se conocimiento de la situación de su empresa o sector apoyándose
encuentran publicados en la página oficial de la empresa TOP en nuevas tecnologías informáticas [8].
de la Argentina [1];otro de los elementos aplicados para la El diagnóstico y monitoreo permanente de determinados
determinación de la efectividad es la Evaluación de Resultados, indicadores e información ha sido y es la base para mantener un
Efectos e Impactos de Valor [2]. buen control de situación en muchas de las disciplinas de la vida.
Como ejemplo de estos podemos señalar a la: medicina, basada
II. MARCO TEÓRICO
en mediciones para el diagnóstico de la salud de los pacientes; a
Es preciso definir y plantear un marco teórico inicial para la aviación, cuyos indicadores de tablero de control sintetiza la
orientar los principios en los cuales serán apoyados por criterios información del avión y del entorno para evitar sorpresas y
de del estudio y la para ello se plantea los siguientes conceptos. permite a los pilotos dirigir el avión a buen puerto; el tablero de
A. Gestión Estratégica un sistema eléctrico o de una represa son otros ejemplos. En
todos estos casos el Tablero permite a través del color de las
La gestión estratégica es la ciencia de formular, implementar luces y alarmas ser el disparador para la toma de decisiones. En
y evaluar decisiones de diferentes funcionalidades que
140
todos estos ejemplos es fundamental definir los indicadores a tarea de estudiar varios PETIC de entidades financieras y
monitorear [8]. encontrar en ellas las categorías e indicadores más
representativos que permitan elaborar un cuadro de mando
A partir de la experiencia de implementación y de las estandarizado que permita medir la efectividad de los PETIC
diferentes necesidades de las empresas, el autor se ha encontrado con respecto a los objetivos institucionales.
con la posibilidad de implementar cuatro tipos genéricos de
Tableros como ser: Los tableros de control operativo, los III. MÉTODOS
tableros de control directivo, los tableros de control estratégico
y los tableros de control integral [9]. Por ser una investigación que tocará varios métodos y
tendencias respecto de la planificación estratégica y la gestión
E. Eficiencia, eficacia, efectividad, sostenibilidad de tecnologías de la información y las comunicaciones, se
La eficacia está dada por el grado en que se cumplieron los apoyará en el método de investigación holística, y se aplicará el
objetivos previstos en su diseño. Usualmente se recurre a una método ZOPP para la planificación de proyectos.
forma de planificación como el marco lógico, en la cual se Se utilizarán los trabajos relacionados con la investigación
establece la jerarquía de objetivos: general, inmediatos, para aprovechar los avances y las mejoras que podrían ser
específicos, metas y actividades. Para cada uno de los objetivos propuestas; sin embargo, al tratarse de una propuesta que
previstos se analiza la eficacia de la acción que es evaluada, desembocará en un método orientado a la realidad boliviana, se
obteniendo un índice general mediante una ponderación de cada aplicarán teorías de gestión por resultados incorporadas en un
uno de los índices por objetivo evaluado [5]. modelo de gestión estratégica para TIC.
Por otro lado, la eficiencia analiza el volumen de recursos De la misma manera se pretende combinar herramientas de
gastados para alcanzar las metas. Una actividad eficiente hace seguimiento y control gerencial como son los tableros de control
un uso óptimo de los recursos y, por tanto, tiene el menor costo o cuadro de mando integral que nos permitirá visualizar los
posible. Mientras que el indicador de eficacia es usualmente una avances estratégicos de TI respecto de las estrategias
tasa porcentual, en el análisis de eficiencia se utilizan institucionales.
indicadores de costo-beneficio o de costo-eficiencia [5].
A. Tipo de investigación
El análisis de la eficiencia es utilizado para comparar entre
diferentes alternativas de acciones de formación y se puede La presente investigación apunta a ser de nivel aplicativo, ya
realizar ex ante o ex post. En general, siempre que se deban que como producto final se espera desarrollar un método de
revisar opciones de inversión para emprender acciones o medición de la efectividad de los PETIC.
reorientarlas, la búsqueda de un costo eficiente es requerida y B. Método de investigación
este tipo de análisis la facilita [5].
El método de investigación será el holístico, debido
La efectividad es la capacidad de conseguir el valor como principalmente a que la labor será del tipo dinámica y requerirá
consecuencia de la asignación de recursos. Quien es efectivo, el análisis de sistemas en su conjunto y no sólo a través del
por lo tanto, obtiene el efecto deseado de forma sostenible y estudio de sus partes.
duradera. Por ejemplo: “El régimen penitenciario de nuestro país
C. Fases de la investigación
carece de efectividad ya que no logra la reinserción social de los
delincuentes” [10]. Se abarcarán dos fases: la cualitativa y la cuantitativa.
En la tesis Doctoral “Modelo multifuncional para La fase cualitativa de la investigación permitirá describir y
optimización de la productividad en el proceso de generación de caracterizar las dimensiones y las variables que intervienen en la
energía eléctrica. Aplicación al caso de las centrales medición de la efectividad, a través de la observación de los
hidroeléctrica venezolanas” en su tabla 2 sobre la revisión de los PETIC ejecutados de una gestión cerrada (histórico) de algunas
conceptos de eficiencia, eficacia y efectividad ha realizado una instituciones financieras. Se entiende que es de carácter
revisión de los conceptos vertidos por varios autores [11]. cualitativo porque no se utilizarán herramientas de la estadística
ya que cada PETIC puede contener particularidades de cada
La sostenibilidad se entiende como la medida en que los institución financiera y en su caso se recurrirá a entrevistas para
efectos logrados hasta el cese de la asignación de los recursos se solventarlas.
mantienen perdurables por un tiempo razonable. Así, la
sostenibilidad es el efecto residual de la operación [12]. La fase cuantitativa consiste en operativizar estas categorías,
variables e indicadores para descubrir la relación o correlación
F. Escalas normalizadas de medición de variables intervinientes, en su caso se recurrirá al análisis
La medición de conceptos como la efectividad y la estadístico de información secundaria proveniente de alguna
sostenibilidad se pueden realizar en un plano específico y institución observada.
enfocado a un caso particular mediante observaciones directas,
D. Técnicas de investigación
de tipo ad-hoc; tal como sucede con el diagnóstico médico de un
paciente, que sólo es válido para el paciente en cuestión y no Las técnicas aplicables en la realización de la investigación
para los demás pacientes por más que los síntomas sean son la revisión bibliográfica, el desarrollo de entrevistas no
similares. Para encarar el problema de la generalización se estructuradas, el diseño y aplicación de encuestas y formularios
precisa construir escalas normalizadas de medición de de relevamiento.
efectividad y sostenibilidad, y esto significa estudiar más de un E. Universo y población de estudio
solo caso, y encontrar las categorías de la información adecuadas
e indicadores útiles, que se puedan verificar en la mayoría de los Se ha tomado como marco muestral a las entidades privadas
casos. En eso consiste la presente investigación, el autor tiene la del sector financiero regulado por la Autoridad de Supervisión
141
del Sistema Financiero ASFI, que contemplen la gestión de asimismo, se procederá a la definición de un modelo de
Tecnologías de la Información y las Comunicaciones planificación estratégica basada en resultados que contemple los
corporativa. El acceso a esta información es restringido, por lo elementos técnicos necesarios para calcular la efectividad de la
que se aperturó canales de comunicación autorizados con gestión estratégica y operativa de las entidades de tipo
algunas entidades gracias a que el autor ha participado en financiero. Finalmente se procederá a la comprobación de la
actividades de consultoría en el sector financiero boliviano. funcionalidad del modelo prototipo con una entidad piloto que
será seleccionada de la muestra para verificar que la efectividad
Por el alcance de la investigación y por las limitaciones de puede ser medida a través del modelo propuesto.
acceso a las entidades y a efectos de verificar datos, se define
una muestra por conveniencia que comprende al menos a 2 Se espera concluir la presente investigación en la gestión
IFDs, 2 Bancos, 2 Entidades de Servicios Auxiliares y 3 2021, con motivo de la tesis de maestría del autor.
entidades del mercado de valores.
REFERENCIAS
F. Delimitación geográfica
El estudio será efectuado en entidades financieras que tengan [1] J. Hintze, «Tecnología para la Organización Pública - TOP,» TOP, 2001.
representación en la ciudad de La Paz. [En línea]. Available: http://www.top.org.ar/publicac.aspx. [Último
acceso: 2020].
G. Delimitación temporal
[2] J. Hintze, «Tecnología para la Organización Pública - TOP,» TOP, 2005.
El estudio abarcará el último periodo de gestión de las [En línea]. Available: http://www.top.org.ar/publicac.aspx. [Último
entidades de observación, En la medida del avance de este acceso: 2020].
proyecto, cubrirá la gestión 2020. [3] P. MICHAEL, Estrategia competitiva, Mexico: CECSA, 1988.
IV. RESULTADOS ESPERADOS [4] J. C. K. y. A. G. Clempner y Gutiérrez, «Planeación Estratégica de
Tecnología de Información en Entornos Dinámicos e Inciertos,» Revista
De tipo descriptivo. La descripción y caracterización de las UNAM, Mexico, 2001.
unidades de observación, y el método de selección aplicado.
[5] UNAM, Monitoreo, seguimiento y evaluación, Holanda: Cooperación
De tipo relacional. La determinación de los indicadores más para el desarrollo, 2000.
relevantes que intervienen en la medición de la efectividad de la [6] ICCO, Pautas para una buena planificación, monitoreo y evaluación.,
planificación estratégica de las unidades de observación. Holanda: Organización inter-eclesiástica para la Cooperación al
Desarrollo, 2000.
De tipo explicativo. La relación causa-efecto de los
[7] CECP, Monitoreo. Nicaragua: Centro de Educación y Comunicación
indicadores que determinan el éxito de una buena medición de Popular, 2002.
la planificación estratégica.
[8] A. Ballvé, «Tablero de Control, Información para crear valor, Emece –
De tipo aplicativo. El calibrado del modelo tentativo que Planeta, ISBN Tablero de Control, Información para crear valor,» 2007.
permita la medición de la efectividad de la planificación [En línea]. Available: https://es.wikipedia.org/wiki/Tablero_de_control.
estratégica razonablemente eficiente, en base a la [9] Kaplan-Norton, «The balanced scorecard- Measures that drive
retroalimentación que se obtenga de una unidad de observación, performance,» 1992. [En línea]. Available:
y la prueba piloto. https://es.wikipedia.org/wiki/Tablero_de_control.
[10] J. P. P. y. A. Gardey, «DEFINICIONES,» 2018. [En línea]. Available:
V. CONCLUSIONES https://definicion.de/efectividad/.
La “efectividad” es un concepto que por su complejidad, [11] M. M. Cequea, «Modelo multifuncional para optimización de la
muchos de los estudios han identificado al mismo de modo productividad en el proceso de generación de energía eléctrica.
teórico, tiene componentes objetivos y subjetivos pero no han Aplicación al caso de las centrales hidroeléctrica venezolanas,» Madrid,
materializado en herramientas tangibles que nos permita 2012.
determinar una magnitud, por lo que, de acuerdo al marco [12] J. Hintze, «La evaluación de la efectividad de las organizaciones públicas
introductorio, se pone en consideración que a partir del (y la construcción de sus indicadores),» TOP-Tecnología para la
Organización Pública (Asociación Civil), pp. 1-28, 2001.
planteamiento del estudio, primero se estudiará el grado en el
que las entidades parte de la muestra logran verificar la
efectividad de la gestión de tecnologías de la información y
cuáles son los elementos aplicados para su valoración;
Breve CV del autor

Oscar Gerardo Martinez Laruta es Ingeniero de Sistemas por la Universidad Tecnológica Boliviana, con formación en Economía
en la Facultad de Ciencias Económicas y Financieras UMSA, actualmente candidato a Master en Alta Gerencia en Tecnologías de la
Información y las Comunicaciones e Innovación para el Desarrollo en el Postgrado en Informática de la Universidad Mayor de San
Andrés; miembro de ISACA y la Sociedad de Ingenieros de Bolivia; especialista ISO27001 por IBNORCA.
Actualmente, se desempeña como Gerente de Tecnologías y Aseguramiento en BDO Internacional en Bolivia; más de 25 años de
experiencia, Consultor senior en Coopers&Lybrand, PricewaterhouseCoopers, Gerente de IT en Pragma consultores, Gerente de
Auditoria y seguridad informática en Tudela TH Consultig Group, BDO (Bethin Amengual), Consultor en programas de la Unión
Europea –UE–Integration–Niras- (PAPS I, PAPSII, PASAP, PASPyR), Consultor independiente en empresas públicas y privadas.
Email: osmartinez@gmail.com.
142
Modelo de Pruebas de Regresión Automatizadas en

Procesos de Integración Continua en Sistemas Web
Oscar Wile Mamani Alanoca
La Paz - Bolivia
oswhile@gmail.com
Resumen—Este proyecto se enfoca en presentar un modelo de usuario final. Para conseguir un producto de software de mejor
pruebas de regresión automatizadas y su implementación en un calidad y con menos recursos, es con la automatización de
sistema web como prototipo, tomando en cuenta herramientas ya pruebas funcionales.
creadas para automatizar el proceso de ejecución de las pruebas
funcionales durante la fase de desarrollo y evaluación de la calidad La automatización de pruebas funcionales reduce
del software, para obtener eficiencia en la detección oportuna de significativamente el esfuerzo dedicado a las pruebas de
defectos en el software de sistemas web. Se evaluaron regresión en productos que se encuentran en continuo
herramientas y metodologías para automatizar las pruebas de mantenimiento [4]. Una buena técnica es preparar un conjunto
regresión y procedimientos de Integración Continua, para de pruebas que nos permitirá detectar oportunamente los
posteriormente implementarlos y finalmente analizar los posibles fallos a su debido tiempo.
resultados.
En tanto, las pruebas de regresión verifican que el software
Palabras clave—Pruebas de software, casos de prueba, desarrollado y testeada previamente, sigue trabajando de la
automatización de pruebas, Integración Continua forma esperada después de ser actualizado o modificado. A
veces la modificación de una parte del software, afecta a otra
I. INTRODUCCIÓN parte del programa que no ha sido modificada, pero su
En cualquier tipo de proyecto es inevitable la existencia de funcionamiento se puede ver afectado [5].
los riesgos, más aún en proyectos de aplicaciones informáticas,
algunos de los más frecuentes pueden ser controlados mediante Muchos de los softwares utilizados por empresas, están
integración continua y las pruebas funcionales [1]. construidos como aplicaciones web [6]. Por lo que, las empresas
ofrecen servicios a través de Internet utilizando: redes sociales,
La integración continua, funciona realizando como Facebook y Twitter. Se estima que, en el año 2017 las
comprobaciones interconectadas entre diferentes herramientas ventas del comercio electrónico a nivel mundial supusieron un
que miden o controlan un proceso dentro del desarrollo de total 2,3 billones de euros [7], en base al informe de: “Global
Software, para conseguir un producto de mejor calidad [1]. En Ecommerce” [8].
este contexto, la integración continua también nos permite
incrementar la satisfacción del cliente y agregar valor al negocio Según estudio realizado por la “Compañía de Pruebas
[2]. Por lo tanto, el modelo de Integración Continua es una Unitarias” [9] que fue publicado en su portal web, indica lo
metodología que ejecuta tareas automáticamente, Fig.1. siguiente: “¿Se podría evitar más de un tercio del costo de los
errores de software (más de $ 25 mil millones solo en los Estados
Unidos) Si se realizaran mejores pruebas de software en las
etapas iniciales de desarrollo? El costo por la incorrecta de
pruebas funcionales en los Estados Unidos fue de $ 59.6 mil
millones, alrededor del 0.6 por ciento del Producto Interno Bruto
de Estados Unidos, según un informe del Instituto Nacional de
Estándares y Tecnología”. Publicado en 2012 sobre la base de
los estudios realizados por los autores Gregory Tassey (2002),
Schiller Todd y Michael Ernst (2010).
A lo largo de este tiempo han ido apareciendo metodologías
y técnicas que permiten superar las deficiencias en los
desarrollos de software. Una de las técnicas del desarrollo de
software es la Integración Continua [2]. Y la otra técnica a ser
Fig. 1. Modelo de Integración Continua [2] estudiada es la de pruebas de regresión automatizada. Según
[10], las pruebas de regresión es un tipo de prueba para repetir
Las pruebas funcionales nos permiten garantizar en cierta una prueba de funcionalidad que ha sido verificada previamente.
medida la ausencia de fallos en el software, aunque no en un Es posible que un cambio hecho en una parte del código, ya sea
100% [3], además de garantizar con los requerimientos del por corrección u otro tipo de cambio, pueda afectar

[N] O. Mamani, «Modelo de Pruebas de Regresión Automatizadas en Procesos de Integración Continua en
Sistemas Web», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 143-148, 2020.
143
accidentalmente el comportamiento de otras partes del código. sistemas web, para mejorar la eficiencia en la detección oportuna
Las pruebas de regresión se deben realizar en los siguientes en el software.
niveles de pruebas relacionadas con el Modelo en V, que
representa los niveles de desarrollo y su correspondiente etapa Objetivos específicos
de prueba, reflejado en la Fig.2. • Determinar herramientas libres existentes para implementar el
modelo de pruebas de regresión automatizadas en procesos de
Integración Continua para sistemas web.
• Desarrollar el modelo para Pruebas de Regresión
automatizadas para tareas de Test Funcional.
• Analizar los resultados obtenidos de la implementación del
modelo de pruebas de regresión automatizadas.
D. Planteamiento de Hipótesis
La implementación de un modelo de pruebas de regresión
automatizadas en procesos de Integración Continua, mejorará la
eficiencia en la detección oportuna de defectos en el software de
Fig. 2. Modelo en V aplicando pruebas de regresión sistemas web.
Fuente: Elaboración propia en base a [11]
E. Variables
Para el caso de estudio de este proyecto se realizará las Dependiente: Pruebas de regresión automatizadas
pruebas de regresión en los niveles de pruebas de Integración y
de Sistemas. Independiente: Eficiencia en la detección oportuna de defectos
en el software
A. Planteamiento del problema
Operacionalización de variables: Para determinar el
Por lo expuesto en los puntos anteriores, existe una carencia porcentaje de afectación a otros módulos se podrá medir con la
de modelos para Pruebas de Regresión. Por lo que, se propone siguiente fórmula planteada:
implementar un modelo de Pruebas de Regresión automatizadas
en los procesos de Integración Continua donde se utilizan PMA = MA / TM * 100
metodologías de desarrollo de software ágil, ya sea SCRUM Donde:
donde la IC es aplicado en incremento del producto o MA = Módulos Afectados
Programación Extrema donde la IC es aplicado en codificación- TM = Total Módulos
pruebas, que permitirá reducir considerablemente el tiempo PMA = Porcentaje (%) Módulos Afectados
dedicado a comprobar si las nuevas funcionalidades y los errores
solucionados estén funcionando correctamente. En la Fig.3, se Para determinar el porcentaje de defectos encontrados en el
refleja el modelo de Regression Tests a ser implementado, la software se podrá medir con siguiente fórmula planteada:
misma forma parte de Run Tests del modelo de Integración PDS = DE / CP * 100
Continua. Donde:
DE = Defectos Encontrados
CP = Total de Casos de Prueba
PDS = Porcentaje (%) de Defectos del Software
La tabla 1 presenta la operacionalización de las variables
desde su definición, dimensión, indicador, instrumento de
medición para una mayor comprensión de los mismos.
TABLA I. OPERACIONALIZACIÓN DE VARIABLES
Variable Dimensiones Indicadores Instrumento

Variable Pruebas de Afectación a Observación
independiente regresión otros módulos
Pruebas de regresión
automatizadas
Variable dependiente Defectos en el Defectos en el Observación
Fig. 3. Modelo de Integración Continua planteado software software;
Fuente: Elaboración propia a partir del modelo original Eficiencia en la
detección oportuna de Origen del
defectos en el software defecto
B. Formulación del problema
Fuente: Elaboración propia
¿Sera posible implementar un modelo de pruebas de
regresión automatizada en procesos de Integración Continua F. Marco Teórico
para mejorar la eficiencia en la detección oportuna de defectos 1) Estado del Arte
en el software de sistemas web? Se han realizado investigaciones relacionadas al presente
C. Planteamiento del objetivo tema de investigación que fueron expuestos y publicados en
años pasados. A continuación, se mencionan los más relevantes:
Objetivo General. Implementar un modelo de pruebas de
regresión automatizadas en procesos de Integración Continua en
144
a) Incorporación de pruebas automáticas sobre hace más larga y tediosa con cada iteración, llegando a un punto
transformaciones de modelos en el entorno de integración que ya no resulta viable. Sin embargo, este proceso se puede
continua de MOSKitt [12]. automatizar usando software de automatización.
Una de las funcionalidades que ofrece la herramienta Por lo tanto, el programa final ha resultado bastante útil y ya
MOSKitt es la transformación de modelos, una parte clave en la está siendo aprovechado actualmente al menos por un equipo de
Ingeniería Dirigida por Modelos. testing (QA) con lo que se puede decir que su usabilidad ha
La integración continua es un concepto que surge a partir de quedado demostrada.
la idea de realización de construcciones de software diarias. El 2) Referencia Teórica o Conceptual
modelo ideal permite que la construcción y ejecución de las
a) Gestión de pruebas
pruebas sea realizada cada vez que el código cambia o es
enviado al software de control de versiones. Para gestión de pruebas se requiere el conocimiento de
planificación, generación de casos de uso, seguimiento de los
Así pues, la idea principal de este proyecto es la errores, manejar las configuraciones del sistema. A estas tareas
incorporación de una serie de pruebas automáticas en el proceso se denomina gestión de pruebas. Para el caso de este trabajo se
de integración continua de la herramienta MOSKitt, de tal modo utilizarán las tareas de gestión de errores, generación de casos
que se asegure que se está construyendo de un modo fiable y de uso, planificación de las pruebas y el manejar configuraciones
funcionalmente correcto. para establecer que una herramienta automatizada da apoyo en
b) Implementación de herramientas de integración la gestión de pruebas de software [11].
continua para gestión de código fuente en pandora b) Pruebas funcionales
technologies [13]. Se denominan pruebas funcionales, a las pruebas de software
En la empresa se ha optado por seleccionar las herramientas: que tienen por objetivo validar el comportamiento del software
Git, SonarQube, Jenkins y Bitbucket por ser herramientas que se cumple o no con sus especificaciones. La prueba funcional toma
adecuan a las necesidades el punto de vista del usuario. Las funciones son probadas
ingresando las entradas y examinando las salidas. La estructura
La implantación ha sido realizada luego de la fase de pruebas
interna del programa raramente es considerada. A este tipo de
en la que se ha terminado de configurar, ajustar y comprobar
pruebas se les denomina también pruebas de comportamiento o
todo lo necesario de manera que se determinó la adecuación
pruebas de caja negra [14].
completa a las necesidades del cliente.
Luego de instaladas las herramientas, quedó listo para su uso c) Automatización de las pruebas funcionales
y accesible desde cualquier equipo de los desarrolladores y Es la automatización de las pruebas funcionales sin la
analistas de la organización. intervención del individuo, así de esta manera reducir
significativamente el esfuerzo dedicado a las pruebas de
Se puede afirmar que se ha tenido un cierto impacto sobre regresión en productos que se encuentran en continuo
los colaboradores o usuarios de la solución ya que adaptarse a mantenimiento [14].
una nueva herramienta no es fácil ni rápido, por ello se
realizaron las capacitaciones obteniendo buenos resultados. d) Pruebas de regresión
El objetivo de las pruebas de regresión es la de verificar que
Luego de algunos meses de utilización de las herramientas y el software que ya ha sido desarrollado y testeada previamente,
del nuevo flujo de actualización de código fuente propuesto se sigue trabajando de la forma esperada después de ser
van viendo las mejoras en el proceso de gestión de código y por modificado. A veces la modificación de una parte del software,
ende en la calidad del producto final afecta a otra parte del programa que no ha sido modificada, pero
c) La integración continua y su aporte al aseguramiento su funcionamiento se puede ver afectado o corrompido. La
de la calidad en el ciclo de vida del desarrollo de software [1]. forma más común de realizar las pruebas de regresión es
La implementación de Integración Continua representa realizando una serie de pasos y comprobando que el resultado es
agilidad en los procesos de validación y verificación del modelo el mismo como anteriormente [5].
en V para el ciclo de vida del desarrollo de software, ya que e) Integración Continua
permite automatizar acciones que se realizan en muchas La integración continua es una práctica en la cual los
compañías de manera manual o por el mismo tiempo que miembros de un grupo de desarrollo integran los distintos
implica en la ejecución del proyecto son obviadas. componentes de un proyecto con una frecuencia especificada.
Implementar un servidor de integración continua puede Cada integración se realiza de forma automática con el fin de
resultar un poco complicado al principio. Si se desea montar el detectar los errores de integración lo antes posible. Muchos
modelo completo, existen muchas herramientas y opciones de equipos de desarrollo han encontrado que este enfoque reduce
configuración, lo cual hace difícil tomar decisiones de significativamente los problemas de integración y permite que
adquisición, sin embargo, antes de realizar cualquier acción se los equipos desarrollen software cohesivo más rápido [15], tal
debe estructurar el proyecto para identificar que partes del como se muestra en la Fig. 1.
proyecto deben priorizarse para la automatización. f) Modelo en V
d) Suite Open Source de Automatización de Pruebas de El área de aseguramiento de calidad tiene participación
Regresión para Entorno Web [5] desde la concepción del proyecto hasta el cierre del mismo, esta
A medida que la aplicación se hace más grande y crece en participación se puede observar en un reconocido modelo de
funcionalidades, la tarea de probar la aplicación manualmente se desarrollo de software expuesto en 1986 por Paul Rook (Rook,
1986); el Modelo en V que presenta los diferentes niveles del
145
desarrollo de software y su correspondiente etapa de pruebas [1], III. MODELO DE PRUEBAS DE REGRESIÓN
tal como muestra la Fig. 2.
A. Modelo de pruebas de regresión automatizada
g) Niveles de prueba Se crea un nuevo modelo de pruebas de regresión
Son grupos de actividades de prueba que se organizan y automatizadas, donde se describirá paso a paso las actividades a
gestionan conjuntamente. Los niveles de pruebas están realizar durante el proceso de desarrollo de las pruebas de
relacionados con otras actividades dentro del ciclo de desarrollo regresión, en donde se utilizará la herramienta Katalon Studio
de software [10]: para aprovechar las funcionales que éste contiene [16].
• Prueba de Componente: Que se centra en los En la Figura 4, se refleja un modelo de pruebas de regresión
componentes que se pueden probar por separado. automatizada con los siguientes roles y sus actividades que se
• Prueba de Integración: que se centra en la interacción describen en la Tabla 3.
entre componentes o sistema. TABLA II. ROLES Y ACTIVIDADES
• Prueba de Sistema: se centra en el comportamiento y las Rol Actividades
capacidades de todo un sistema, así como Jefe de
comportamientos no funcionales. Define requerimientos
proyecto
• Prueba de Aceptación: se centra normalmente en el Desarrolla de acuerdo a los nuevos requerimientos;
Analista Analiza y levanta los errores;
comportamiento y las capacidades de todo un sistema. Programador Corrige las observaciones encontradas;
Commit al repositorio
II. MÉTODOS
a) Diseño Metodológico Elabora plan de pruebas;
Re - elabora los casos de prueba;
Para el desarrollo del presente trabajo es una investigación Analista de
Preparación del entorno para las pruebas;
Pruebas
científica tecnológica en las ciencias de la computación. El Elabora sub - proceso de automatización en Katalon
diseño de investigación será Longitudinales de tendencia por Studio y sub – proceso de creación de proyecto Jenkins
tratarse de un comportamiento cambiante de variables en un
Versionamiento en GIT;
tiempo determinado. Run Regresión Test los casos de pruebas tomadas desde
b) Tipo de Investigación Integración Jenkin;
Continua Reporte de errores;
El presente trabajo de investigación será no experimental ya Generar Reporte de Katalon Analitic;
que el mismo se enfocará el estudio de las realidades de los Subida a Producción
sistemas desarrollados para el sector financiero en Bolivia.
Jefe de Evalúa plan de pruebas;
c) Método de Investigación Control de Valida plan de pruebas y se procede a pedir ejecución;
Calidad Conformidad de Control de Calidad
Se plantea una hipótesis que se puede analizar
deductivamente y posteriormente comprobar Fuente: Elaboración propia
experimentalmente. Se utilizará métodos correlaciónales, ya que
existirá una relación entre variables.
d) Fases Metodológicas
Fase 1: Recopilación y Análisis de Información
Fase 2: Desarrollo del modelo de Pruebas de Regresión
Fase 3: Ejecutar los casos planteado y realizar un diagnostico
Fase 4: Análisis y Conclusión
e) Técnicas de investigación
Observación. En base la experiencia de trabajo, se podrá
realizar las observaciones de los flujos o actividades o procesos
para la implementación de TICs en la institución.
f) Universo o Población de Referencia
El presente trabajo de investigación está dirigido a las
instituciones, empresas y profesionales dedicadas a desarrollar
sistemas en el sector público y privado en la Ciudad de La Paz. Fig. 4. Modelo de pruebas de regresión
Fuente: Elaboración propia, sobre la base de [16]
g) Delimitación Geográfica
El presente trabajo de investigación se llevará a cabo, en la B. Subproceso para automatización de pruebas de regresión
Ciudad de La Paz. La automatización consiste en la grabación de las pruebas
h) Delimitación Temporal funcionales durante la Generación de las pruebas. Con esto se
El periodo de la información a ser utilizada corresponde al consigue obtener un conjunto de pruebas automatizadas que
periodo julio a diciembre de 2020. podrán ser utilizadas cuando sea necesario para repetir las
pruebas, es decir guarda un histórico de las pruebas para una
reutilización de ser necesaria, ver tabla 4 y figura 5.
146
TABLA III. ROLES Y ACTIVIDADES DEL SUBPROCESO En base a los resultados mencionados en el punto anterior,
Rol Actividades se aplica a la formula propuesto en la operacionalización de
Seleccionar el aplicativo; variables, ver tabla 6 y 7.
Prepara los casos de pruebas;
Recepción las observaciones; TABLA V. PORCENTAJE DE MÓDULOS AFECTADO
Analista de
Inicializar la grabación; Verificar la grabación;
Pruebas TM MA Variable Independiente Interpretación
Repetir el flujo de los casos;
Prepara Test Suite (varios hilos); PMA=MA/TM*100 = 0 / 8 =0%
Commit, repositorio GIT Donde, No hubo
Jefe de Control Valida los casos de prueba; 8 0 MA=Módulos Afectados afectación a otros
TM=Total Módulos módulos
de Calidad Verificar el motivo del error PMA= (%) Módulos Afectados
Fuente: Elaboración propia Fuente: Elaboración propia
TABLA VI. PORCENTAJE DE DEFECTOS ENCONTRADOS
TM MA Variable Dependiente Interpretación

PDS=DE/CP*100 =
35/120*100=29.16% Porcentaje de
Donde, defectos
120 35 encontrados en
DS=Defectos Encontrados
CP=Total Casos de Prueba un 29.16%
PDS= (%) de Defectos del Software
Por lo tanto, con la implementación de un modelo de pruebas
Fig. 5. Subprocesos automatización de pruebas de regresión. de regresión automatizadas en procesos de Integración Continua
Fuente: Elaboración propia, sobre la base de [16] en el desarrollo de sistemas web que utilizan metodologías
ágiles, mejoró en un 29.16% en la detección oportuna de
IV. RESULTADOS defectos en el software. Aplicado a un Sistema Web Agenda
Una vez elaborado e implementado el Modelo de Pruebas de para Entidades Financieras, donde, es una plataforma web que
Regresión Automatizada, se ejecutó y se validó, dando el está orientado a la gestión clientes: registrar o recuperar datos
siguiente resultado para analizar: del cliente, ver su crédito, ver su flujo de caja y su rendimiento.
TABLA IV. RESULTADO DEL MODELO V. CONCLUSIONES
Test Suite Con la implementación del Modelo de Pruebas de Regresión
Corrida Cantidad Estado Observación
(Modulo)
Éxito=1 Automatizadas en procesos de Integración Continua, mejoró en
Administrador 1
1
Error=0 un 29.16% la eficiencia en la detección oportuna de defectos, así
Éxito=0 mismo se garantiza la disminución del tiempo de pruebas de
Cliente 14 Error de código
Error=14
Éxito=1 regresión y procesos manuales con la automatización, así como
Administrador 1
2 Error=0 la optimización de los recursos a utilizar.
Éxito=8 Error de validación
Cliente 14
Error=6 de fecha Para llegar a este punto del proyecto, se realizó el
Éxito =1 cumplimiento de los objetivos planteados: como la realización
Administrador 1
Error=0
3
Éxito=9 Error de validación de un análisis de las diferentes herramientas libres para
Cliente 14
Error=5 de fecha implementar la Integración Continua, elaboración del modelo de
Éxito=1 pruebas de regresión automatizadas, para luego implementarlos
Administrador 1
Error=0
4
y finalmente analizar los resultados, donde se logró cumplir con
Cliente 14 los objetivos y demostrar la hipótesis planteado.
Error=4 de fecha
Éxito=1
Administrador 1
5
Error=0 Recomendaciones
Cliente 14
Error=3 de fecha • Tener en cuenta que el proyecto presentado está
Éxito=1 orientado a pequeñas y grandes empresas o instituciones
Administrador 1
Error=0
6
Éxito=12 Error de validación privadas o públicas dedicadas desarrollo de softwares.
Cliente 14
Error=2
Éxito=1
de fecha
• La presente tesis está orientada a los proyectos de
Administrador 1 nuevos desarrollos, pero, así también en las etapas de
Error=0
7
Cliente 14
Éxito=13 Error de validación mantenimientos del software.
Error=1 de fecha
Éxito=1
Administrador 1
Error=0
REFERENCIAS
8
Éxito=14
Cliente 14
Error=0
[1] A. M. García Orozco, «La integración continua y su aporte al
Éxito=8
Sub
Administrador 8
Error=0 aseguramiento de la calidad en el ciclo de vida del desarrollo de
Total Éxito=77 software,» Bogotá, 2015.
Cliente 112
Error=35 [2] O. M. Berta Hinostroza, «Incorporación de la integración continua en el
Éxito=85 desarrollo de software: Caso de estudio: Organismo supervisor de la
Total 120
Error=35 inversión en energía y minería,» Piura, 2011.
147
[3] S. Fernandez, «Un marco de trabajo para el desarrollo y ejecución de [11] E. J. Chinarro Morales, «Definición e implementación del proceso de
pruebas automatizadas aplicadas al front-end de una aplicación web,» pruebas de software basado en la NTP-ISO/IEC 12207:2016 aplicado a
Valencia, 2016. una empresa consultora de software,» Lima, 2019.
[4] I. Esmite, M. Farías, N. Farias y B. Pérez, «Automatización y Gestión de [12] J. Badenas Martínez, «Incorporación de pruebas automáticas sobre
las Pruebas Funcionales Usando Herramientas Open Source,» transformaciones de modelos en el entorno de integración continua de
Montevideo, 2007. MOSKitt,» Valencia, 2019.
[5] R. Koszewski, «suite open source de automatización de pruebas de [13] M. L. Guido Saravia, «Implementación de herramientas de integración
regresión para entorno web,» Valencia, 2016. continua para gestión de código fuente en Pandora Technologies,» Lima,
[6] M. Giménez y A. Espinola, «Automatización de Pruebas para Interfaces 2018.
deAplicaciones Web,» Asuncion, 2017. [14] D. A. Esteve Ambrosio, «Implantación de un proceso de automatización
[7] A. T. Vega Llobell, «Pruebas funcionales automatizadas para de pruebas para una aplicación software,» Valencia, 2015.
aplicaciones Web: Usando Selenium para aplicar pruebas de regresión [15] A. Salamon, P. Maller, A. Boggio, N. Mira, S. Perez y F. Coenda, «La
automatizadas,» Valencia, 2018. Integración Continua Aplicada en el Desarrollo de Software en el Ámbito
[8] G. E. S. a. I. G. Trends, «https://www.shopify.com/enterprise/global- Científico – Técnico,» Cordoba.
ecommerce-statistics,» 15 04 2018. [En línea]. [Último acceso: 15 04 [16] E. Chinarro Morales, M. E. Ruiz Rivera y E. Ruiz Lizama, «Desarrollo
2018]. de un modelo de pruebas funcionales de software basada en la
[9] T. U. T. Company, «https://www.typemock.com/what-is-the-cost-of- herramienta Selenium,» 2017.
avoiding-unit-testing-and-the-cost-of-software-bugs/,» 8 5 2012. [En
línea]. [Último acceso: 10 9 2020].
[10] I. S. T. Q. B. ISQTB, «Programa de Estudio Nivel Basico,» 2018.
Breve CV del autor

Oscar Wile Mamani Alanoca es Licenciado en Informática por la Universidad Mayor de San Simón (Cochabamba, 2009).
Actualmente realiza la Maestría en Alta Gerencia en Tecnologías de la Información y las Comunicaciones e Innovación MAG-TIC
(2015-2016) en el Postgrado en Informática de la Universidad Mayor de San Andrés.
Ejerce profesionalmente como desarrollador de sistemas informáticos en Banco Central de Bolivia. Anteriormente en el Ministerio
de Economía y Finanzas Publicas.
Sus intereses investigativos son los datos abiertos, inteligencia de negocios y automatización de pruebas funcionales.
Email: oswhile@gmail.com.
148
Modelo de seguridad de la información en redes

inalámbricas de tecnologías de la información para
minimizar ataques de denegación de servicios
Paolo Cesar Ali Sánchez
La Paz - Bolivia
paolokelpie3@gmail.com
Resumen—En la actualidad los ciberataques tienen lugar en Es por eso que en el presente artículo se plantea un modelo
cualquier lugar del mundo y afectan a todo tipo de de seguridad de la información en redes inalámbricas de
infraestructuras. Todos los meses se reciben noticias de tecnologías de la información para minimizar los ataques de
ciberataques que se llevan a cabo contra grandes empresas, denegación de servicios, para el caso de estudio analizaremos
gobiernos, universidades, comercios de Internet, entre otros, y los ataques que sufren las convertido instituciones públicas de
ninguna de las soluciones comerciales disponibles parece capaz de Bolivia.
ofrecer una solución al gran problema de la denegación de
servicio. Es por ello que, con el objeto de ofrecer una adecuada
orientación frente a dichas intrusiones, se plantea un modelo de II. EL PROBLEMA DE LOS DDOS
seguridad de la información en redes inalámbricas de tecnologías Hoy en día, la información se maneja en grandes cantidades
de la información para minimizar los ataques de denegación de y de procedencias muy diversas, el valor añadido de una
servicios. empresa puede ser la información que maneja. Como capital de
la empresa cada vez es más importante mantener la seguridad de
Palabras clave—Red inalámbrica, DDoS, UDP flood, ICMP
los datos e información, pero también los riesgos cada vez son
flood, Syn flood, Connection flood, ISO 27001.
mayores. Estos riesgos se pueden ser: errores involuntarios de
personas y/o máquinas, desastres naturales, ataques voluntarios,
I. INTRODUCCIÓN siendo los ataques voluntarios los más comunes por la poca
Desde hace años los ataques a las redes de internet, seguridad que existe en las redes y más en redes inalámbricas de
especialmente aquellos conocidos como DDoS (Distributed las instituciones públicas.
Denial of Service), han sido objeto de interés, tanto académico Los problemas fundamentales que se tienen en cuenta en el
como profesional. Si bien este tipo de agresiones vienen riesgo de ataques voluntarios se clasifican en tres familias:
produciéndose desde el origen de internet, al menos hasta la
fecha no parecen existir soluciones eficientes que garanticen la • Denegación de servicio: Disponibilidad, Prohibir el
detección, mitigación y comunicación de dichos ataques. acceso a la información.
Conviene también destacar el elevado coste económico que • Observación no autorizada: Confidencialidad, acceso a
este tipo de agresiones implican, así como la variedad de información por personas no autorizadas que pueden
usuarios a los que puede ir dirigidos como, por ejemplo, utilizarla para dañar la empresa.
comercios electrónicos que verán afectados sus servicios, • Modificación no autorizada: Integridad, acceso a la
proveedores de contenidos incapaces de entregar sus contenidos información y modificación, ya sea borrado, cambio,
a los clientes o servidores que pierden la conexión con el añadiendo o sustituyendo datos.
exterior, entre otros muchos. Los aspectos mencionados, junto
con otros, convierten a Internet en un ámbito inseguro en el que III. OBJETIVOS
absolutamente ningún usuario se encuentra a salvo de este tipo El objetivo principal del modelo de seguridad de la
de ataques y de sufrir sus consecuencias. información en redes inalámbricas es minimizar los ataques de
Esta necesidad de establecer y mantener transmisiones denegación de servicios a los que está expuesto las diferentes
seguras usando canales de comunicaciones, como las redes redes de instituciones públicas y privadas.
inalámbricas ha conseguido que sea una tendencia y a su vez se Los objetivos específicos para el desarrollo del modelo son:
ha convertido en algo extremadamente complejo, sobre todo
para proteger la información contra los ataques de denegación • Identificar los ataques de denegación de servicio que
de servicios. existen en la red inalámbrica mediante algunas
herramientas de seguridad.

[N] P. Ali, «Modelo de seguridad de la información en redes inalámbricas de tecnologías de la información
para minimizar ataques de denegación de servicios», Revista PGI. Investigación, Ciencia y Tecnología
en Informática, nº 8, pp. 149-152, 2020.
149
• Estimar el estado actual de la seguridad en redes La participación activa de profesionales en seguridad

inalámbricas de tecnologías de la información. permitió identificar y solucionar vulnerabilidades a nivel de host
• Elaborar un modelo de seguridad en redes inalámbricas y aplicación, así también la implementación de herramientas
tecnologías de la información. automáticas que realizan el monitoreo continuo de los servicios
de instituciones del sector público. De los resultados predomina
• Validar los resultados después de la implementación y la configuración de seguridad incorrecta.
aplicación del modelo de seguridad de la información
para redes inalámbricas de tecnologías de la
información en relación a resultados anteriores de
ataques de denegación de servicios.
IV. ESTADO DEL ARTE
A. Principales incidentes en el mundo

Durante las últimas décadas, diferentes avances técnicos
produjeron grandes cambios en la tecnología de la información,
la cual ha girado en torno a los datos y por ende a la información;
su recopilación, almacenamiento, transmisión y presentación ha
girado en torno a la tecnología de la información [1].
Fig. 3. Vulnerabilidades atendidas al primer semestre 2018. Fuente: (Centro
El informe de Verizon para su revista denominada Data de Gestión del Incidentes Informáticos, 2018)
Breach Investigations Report del año 2018, reporta a partir de la
investigación de los incidentes contra la seguridad de la Los incidentes con alto porcentaje de atención son las
información, que la fuga de información en todo el mundo cae intrusiones que comprometen la seguridad de la información.
dentro de alguno de los siguientes patrones:
C. Motivaciones de los Ataques DDoS
Cabe mencionar que son muchas las causas que motivan la
materialización de un ataque DDoS. Sin embargo, todos ellos
cuentan con un objetivo común que consiste en la des
habilitación de servicios brindados por los sistemas y
aplicaciones expuestos en internet, de manera que el objetivo
atacado no pueda continuar prestando el servicio para el que fue
diseñado. En términos generales este tipo de ataques DDoS son
llevados a cabo tanto por organizaciones distribuidas, entre las
que se incluyen Anonymous u otras anónimas [4].
Estas compañías, organizaciones criminales, grupos de
hacktivistas, organizaciones gubernamentales (NSA, MI5) y
otros, llevan a cabo dichas agresiones con la finalidad de
Fig. 1. Principales incidentes en el mundo [2]. Fuente: (Report, 2018) interrumpir el funcionamiento de infraestructuras web, centrales
nucleares, centralitas telefónicas, servicios de pago, etc. [4]. La
Como se aprecia en la figura 1, los principales incidentes en revista de seguridad de la Universidad Nacional Autónoma de
el mundo son provocados por la denegación de servicios. México publico unas estadísticas de cuáles son las mayores
motivaciones de ataques de denegación de servicios.
B. Incidentes de seguridad en Bolivia
El último informe al primer semestre de la gestión 2018
publicado por Centro de Gestión de Incidentes Informáticos
(CGII) del Estado Plurinacional de Bolivia dependiente de la
Agencia de Gobierno Electrónico y Tecnologías de Información
y Comunicación AGETIC, despliega las estadísticas acerca de
los incidentes de seguridad [3].
Fig. 4. Principales motivaciones de incidentes de DDoS. Fuente: (Seguridad

en redes inalámbricas, 2018)
D. Modelo de Seguridad de la información

Un modelo de seguridad es la presentación formal de una
política de seguridad. El modelo debe identificar el conjunto de
Fig. 2. Cantidad de Incidentes y vulnerabilidades atendidos primer semestre reglas y prácticas que regulan cómo un sistema maneja, protege
2018. Fuente: (Centro de Gestión del Incidentes Informáticos, 2018) y distribuye información delicada [5].
150
Un modelo de seguridad de la información es un diseño • Elaborar reglas y procedimientos para cada servicio de
formal que promueve consistentes y efectivos mecanismos para la organización.
la definición e implementación de controles [6]. • Definir las acciones a emprender y elegir las personas a
De acuerdo a los autores López Barrientos y Quezada Reyes, contactar en caso de detectar una posible intrusión.
los modelos se clasifican en: • Sensibilizar a los operadores con los problemas ligados
con la seguridad.
• Abstracto: se ocupa de las entidades abstractas como
sujetos y objetos. G. Normas ISO 27001
• Concreto: traduce las entidades abstractas en entidades La información tiene una importancia fundamental para el
de un sistema real como procesos y archivos. funcionamiento y quizá incluso sea decisiva para la
supervivencia, subsistencia de las organizaciones. El hecho de
Además, los modelos sirven a tres propósitos en la seguridad disponer de la certificación según ISO 27001 ayuda a gestionar
informática: y proteger valiosos activos de información.
• Provee un sistema que ayude a comprender los La norma ISO 27001 es un estándar internacional dedicado
diferentes conceptos. Los modelos diseñados para este a la organización de la seguridad de las tecnologías de la
propósito usan diagramas. información. Establece un sistema gerencial que permite
• Provee representación de política general de seguridad minimizar el riesgo y proteger la información de amenazas
formal clara. externas o internas [8].
• Expresar la política exigida por un sistema de cómputo
específico. Actualmente es un estándar aceptado internacionalmente
para la administración de la Seguridad de la Información y se
E. Construcción de un modelo de Seguridad de la aplica a todo tipo de organizaciones, independientemente de su
información tamaño o actividad.
Un adecuado modelo de seguridad está basado en políticas Su objetivo principal es el establecimiento e implementación
sólidas de seguridad de la información, teniendo como marco de de un Sistema de Gestión de la Seguridad de la Información.
referencia las mejores prácticas internacionales tales como
ISO/IEC 27001 y ISO/IEC 27002, con el apoyo de la alta La seguridad de la información debe preservar la:
dirección y realizando una divulgación periódica y capacitación Disponibilidad: Debe estar disponible cuando se necesita;
constante a los miembros de las organizaciones referente a los Confidencialidad: La información sólo debe ser legible para los
riesgos que se expone la información y los controles necesarios autorizados; Integridad: La información sólo puede ser
para su mitigación. modificada por quien está autorizado y de manera controlada;
Autenticación: Verificar que un documento ha sido elaborado (o
Se debe contar con herramientas de protección de última pertenece) a quien el documento dice; No repudio: El uso y/o
tecnología, permanentemente actualizadas, funcionando siete modificación de la información por parte de un usuario debe ser
días a la semana, 24 horas al día y los 365 días del año irrefutable, es decir, que el usuario no puede negar la acción [9].
(7x24x365) y con un alto grado de capacidad de respuesta, y un
equipo de trabajo altamente calificado, que cuente con las H. Ataque de Denegación de Servicios (DDOS)
certificaciones de seguridad informática necesarias, disponible
7x24x365, actualizado permanentemente y con un enfoque DDoS o ataque distribuido de denegación de servicios
único y total en seguridad y administración del riesgo [7]. consiste en un grupo de sistemas comprometidos (también
conocidos como “ordenadores zombie”) que atacan a un solo
objetivo para causar una denegación de servicios a los usuarios
que sí son legítimos [10].
Fig. 5. Modelo de Seguridad. Fuente: (Nocella, 2013)
F. Políticas de Seguridad
Gómez, 2007 identifica exclusivamente para asegurar los
derechos de acceso a los datos y recursos con las herramientas
de control y mecanismos de identificación. Estos mecanismos Fig. 6. Esquema de un ataque DDoS. Fuente: (UNAM, 2012)
permiten saber que los operadores tienen sólo permisos que se Un sitio Web es como una puerta de acceso, sólo puede dar
les dio. Por eso para a elaborar una política de seguridad, servicio a un número limitado de personas al mismo tiempo, por
conviene:
151
tanto, si recibe más solicitudes de las que puede atender, el Este modelo clasifica en seis grupos las medidas y
servicio se bloquea, nada entra ni sale. contramedidas a adoptar para prevenir los ataques. Entre ellas se
incluyen las actuaciones para detección de hosts secundarios,
I. Tipos de Ataque de DDoS para la detección de víctimas indirectas, para la prevención de
potenciales ataques, para mitigación de los mismos, para su
a) Syn Flood: Es el más común de todos, este ataque se desvió y, finalmente, para su análisis forense. Esta clasificación
basa en la esencia del protocolo de conexión TCP [11]. constituye un modelo de referencia para detectar, analizar y
b) Connection Flood: La dificultad del servidor para resolver los problemas derivados de este tipo de ataques.
atender un gran número de peticiones al mismo tiempo, si un
atacante realiza 10,000 peticiones al servidor este estará VI. CONCLUSIÓN
ocupado por un período de tiempo, conforme caduquen las El presente artículo tiene por objeto introducir a cerca de un
conexiones el atacante vuelve a establecer más conexiones modelo de seguridad en redes inalámbricas para minimizar los
impidiendo así que los clientes utilicen el servicio [11]. ataques de denegación de servicios a instituciones públicas. Es
c) ICMP Flood: Este ataque también es conocido como una intención basada en el modelo de Mirkovic, compuesta por
“Ping-Pong”, como una conversación por MSN donde los tres etapas de estudio: detección, comunicación y mitigación,
encargados contestan siempre a las personas que lo solicitan, que cooperan entre sí con la finalidad de ofrecer una adecuada
entonces reciben un mensaje que dice: ¿estás? y responden: Sí, protección frente al tan habitual problema de la denegación de
y les vuelven a decir ¿estás? y responden: Sí y así continúan por servicio que tiene lugar en internet y que afecta a todo tipo de
varios minutos [11]. infraestructuras.
d) UDP Flood: Este ataque utiliza el protocolo de
REFERENCIAS
conexión UDP para enviar una gran cantidad de paquetes al
servidor utilizando muchas conexiones al mismo tiempo, [1] Druker, P. (1989). Book: The new realities. New York: Harper and Row.
ocasionando que los recursos (Memoria, Procesador) del [2] Report, 2. D. (2017, Julio 26). Verizon Media. Retrieved from
https://www.verizondigitalmedia.com/es/blog/2017/07/2017-verizon-
servidor sean insuficientes para manipular y procesar la cantidad data-breach-investigations-report/
de información, en consecuencia, el sistema se bloquea [11]. [3] Centro de Gestión del Incidentes Informáticos. (26 de Julio de 2018).
Centro de Gestión del Incidentes Informáticos. Obtenido de
V. ALTERNATIVA DE SOLUCIÓN https://www.cgii.gob.bo/es/noticias/estadistica-de-incidentes-de-
seguridad-al-primer-semestre-2018
Existen múltiples modelos de prevención y contramedidas [4] Implementación de Seguridad En Redes Inalámbricas. México D.F.
que tienen por objeto la mitigación de este tipo de ataques. En el
[5] López Barrientos, M. J., & Quezada Reyes, C. (2012). Fundamentos de
caso que nos ocupa, con la finalidad poder enfocar las diferentes seguridad informática. México.
técnicas de mitigación, podemos basarnos en el modelo de [6] Gómez Vieites, Á. (2007). Enciclopedia de la seguridad informática.
Mirkovic [12]. México.
[7] Nocella, D. (24 de Febrero de 2013). Negocios & Management. Obtenido
de http://negociosymanagement.com.ar/?p=2285
[8] ISO 27001, I. (2013). ISO/IEC 27001:2013.
[9] Santos, J. C. (2014). Seguridad y Alta Disponibilidad. España: RA-MA.
[10] UNAM, U. N. (2012). Ataque de DDOS. Seguridad TI.
[11] Caballero Gil, P. (1997). Seguridad Informática: Técnicas criptográficas.
México: Ediciones Alfaomega.
[12] Mirkovic, J., & Reiher, P. (2004). A taxonomy of ddos attack and DDoS
defense.
Fig. 7. Modelo de Mirkovic. Fuente: (Mirkovic & Reiher, 2004)
Breve CV del autor

Paolo Cesar Ali Sánchez es Licenciado en Informática por la Universidad Mayor de San Andrés (2011), Ingeniero de Sistemas por
la Universidad Salesiana de Bolivia (2010). Actualmente realiza la Maestría en Informática Forense, Seguridad de la Información y
Auditoria Informática en el Postgrado en Informática UMSA.
Email: paolokelpie3@gmail.com
152
Metodología de Investigación de Mercado que

coadyuve la Toma de Decisiones en Marketing
Político basado en herramientas de Business
Intelligence
La Paz - Bolivia
dpatriciatrino@gmail.com
Resumen—El propósito del artículo es dar a conocer los de BI a través de industrias encuestadas, con publicidad
resultados de la aplicación de una investigación de mercado, conducente a la adopción de BI a través de la
aplicado en marketing político, en el que se facilitará la toma de comercialización.
decisiones a las OP (Organización Partidaria), donde se conocerá
la percepción de los electores, utilizando las herramientas de BI Si se traslada esta idea al mercado político, puede entenderse
(Business Intelligence) en materia de política. que el marketing de las organizaciones políticas es una forma de
trabajo mediante la cual se asume que la relación con los
Palabras clave—Inteligencia de negocios, almacén de datos, electores debe ser planificada, para que exista ese intercambio y
marketing político, organización partidaria, optimización de motores se pueda obtener un doble beneficio, tanto para los electores
de búsqueda, marketing de motores de búsqueda. como para la propia Organización Política.
I. INTRODUCCIÓN Desde dicho punto de vista, se hace pertinente examinar las
relaciones entre dicho fenómeno y el concepto de comunidades
El marketing es una herramienta que aporta soluciones en
de marca, debido a su especial trascendencia para la gestión con
Business Intelligence (BI). Es importante recordar que cuando
militantes a partir de características y valores comunes. Estos
nos referimos a marketing no nos referimos exclusivamente a la
son importantes para jefes de campaña y los candidatos, porque
promoción, a pesar de ser términos que habitualmente se
justifican toda y cualquier forma de toma de decisiones en base
confunden. El marketing es mucho más que promocionar, es un
a hechos concretos, al analizar lo que funciona y lo que no en la
proceso mucho más complejo y amplio, que va desde la
población electora o mercado político, visualizando el escenario
investigación del mercado, para conocer las necesidades de los
para elaborar estrategias con mayores oportunidades de éxito.
clientes, hasta el desarrollo de productos o servicios que cubran
dichas necesidades. Por tanto, se entiende por marketing aquel Para ello, BI aportará innumerables beneficios al Marketing
proceso de planificación que busca satisfacer las necesidades y Político y Electoral1, ya que se analizan datos consolidados,
deseos de los individuos y grupos mediante el intercambio de utilizando un sistema de información basado en un modelo de
productos y servicios de valor con sus iguales. análisis multidimensional que aplique al ámbito político. Se
constituye en una importante herramienta que generará
Tomando como puntos principales los siguientes aspectos:
información muy relevante acerca de la población electora y
• La mejora de los ingresos utilizando BI es ahora el tendencias en el diseño de la campaña política, tanto en las
objetivo más popular de las empresas que lo elecciones nacionales como sub nacionales. Las informaciones
implementaron desde el año 2019. no solo serán utilizadas para poder mostrar una imagen ganadora
• Informes, cuadros de mando, la integración de datos, del partido, por el contrario, servirá como retroalimentación del
visualización avanzada, y autoservicio para el usuario Plan de Marketing Político, con el fin de que la campaña este
final, son las iniciativas de BI más estratégicas en curso, dirigida con un principal objetivo: Interpretar las necesidades de
utilizadas por las empresas de hoy. la población para proponer planes que satisfagan las mismas y
• Operaciones, Dirección Ejecutiva, Finanzas, y las lleven a la sociedad al desarrollo económico deseado.
ventas están impulsando principalmente la adopción de Las herramientas de BI, aportan beneficios al marketing
BI dentro de las empresas, hoy en día. político digital, ya que se analizan datos consolidados. Este
• Las compañías tecnológicas Los equipos de operaciones minucioso análisis de datos genera una información relevante
y ventas son los más eficaces para impulsar la adopción acerca de los electores e inclinación partidaria.
[N] P. Trino, «Metodología de Investigación de Mercado que coadyuve la Toma de Decisiones en Marketing
Político basado en herramientas de Business Intelligence», Revista PGI. Investigación, Ciencia y
1
Marketing Político y Electoral: Debe entenderse como el conjunto de técnicas de ideas, programas y actuaciones de organismos o personas determinadas que
empleadas para influir en las actitudes y en las conductas ciudadanas en favor detentan el poder, intentan mantenerlo y consolidarlo, o aspiran a conseguirlo.
153
Entre las ventajas más destacadas al utilizar la tecnología de requerimientos, tales como entrevistas, encuestas,
BI en la investigación del marketing político tenemos: grupos focales y observación directa.
2. Análisis: Se realiza un análisis entre los requerimientos
• La segmentación del mercado electoral, para poder de los usuarios del sistema y la capacidad de la
centrarse en la dirección correcta de las preferencias, infraestructura de TI.
tendencias e inclinaciones partidarias.
• Mejor optimización en los motores de búsquedas C. Diseño
gracias a los posicionamientos SEO (Search Engine Esta etapa toma como entrada el documento de definición de
Optimization) y SEM (Search Engine Marketing). requerimientos que se enfoca en la construcción del proyecto a
• Comunicación online multicanal, planificando tiempo. En esta etapa se incluye:
estrategias de información principalmente dirigida a la
población electora. • Diseño lógico y físico para el modelo de datos del Data
• BI y marketing digital son dos herramientas actualmente Warehouse
imprescindibles para para hacer un uso óptimo, correcto • Especificación detallada del modelo del proceso para
y eficiente del gran volumen de datos. ETL (Extracción, transformación y carga).
• Creación del modelo de la aplicación o herramientas de
II. MÉTODOS explotación.
• Diseño de aspectos adicionales tales como: modelos de
A. Variables
los metadatos y la seguridad.
Variable dependiente: Metodología de investigación de
mercado que coadyuve la toma de decisiones en marketing D. Construcción
político, basado en herramientas de Business Intelligence. Se construye el modelo físico de datos con base en el modelo
lógico diseñado. Esto se lleva a cabo dentro de tres etapas:
Variable independiente: Modelos de datos de cubos
multidimensionales, para disponer de la información completa, 1. Administración: donde los datos transaccionales son
confiable y oportuna. extraídos y transformados en los datos que se cargarán al
Técnicas de investigación, administración y comunicación Data Warehouse. El proceso de transformación está
empleadas en el diseño y realización estratégica de una campaña compuesto por: validación, depuración e integración:
política. • Validación: se identifican datos inválidos,
Estructura de Data Warehouse o modelo lógico perdidos, fuera de rango, y duplicados.
especializado. • Depuración: corrige los problemas de los datos
identificados en el proceso de validación mediante
Operacionalización de Variables: una recodificación.
Con la operacionalización de la variable dependiente con las • Integración: extrae de las variables de datos,
variables independientes, se relacionan las siguientes categorías significados consistentes, valores y medidas.
explicadas en los siguientes cuadros: 2. Organización: en esta etapa los datos son cargados al
• Mayor direccionamiento al marketing político. Data Warehouse. Las estructuras de datos son indexadas
y las vistas a ellos son creadas como metadatos que son
• Se ofrecerá al candidato un producto potencialmente
capturados y creados.
estratégico.
• Se mejorará la implantación del sistema de análisis de 3. Explotación: esta etapa se encarga de construir los
investigación de mercadotecnia electoral. mecanismos de acceso al Data Warehouse, la GUI
• También podrá ser empleado para dirigir una campaña (Interfaz Gráfica de Usuario), para el análisis, reportes y
publicitaria de cualquier otro producto que no sea de gráficas.
marketing político.
El entregable en esta etapa es un cubo dimensional y los
• Se elegirá el mejor modelo de marketing político mecanismos de acceso al cubo disponibles para su uso por parte
estadístico. de los usuarios finales y la unidad de TI.
• Se brindará información estadística fidedigna.
E. Pruebas finales
B. Requerimientos
Durante esta etapa un equipo de aseguramiento de calidad,
Esta etapa se lleva a cabo cuando se tomó la decisión de prueba el sistema antes de ser entregado al cliente, verificando
construir el Data Warehouse y encaminar las necesidades de alto que el sistema incluya todos los requerimientos funcionales
nivel al medio ambiente del Data Warehouse. Los basados en pruebas.
requerimientos de la investigación de mercado político y
técnicos (incluyendo la infraestructura) son reunidos durante F. Despliegue
esta etapa. Entrevistas, talleres y análisis de sistemas y Instalación, puesta en marcha, entrenamiento de usuarios,
documentos existentes pueden ser usados para reunir y uso. Algunas de las actividades de esta etapa son:
confirmar los hechos necesarios.
• Instalación inicial incluyendo las conexiones del Data
Esto se logra a través de dos sub etapas: Warehouse con las fuentes de datos, actualización y
1. Reunión de requerimientos: Donde se toma las sincronización de los datos.
necesidades de información de los jefes de campaña, a • Entrenamiento a usuarios.
través de varios métodos de recolección de
154
• Planificación e implementación de la actualización y BI como soporte a las decisiones alcanza sus niveles más
mantenimiento del Data Warehouse. altos de adopción en I+D, cuando intervienen la dirección
ejecutiva y los departamentos de Operaciones de las empresas.
G. Revisión La creciente complejidad de los productos y modelos de negocio
Durante esa etapa se realiza una evaluación del Data en las empresas de tecnología, el aumento de la dependencia de
Warehouse planteando preguntas que permitan mejorar o análisis y de BI en el comercio minorista/mayorista para
potenciar la utilización que se haga del nuevo sistema: racionalizar las cadenas de suministro y mejora en la compra de
experiencias, son factores que contribuyen a los niveles
• Seguir la etapa de construcción para evaluar el proceso crecientes de la adopción de BI en estos tres departamentos.
de implementación y aprendizaje de satisfacciones y
contratiempos. Las empresas con mayores presupuestos de BI, este año
• Otra vez, de 3 a 6 semanas después del revisar la etapa están invirtiendo en mayor medida en cuadros de mando,
de despliegue y asegurar que la transición a soportar ha informes e integración de datos. Por el contrario, aquellos con
ido sin problemas y que los usuarios tienen acceso al presupuestos más pequeños están poniendo mayor prioridad a
Data Warehouse. proyectos de datos grandes en la fuente abierta. Preparación para
el usuario final de datos, soporte colaborativo para la toma de
II. RESULTADOS ESPERADOS decisiones basada en el grupo y la planificación de la empresa.
Definición de lineamientos para el levantamiento de Marketing, Ventas y Operaciones están utilizando la mayor
información con los datos de las entidades estatales, como el variedad de herramientas de BI hoy. El estudio muestra cómo
Órgano Electoral Plurinacional y empresas autorizadas para esas operaciones y herramientas de BI se usan en sus
realizar estos estudios de Marketing Político Electoral. departamentos. Cada uno de ellos sabe cuántas y lo más
El estudio permite el análisis y desarrollo de los probable qué tipo de herramientas de BI se despliegan en sus
requerimientos funcionales y no funcionales planteados en el departamentos, con alcance a todos los sectores,
levantamiento de información para el sistema, definiendo una Investigación y Desarrollo (I+D), Business Intelligence
arquitectura para el proceso, (Extract, Transform and Load) ETL Competency Center (BICC), y los encuestados de TI son más
para la correcta obtención de los datos, administrando y propensos a informar que tienen múltiples herramientas en uso.
ejecutando los componentes que capturan los datos desde su
origen hasta llevarlos al repositorio del Datamart como una La comunicación política es el instrumento, por medio del
aplicación de Data Warehouse cual los diferentes actores políticos, periodistas y medios de
comunicación, se valen para dar a conocer sus mensajes sobre
Configuración del motor de inteligencia de negocios y del asuntos políticos y de esa manera, realizar campañas políticas
proceso ETL para la presentación de manera eficiente de datos, para captar más votantes y llegar a un sinnúmero de electores,
en un modelo de presentación amigable en entorno web que así como, para difundir logros y resultados de gobierno ya que
permita el análisis de datos y la presentación de resultados. mueven a una inmensa mayoría.
III. CONCLUSIONES REFERENCIAS
Informes, cuadros de mando, la integración de datos, [1] Gill Harjinder S. y Rao Prakash C; “Data Warehousing La integración de
visualización avanzada, y el autoservicio para las OP y jefes de Información para la mejor toma de decisiones”, Editorial Prentice Hall
campaña, son las iniciativas de BI más estratégicos en curso, en Hispano edición en español, (2006)
las empresas de hoy. Como segundo nivel hay iniciativas que [2] Reforma a Ley Electoral; “Aplicación del Artículo de la Constitución
incluyen el descubrimiento de datos, almacenamiento de datos, Política del Estado”, Ley No. 1704 de 2 de agosto de (2019)
algoritmos de minería de datos avanzados, y la narración de [3] Harjinder S. Gill y Paaarakash C. Rao, “La integración de información
para la mejor toma de decisiones Data Warehousing”, Ed. Prentice Hall,
datos. La comparación de las últimos cuatro encuestas de datos, Hispanoamericana, (2016).
el equipo de investigación soportado, en contra de informes, [4] Arend Llipa Hart; “Democracia en las Sociedades Plurales”, Editorial
conserva todos los tiempos, puntuaciones más altas como la Prisma – México, (2018).
máxima prioridad y la narración de datos, la gobernabilidad y el [5] Hirusta Medrado Gerardo; “Manual del Político Moderno” Editorial
catálogo de datos que impulsan la retención. Fundemos, (2012).
Patricia Sonia Trino Camacho es Licenciada en Informática por la Universidad Mayor de San Andrés (La Paz 1998). Especialista
en Análisis Demográfico; Diplomada en metodología la investigación, Software libre y en Organización y Administración
Pedagógica del Aula en Educación Superior. Actualmente realiza la Maestría en Alta Gerencia en Tecnologías de la Información y
las Comunicaciones e Innovación para el Desarrollo en el Postgrado en Informática UMSA.
Experiencia laboral: Consultora en Auditoría de Sistemas en Orionntics SRL, docente universitaria informática UMSA. Anteriores
Entel SA, Pro Crédito y Caja Los Andes.
Publicó “Sistemas Inteligentes Educativos” en la revista Triple III Carrera de Informática; "Guía de Metodología de la Investigación
para Ingeniería” DL Nº 4-1-90-14. Expositora en 1er Congreso Internacional del Posgrado en Informática. “Método de Evaluación
de proyectos Intervención social con DW”; Expositora “Sistemas Decisionales Bajo el Enfoque de Datawarehouse, Datamining y
Textmining” Instituto de Investigaciones en Informática; “R Software Libre Estadístico”. Sus intereses investigativos: Dashboards,
Data Warehouse, Data Mart. Email: dpatriciatrino@gmail.com.
155
Sistema de Seguridad electrónica

basada en la norma ISO 27001
Poly Lázaro Isaac Salazar Larico
La Paz - Bolivia
salazarlaricopoly@gmail.com
Resumen—El presente artículo, constituye un estudio sobre los cuales almacenan información confidencial y esta debe ser
sistemas de seguridad electrónica (Sistemas de Control de Acceso, asegurada, resguardada y limitarse para evitar exponerla a
Video-Vigilancia y Alarmas Contra Intrusión Física) los cuales personas ajenas a la utilización de la misma generando diversos
con el avance tecnológico deben alinearse a los estándares riesgos cumpliendo con los mecanismos se seguridad de la
internacionales y el uso de buenas prácticas para un buen información acorde a un análisis de riesgo elaborado de acuerdo
tratamiento de las amenazas y vulnerabilidades asociadas, a su contexto.
basados y alineados a la seguridad de la información y estándar
ISO 27001, el cual tiene una estructura robusta que ayuda, Contexto Nacional
fortalece y minimiza las brechas de los sistemas de seguridad
electrónica en entidades financieras en base al Reglamento para la A raíz de eventos de fraudes internos identificados en una
Gestión de Seguridad Física. entidad financiera, la Autoridad de Supervisión del Sistema
Financiero (ASFI), el 9 de octubre emitió la Circular II/CC-
Palabras clave—buenas prácticas, estándares, intrusión, 8188/2017 donde instruye que: “Considerando los últimos
seguridad de la información, seguridad electrónica. acontecimientos relacionados con hechos delictivos, se instruye
fortalecer la gestión de riesgo operativo y el sistema de control
I. INTRODUCCIÓN interno, a fin de incorporar medidas de prevención, detección y
La seguridad informática en las empresas es implementada respuesta”.
con el fin de asegurar la información y actualmente está vista La seguridad de la información no es sólo técnica y por tanto
como un gasto para la empresa, pero con el avance tecnológico sólo compete a los equipos, recursos humanos y sistemas
y los nuevos riesgos que vienen asociados se tiene que cambiar informáticos, procedimientos, normas, buenas prácticas entre
de visión ya que estos lineamientos de seguridad son una otros, esto conduce a descuidar aspectos tan importantes como
inversión que guardan lo esencial que es la información y que los sistemas de seguridad electrónica que realizan el control y
en base a esta ayuda bastante en la toma de decisiones para la monitoreo de las entidades y sus instalaciones acorde a un
empresa. modelo de análisis de riesgo en el contexto en el cual trabajan
La seguridad de la información se refiere al conjunto de dichos sistemas.
normas, procedimientos y mecanismos utilizados para Contento Internacional
garantizar la confidencialidad, integridad y disponibilidad en los
sistemas de procesamiento de datos y en la información utilizada En países de Latinoamérica los Ministerios de seguridad son
por personal de las organizaciones (Medina, 2006). conformados por autoridades estatales y privadas con el fin de
realizar comisiones de supervisión y/o seguridad siendo su
Bajo las consideraciones antes mencionadas es importante función principal establecer políticas estratégicas, programas,
realizar un modelo de seguridad para los sistemas de seguridad normas y procedimientos generales.
electrónica. De esta manera se podría mitigar amenazas y
vulnerabilidades bajo los lineamientos de la norma ISO 27001. Tras investigación realizada en Costa Rica el Ministerio de
Seguridad Publica conformo una comisión de seguridad privada
Falta de actualización de lineamientos en los sistemas de en el ámbito financiero, garantizando la seguridad del usuario y
seguridad electrónica basados en buenas prácticas y/o estándares de la entidad, de forma que sea ejecutada según las normas y
internacionales no permite tener el control adecuado del manejo leyes del estado, así como que velando la estandarización de
y los accesos a los sistemas de procesamiento de información, prácticas que vayan siempre hacia la mejora continua y gestión
abriendo la posibilidad de que la información manejada sea de modelos de seguridad integral.
utilizada para fines que perjudiquen a la empresa en relación en
cumplimiento normativo y gestión de incidentes adecuados. Esta comisión fue conformada por miembros de ministro de
seguridad pública, bancos privados, cooperativas, mutuales,
La seguridad electrónica en las entidades financieras son bancos del estado, empresas de seguridad, asesores legales,
encargadas del control y monitoreo de los sistemas de intrusión donde gracias al esfuerzo, dedicación y compromiso mediante
física, control de accesos y video vigilancia tanto en la la experticia y conocimiento en la materia plasmaron las mejores
infraestructura de áreas restringida y otras instalaciones los prácticas y medidas utilizadas hoy en día en ese país; con el fin

[N] P. Salazar, «Sistema de Seguridad electrónica basada en la norma ISO 27001», Revista PGI.
156
de minimizar los riesgos que se presentan a nivel de seguridad de tipo pasivo (construcciones, vallas, etc.) o activo
de información sobre los sistemas de seguridad electrónica de (dispositivos electrónicos).
todas las entidades financieras y bancarias, y con ello velar por
el cumplimiento de la Ley 8395 “Ley de Regulación de • Medios Organizativos: Todas las herramientas
Servicios de Seguridad Privados” en el país de costa Rica. utilizadas en la organización y coordinación en el uso de
recursos, como la planificación, asignación de recursos,
A. Objetivos normas de seguridad, aplicación de los medios técnicos
1) Objetivo General activos.
Determinar la contribución de un modelo de seguridad de 4) Sistemas de Seguridad electrónica

información basado en la norma ISO 27001 en las Tomando en cuenta las consideraciones anteriores podemos
vulnerabilidades de sistemas de seguridad electrónica. decir que un sistema de seguridad electrónica será la
2) Objetivos Específicos interconexión de recursos, redes y dispositivos (Medios técnicos
activos) cuyo objetivo es precautelar la integridad de las
• Determinar el estado actual de los sistemas de personas y su entorno previniéndolas de peligros y presiones
monitoreo y control de áreas físicas. externas.
• Fundamentar una propuesta para un modelo de El uso de estos recursos, dependerá (como ya se dijo) de la
seguridad de la información basada en la norma ISO características y necesidades de aquello que se va a proteger,
27001 para los sistemas de monitoreo y control de áreas considerándose el número de sitios a proteger, los riesgos
físicas restringidas. potenciales de los mismos y necesidades especiales que se
puedan presentar.
• Evaluar el modelo propuesto de seguridad de
información basada en la norma ISO 27001. Las principales funciones de un Sistema de Seguridad
Electrónica son: la detección de intrusos en el interior y exterior,
B. Marco teórico el control de accesos y tráfico (personas, paquetes,
1) Seguridad correspondencia, vehículos, bóvedas, áreas de exclusión, rack de
telecomunicaciones, etc.), la vigilancia óptica mediante
Seguridad es el conjunto de acciones enfocadas a la fotografía o circuito cerrado de televisión (CCTV) y la
protección, defensa y preservación de las personas y su entorno intercomunicación por megafonía y protección de las
frente a amenazas externas que atenten contra su integridad. comunicaciones.
De todas formas, cabe decir que la seguridad es un concepto
amplísimo, aplicable a muchas situaciones y contextos, que van
desde la tecnología hasta el derecho.
2) Electrónica
Finalizando la década de los cuarenta, la electrónica no tenía
mayor consideración que la de ser una rama secundaria de la
electricidad cuya función principal era reducir el volumen de los
elementos eléctricos tradicionales; esta concepción cambia
radicalmente al descubrirse el uso de los semiconductores, tales
materiales permitieron la creación de dispositivos (siendo el
primero el transistor) capaces de manipular la energía para el
transporte de la información.
De esta manera se concibe a la electrónica de una nueva
forma, como la ciencia que permite obtener, controlar y utilizar
información (en forma de energía eléctrica) procedente de la
naturaleza o del ser humano.
3) Arquitectura de un Sistema de Seguridad Electrónica
El concepto de seguridad es amplio y aplicable a un gran Fig. 1. Dispositivos de Seguridad Electrónica (J. M. Roca Chillida, 2017)
número de situaciones, por esta razón para alcanzar una
seguridad integral es necesario utilizar medios de diversa 5) Sistemas de control de accesos
naturaleza cuyo uso conjunto permite una mejor aproximación
al bajo riesgo. La clasificación de tales medios se muestra a La seguridad electrónica también ofrece importantes
continuación: recursos en el control de accesos a través de la instalación de
monitores. Con ellos puede controlarse el flujo de personas,
• Recursos o medios humanos: Constituidos por personal vehículos y cualquier tipo de activo en un ámbito determinado o
capacitado de seguridad pública (Policía Nacional) o en diferentes localizaciones de la misma empresa.
privada.
Habitualmente cuenta con tecnologías de control, tanto para
• Medios Técnicos: Todo recurso físico encaminado a fábricas como para edificios, sistemas de tarjeta de proximidad
mantener a la seguridad de sitios y personas, pueden ser y de lectura, control inalámbrico, sistemas biométricos de
157
reconocimiento facial o por huella digital, integración con redes Fases metodológicas
IP, cerraduras electromagnéticas, etc.
6) Sistemas de circuito cerrado de televisión
CCTV (Circuito Cerrado de Televisión) una herramienta
esencial dentro del sistema de control y vigilancia para las
empresas, que cuenta con cámaras, tanto para el interior como
para el exterior, Domos y controladores, grabadoras digitales
DVR/NVR, equipos PCI, tecnología coaxial e IP, etc.
Un apartado fundamental de la tecnología de seguridad
electrónica es la capacidad de visualizar las cámaras desde la
oficina o a través de la red desde cualquier punto y a cualquier
hora. Es clave para la tranquilidad en el entorno laboral. (Jordi
Gutiérrez, 2016).
7) Norma ISO 27001
Es una norma internacional que detalla lineamientos de
seguridad de la información, los cuales permiten implementar en
la gestión de seguridad de la información de cualquier empresa Fig. 2. Fases metodológicas (Elaboración Propia)
controles para mejorar continuamente la seguridad física y
lógica de la información, ayudando así a proteger la información Las técnicas aplicadas para la recolección de información se
de posibles robos o daños. basaron en: encuestas, entrevistas, consultas, observación
revisión de documentación entre otros.
La primera revisión se publicó en 2005 y fue desarrollada en
base a la norma británica BS 7799-2. (Kosutic, 2014) hasta En el presente trabajo de investigación tuvo como universo
llegar a su versión 2013 el cual aborda esta investigación. de estudio las entidades financieras de la Asociación de Bancos
Privados de Bolivia (ASOBAN), con autorización vigente por la
II. MÉTODOS Autoridad de Supervisión del Sistema Financiero (ASFI) en
Bolivia y que cuenten con los sistemas de seguridad electrónica
El diseño metodológico implica descripción de cómo se va a propia y que hacen un total de 7 hasta el 2020.
realizar la presente investigación, dicho de otro modo, el plan de
acción que permitirá llegar a los objetivos maximizando la La muestra de estudio tiene como como objeto de estudio se tuvo
información y reduciendo errores en los resultados. Según una entidad financiera de ASOBAN y supervisada por la
Hernández y Fernández (Hernández & Fernández, 2010), se Autoridad de Supervisión del Sistema Financiero (ASFI) siendo
define al diseño como el plan o estrategia concebida para obtener así una muestra sesgada para mejorar la investigación.
la información que se desee. Clasifican al diseño de
Investigación en experimental y no experimental. III. RESULTADOS ESPERADOS
El diseño experimental, como su nombre lo indica es una El modelo de seguridad de información desarrolla los
situación de control, en la cual se manipulan de manera controles consistentes y mecanismos efectivos para su
intencional, una o más variables independientes (causas), para implementación dirigidos a los riesgos presentes y las acciones
analizar las consecuencias de tal manipulación sobre una o más que se deben implementar para reducirlos en relación al
variables dependientes (efectos). contexto.
El diseño no experimental, se define como la investigación Los controles están alineados a la norma ISO 27002 donde
que se realiza sin manipular deliberadamente variables y en los se tiene una guía de acuerdo a los dominios de la norma 27001
que se observan los fenómenos en su ambiente natural para los cuales son:
después analizarlos. • Políticas de seguridad
En este sentido, en la presente investigación se utilizará el • Organización de la información
diseño No experimental, debido a que se desea analizar el • Seguridad de los recursos humanos
posible grado de contribución que puede tener el Modelo de
• Gestión de los activos
seguridad para sistemas de seguridad electrónica basado en la
norma ISO 27001. (variable independiente) en mitigar los • Control de accesos
riesgos en los sistemas de seguridad electrónica en entidades • Criptografía
financieras (variable dependiente). • Seguridad Física y ambiental
Método de investigación • Seguridad en las operaciones
La investigación utilizará el método hipotético-deductivo, • Transferencia de información
que consiste en hacer observaciones manipulativas y análisis, a • Adquisición de sistemas, desarrollo y mantenimiento
partir de las cuales se formulan hipótesis que serán comprobada. • Relación con los proveedores
• Gestión de incidentes
• Continuidad de negocio
158
• Cumplimiento con requerimientos legales y información para los sistemas de seguridad electrónica. De esta
contractuales manera se generará un modelo seguridad de información para el
tratamiento amenazas y vulnerabilidades en base a la norma ISO
27001 que podrá aplicarse en entidades financieras o
En base al análisis de riego y evaluación de los mismos
instituciones que trabaje con estos sistemas.
permite generar una matriz de riesgo en base al modelo
propuesto. En base a lo expuesto anteriormente se logrará alcanzar los
objetivos planteados en la investigación.
• Se identifica el estado actual de los sistemas de
monitoreo y control de áreas físicas restringidas.
• El modelo de seguridad de la información basada en la
norma ISO 27001 para los sistemas de monitoreo y
control de áreas físicas restringidas en entidades
financieras cumple con los 14 principios de la norma.
Fig. 3. Modelo seguridad de seguridad de información para sistemas de • El modelo propuesto de seguridad de información
electrónica (Elaboración propia). basada en la norma ISO 27001 permite el tratamiento de
los riesgos y vulnerabilidades minimizando
considerablemente los mismos.
REFERENCIAS
[1] OEA, «Estado de la ciberseguridad en el sector Bancario en América
Latina y el caribe,» 2018.
[2] J. Bertolin, Seguridad de la información, Redes, informática y sistemas
de información, Madrid: Paraninfo.
[3] A. Emilio, Nuevas tendencias y Otros Procesos de BI, Barcelona: Oberta
UOC Publishing, 2013.
[4] J. C. Estévez, Metodología de la investigación, La Paz,
[5] Fundación UNIR, «Unir Revista,» Fundación UNIR, 11 Diciembre 2019.
[En línea]. Available: https://www.unir.net/ingenieria/
revista/noticias/iso-27001/549204720236/. [Últ. acceso: 20 sep. 2020].
[6] I. R. Narváez Barreiros, Artist, Aplicación de la norma ISO 27001 para
la implementación de un SGSI en la fiscalía general del estado. [Art].
Universidad Católica del Ecuador, 2013.
[7] vJ. A. Angariat Leiva y C. L. Bautista Bojorques, Artists, Diseño de un
sistema de gestión de la seguridad de la información ISO27001 para la
Alcaldía de Florida Blanca y plan de acción para su implementación
Fig. 4. Matriz de riesgos seguridad electrónica (Elaboración propia). según la guía PMBOX. [Art]. Universidad Industrial de Santander, 2014.
[8] D. E. Santos Llanos, Artist, Establecimiento, implementación,
IV. CONCLUSIONES mantenimiento y mejora de un sistema de gestión de seguridad de la
información, basado en la ISO/IEC 27001:2013, para una empresa de
Con la presente investigación se podrá fortalecer los criterios consultoría de software. [Art]. Pontificia Universidad Católica del Perú,
en base al contexto descrito en el presente artículo que ayudará 2016.
relevar la información para generar un modelo de seguridad de
Breve CV del autor

Poly Lazaro Isaac Salazar Larico es Licenciado en Informática mención Ingeniera de Sistemas Informáticos por la Universidad
Mayor de San Andrés. Actualmente realiza la Maestría en Informática Forense, Seguridad de la Información y Auditoria Informática
en el Postgrado en Informática UMSA.
Tiene experiencia como Supervisor Nacional de Seguridad Electrónica.
Email: salazarlaricopoly@gmail.com.
159
Implementación de estándares HL7 para la

interoperabilidad de aplicaciones de salud
y equipos imagenológicos de Rayos X
Richart Eddy Choquetarqui Guarachi
La Paz - Bolivia
richartcge@gmail.com
Resumen—La atención médica es una prioridad en la sociedad otros sistemas. Si se dejara esta información aislada en este
actual. En las instituciones en salud la automatización y ámbito, se estaría perdiendo parte del potencial del sistema, y de
digitalización es cada día mayor. Con la adquisición de equipos de lograr una interoperabilidad eficiente esto para el tratamiento de
última tecnología para estudios imagenológicos de Rayos X, una determinada enfermedad [3].
permitió que se obtengan imágenes de alta calidad en formato
digital, lo que trajo consigo el estudio de protocolos y estándares En este sentido, el objetivo del presente trabajo es proponer
de interoperabilidad que facilitan el intercambio electrónico de la implementación de estándares HL7, FHIR y DICOM para la
información clínica, así como el manejo de imágenes entre interoperabilidad de aplicaciones de salud y equipos
distintas plataformas tecnológicas que es el principal problema al imagenológicos de Rayos X, con el propósito homogenizar el
momento de compartir información médica. Es por ello, que el proceso de emisión del informe médico.
presente trabajo tiene como objetivo implementar los estándares
HL71, FHIR2 y DICOM3 para la interoperabilidad de aplicaciones II. PROBLEMÁTICA
de salud y equipos imagenológicos de Rayos X, con el propósito
homogenizar el proceso de emisión del informe médico. A. Planteamiento del problema
En el Estado Plurinacional de Bolivia con la adquisición de
Palabras clave—Interoperabilidad, HL7, FHIR, DICOM, equipos de alta tecnología para el diagnóstico por imágenes,
Estudios imagenologicos, Rayos X, Informe médico. como la radiografía, la tomografía computarizada, la resonancia
magnética que utilizan Rayos X, se observa la necesidad de un
I. INTRODUCCIÓN estándar que regule como se comunican los dispositivos y
En el siglo XXI es innegable el uso de Tecnologías de sistemas que interactúan para la generación, el almacenamiento
Información y Comunicación en diferentes áreas del y la consulta de imágenes clínicas, No obstante esa problemática
conocimiento humano. En particular en el área de la salud, se ha no es nueva; los hospitales y seguros a corto plazo optaban por
convertido en una herramienta para poder brindar mejor comprar equipos de la misma marca, o realizar desarrollos a
atención médica a la población en los diferentes centros de medida para poder intercambiar información con los equipos
salud. Estos avances se han conseguido gracias a la iteración que adquirían. Además, solo los fabricantes brindaban este tipo
entre profesionales que provienen del área de ciencias de la de desarrollo ya que tienen licencias propietarias para los
computación y su aplicación en salud y profesionales médicos formatos de los datos que capturan estos equipos [3].
de distintas especialidades [1].
Existen diferentes métodos para la realización del informe
La adquisición de equipos de última tecnología por los imagenológico, dependiendo del nivel de informatización de la
centros de salud para estudios imagenológicos, permitió que se institución hospitalaria. Hay hospitales en los cuales la
realicen imágenes de alta calidad en formato digital, lo que trajo elaboración del informe se realiza en papel, en este caso existe
consigo el estudio de protocolos y estándares de el riesgo perder el expediente completo, especialmente en los
interoperabilidad entre Sistemas de Información Médico HIS4 y casos cuando este debe transportarse junto con el paciente de un
equipos médicos que proporcionan al médico la información centro de atención de salud a otro [2].
necesaria para hacer diagnóstico de la enfermedad del paciente
El método conocido como Grabación-Transcripción, el
y así valorar su respuesta a un tratamiento [2].
especialista dicta a un grabador al mismo tiempo que está
El interés del presente trabajo surge de la necesidad de hacer visualizando las imágenes. Luego estas grabaciones son
accesible la información generada de los estudios de Rayos X5 a transcritas para revisión y aprobación [2].

[N] R. Choquetarqui, «Implementación de estándares HL7 para la interoperabilidad de aplicaciones de salud
y equipos imagenológicos de Rayos X», Revista PGI. Investigación, Ciencia y Tecnología en
1 4
Hl7: Del ingles Health Level Seven Hl7: Del ingles Health Information Systems
2
FHIR: Del ingles Fast Healthcare Interoperability Resources 5
Rayos X: Un tipo radiación electromagnética
3
DICOM: Del ingles Digital Imaging and Communication On Medicine
160
También se pueden realizar informes estructurados, que se IV. ESTÁNDARES DE INTEROPERABILIDAD

trata de un método de reporte directo que reemplaza los procesos
de dictado y trascripción para documentar la interpretación de la A. HL7 (Health Level Seven)
imagen médica. Estos sistemas combinan la utilización de Es una organización sin fines de lucro que desarrolla
macros y plantillas previamente confeccionadas [2]. estándares para minimizan las incompatibilidades entre sistemas
de información en salud, permitiendo la interacción y el
La no estandarización de los informes es el principal intercambio productivo de datos entre aplicaciones
problema que presentan estos métodos, pues cada radiólogo heterogéneas, independientemente de su plataforma tecnológica
tiene su propia organización para los mismos, estilo de lenguaje o de su lenguaje de desarrollo [6].
y uso del vocabulario. Esto incide en las decisiones y en los
procesos de diagnóstico, tratamiento, auditoria, historia clínica Se trata de una iniciativa que comenzó en 1987, en base a la
y seguimiento de pacientes; se genera una ineficiencia general necesidad de normalizar las interfaces entre los múltiples
en el uso de los recursos de los pacientes y, por otra parte, se sistemas heterogéneos de información, y rápidamente se
afecta la calidad en la prestación de los servicios de salud. convirtió en el estándar de facto para el intercambio electrónico
Incluso, aún las organizaciones que cuentan con imágenes de datos clínicos y administrativos en los servicios de salud de
radiográficas de Rayos X, no pueden compartirlas con otras los Estados Unidos. La amplia difusión de los estándares
entidades de salud. desarrollados, dio origen en los últimos años a filiales
internacionales (Canadá, Australia, China, Finlandia, Alemania,
B. Formulación del problema de investigación India, Japón, Corea, Holanda, Nueva Zelandia, Sudáfrica, Reino
¿Cómo implementar estándares HL7, FHIR y DICOM en el Unido, Argentina, Brasil, para mencionar solo algunos), y a un
proceso de emisión del informe médico de Rayos X, si se realiza comité internacional, que permite armonizar y discutir las
la interoperabilidad entre aplicaciones de salud y equipos necesidades locales de adaptar los estándares en distintas partes
médicos imagenológicos? del mundo [6].
C. Planteamiento del objetivo B. Digital Imaging and Communications in Medicine DICOM
Implementar estándares HL7, FHIR y DICOM para la Nació en el año 1983, ACR (ACR American Association of
interoperabilidad de aplicaciones de salud y equipos Radiology) y la NEMA (Asociación Nacional de Fabricantes de
imagenológicos de Rayos X, con el fin homogenizar el proceso Material Eléctrico) formaron un comité conjunto en el que se
de emisión del informe médico. desarrollaría un estándar en el que se promovería el intercambio
de información sobre imágenes digitales entre los distintos
D. Planteamiento de objetivos específicos
fabricantes y con el que se facilitara el desarrollo y expansión de
• Modelar los procesos concernientes para la presentación los archivos de imágenes y sus sistemas de comunicación [7].
de informes médicos de Rayos X.
DICOM es un estándar en comunicación e imágenes en
• Desarrollar un modelo de implementación para la medicina, que facilita el manejo de información médica entre
interoperabilidad de imágenes digitales Rayos X, en hospitales y centros de investigación. La gran importancia de
base a los estándares HL7 FHIR y DICOM. este estándar es que da la posibilidad de interconectar sistemas
• Desarrollar un servicio que, a partir de una definición informáticos de diferentes fabricantes y hace posible la
del mapeo entre los recursos HL7 FHIR. comunicación entre ellos; en un hospital donde los aparatos
• Implementar una solución considerando los estándares médicos son de muchas marcas diferentes debido a la
HL7 FHIR y DICOM. especialización [8].
C. Fast Health Interoperability Resources FHIR
III. RAYOS X
A raíz de la escasa adopción de HL7 V3 debido al alto coste
Los Rayos X son una forma de radiación electromagnética y dificultad de implementación en los sistemas de información
al igual que la luz visible, pero con algunas características sanitarios en 2011 HL7 Internacional decidió dar un giro en lo
diferentes. La diferencia importante es que los Rayos X pueden que se refiere a su catálogo de estándares. HL7 Internacional
penetrar o pasar a través del cuerpo humano y producir imágenes decidió crear FHIR que trata de coger lo mejor de cada estándar
proyectando la sombra de ciertas estructuras, tales como huesos, vigente en HL7 Internacional (focalizándose en v2, v3 y CDA6
algunos órganos y signos de enfermedad o lesión como se R2) y aplicarles los correspondientes estándares web modernos
muestra Figura 3. Otra característica de los Rayos X que la (basándose en servicios REST), con tal de adaptarse a la realidad
diferencia de la luz es que transportan una cantidad mayor de tecnológica actual [9].
energía y depositan una parte de la misma en el interior del
cuerpo al atravesarlo [4].
Fig. 2. Evolución HL7 FHIR [9].

Fig. 1. Estructura General de Interoperabilidad. Fuente: [5]
6
CDA: Del inglés (Clinical Document Architecture)
161
V. MÉTODOS
Capacitar al personal involucrado en la

PASO 2
A. Análisis y diseño de la implementación Definir los procesos por los cuáles se comenzará la
implementación del enfoque BPMS
En el análisis y diseño de la implementación se trabajó en
implementación BMP
tres aspectos importantes propuestos. PASO 3
Analizar y seleccionar herramientas BPMS
• Primero, en el modelado BPMS de los procesos que
PASO 1
involucra a la consulta de Rayos X. Esto desde punto de
vista de consulta externa y hospitalización, esto para PASO 4
Implementar proceso de negocio en la BPMS
gestionar los procesos de forma integrada y para una seleccionada
mejora continua.
• Como segundo punto se analizó la integración de HIS PASO 5
con los recursos FHIR. Esto para estandarizar el informe Optimizar proceso de negocio
de Rayos X y para que la información este distribuida.
• Finalmente revisaremos la integración con el servidor de Fig. 4. Guía práctica para la implementación enfoque BPM [10]
imágenes de Rayos X, PACS 7 , WADO 8 y HIS esto a
través de los servicios API REST9. C. Integración del HIS con los recursos FHIR.
Equipo de En el diseño del modelo de objetos de información para el
Rayos X servicio Web, primero modelaremos los objetos de información
del HIS que se quiere compartir hacia afuera del sistema [11].
WADO
Luego ya con los objetos de información identificados, es
necesario estudiar la base de datos del sistema, así como su
estructura, y modelar estos objetos, identificando los campos
que han de tener y su relación con las tablas de la base de datos
PACS del sistema [11].
Examen de
Rayos X
SERVICIOS API REST
Base de Datos
HIS
HIS
Fig. 3. Estructura General de Interoperabilidad.
B. Modelado de las BPM Fig. 5. Diseño Servicio Web para el Acceso a Información Sanitaria [11].
La metodología consiste en comprender y modelar el
proceso requerido BPM10, identificando el conjunto mínimo de • En la identificación de los modelos de información se
datos con la información a interoperar, su significado semántico analizó cómo interactúan los actores como ser pacientes
y sintáctico, resolviendo conflictos en algunos datos y y los profesionales médicos, para dicho cometido
especificando la solución con el estándar adecuado para usaremos los diagramas casos de uso para identificar la
desarrollar un sistema a informático de la solución especificada. relación entre actores y su comportamiento mediante la
El modelado y la selección del estándar de interoperabilidad son iteración con los usuarios u otros sistemas. Se utiliza los
variables claves que influyen en las características de la diagramas de secuencia para describir el comportamiento
implementación para obtener resultados satisfactorios. El e interacción entre objetos.
primero proporciona una mirada global del proceso y el segundo • Modelado de los objetos de información FHIR. Una
la compatibilidad con tecnologías web vigentes y con la vez identificados los objetos de información que se
información clínica que se desea transmitir. intercambiara con el resto de sistemas, hay que
A continuación, se describen una serie de pasos que modelarlos, indicando los atributos que lo forman e
constituyen una propuesta de Guía práctica para la introducción identificándolos con campos de la base de datos de donde
e implementación del enfoque BPM en una organización. se recogerá la información [11]
Se debe entender la Base de Datos del sistema HIS, su
funcionamiento de la interfaz esto con el fin de realizar el
modelado objetos. Para que posteriormente modelar dichos
7 9
PACS: Sistema de almacenamiento de imágenes médicas. API REST: Protocolo intercambio de datos normalmente JSON o XML
8 10
WADO: Visor de imágenes médicas. BPM: Gerencia de Procesos de Negocios.
162
objetos en los recursos FHIR esto a través del mapeo de

atributos.
• Definición de los métodos de acceso a la información
Luego de modelar los recursos hay que definir los
métodos que va tener el servicio API REST. También se
utilizó la herramienta FHIR .NET API para desarrollar
servicios APIREST.
D. Integración con el servidor de imágenes de Rayos X, y HIS
y PACS.
Al contar con un sistema HIS la pregunta que surge es como
vamos integrar los distintos componentes HIS Y PACS.
La respuesta es que la integración será la realizara con una
un WADO que es un protocolo definido por DICOM para
recuperar imágenes médicas.
Fig. 8. Mapeo Objeto a FHIR

Fig. 6. Integración HIS - WADO [12].
Finalmente se realizó la integración del PACS con el HIS a
VI. RESULTADOS través del WADO Oviyam, que es un visor DICOM basado en
la Web.
El estudio análisis del modelo de datos de Rayos X, se utilizó
el análisis realizado previamente, sobre los procesos de consulta VII. DISCUSIÓN
médica de Rayos X y hospitalización con el objetivo de Los estándares de interoperabilidad en salud a utilizar en
determinar la información mínima que tiene que tener los cada país dependen mucho de las políticas de gobierno. En
objetos del HIS. Latino América existen países que avanzaron en la aplicación de
En el siguiente diagrama, vemos las relaciones existentes interoperabilidad en salud a través de HL7.
entre los objetos. Por simplicidad, sólo se incluyó los atributos El desarrollo de capítulos locales presentes en más de 50
básicos que deben tener dichos objetos. países HL7 internacional promueve el correcto uso de distintos
estándares existentes, educando, informando y apoyando a los
usuarios en sus necesidades. En América Sur los países que
cuentan con capítulos HL7 son Argentina, Chile y Brasil.
Es el caso de la Argentina donde existe una legislación para
el manejo de la interoperabilidad y es promovida a través, de
jornadas de capacitación organizada por el Ministerio de Salud
de Argentina y está dirigida todas las entidades de involucradas
en el ámbito de salud y personas interesadas en el manejo de
estándares de interoperabilidad. Argentina es el primer país en
Latino América en contar con un Capítulo HL7 en su país.
En Chile se constituyó una comunión de interés en torno al
manejo de estándares, formado por varias entidades
relacionadas al ámbito de salud dentro del país. Posteriormente
se consiguió la afiliación a HL7 internacional, conformando el
capítulo de Chile de HL7 el 2019.
Fig. 7. Diagrama Clases HIS.
En el ámbito internacional existe varios proyectos y estudios
Se mapea los objetos encontrados en el HIS contra los realizados en Norte América, Asia, Europa y Sud América. En
recursos FHIR para luego ser utilizados por los servicios API el aspecto de interoperabilidad entre aplicaciones de salud y
REST. equipos imagenológicos utilizando de HL7 FHIR y DICOM. No
existen muchas implementaciones debido a que FHIR es un
163
estándar relativamente nuevo en comparación de estándares [5] Depósito de Fotos, «Deposito de Fotos,» 20 10 2019. [En línea].
como CDA, openEHR11 y la ISO1360612. Available: https://sp.depositphotos.com/11802437/stock-photo-x-ray-
image-of-human.html.
En el Estado Plurinacional de Bolivia no está normado el uso [6] Asociación Civil HL7 Argentina, «HL7 Argentina,» 01 01 2016. [En
de estándares en salud para el manejo de la historia clínica e línea]. Available: http://www.hl7.org.ar/index.php/que-es-hl7.
imágenes para el apoyo del diagnóstico médico. La entidad [7] Apuntes Electromedicina, «Apuntes Electromedicina,» 9 diciembre
encargada de realizar dicha normativa e impulsar en uso de 2018. [En línea]. Available: https://www.pardell.es/dicom-.html.
estándares en salud debe ser el Ministerios de Salud como los [8] F. Balleteros Herranz, «Desarrollo de aplicaciones DICOM para la
hacen en otros países de América del Sur. gestión de imágenes biomédica,» de Desarrollo de aplicaciones
DICOM para la gestión de imágenes biomédica, España, 2013, p. 1.
En el caso de Bolivia para iniciar el uso de estándares de [9] HL7, «HL7 España,» 06 06 2019. [En línea]. Available:
interoperabilidad en salud la pregunta de rigor seria: http://www.hl7spain.org/taller-fhir/.
¿Qué estándares para interoperabilidad debería adoptar [10] p. Viamosntes, «COnvecion científica,» 01 01 2010. [En línea].
Bolivia? Available:
http://ccia.cujae.edu.cu/index.php/siia/siia2010/paper/download/747/3
5. [Último acceso: 15 10 2019].
REFERENCIAS
[11] Pedrera, «Servicio web para el acceso a información sanitaria de
pacientes renales,» 01 01 2016. [En línea]. Available:
[1] P. Alvarez, Ética, seguridad y legislación de los sistemas de http://bibing.us.es/proyectos/abreproy/90687/fichero/MiguelPedreraJi
información en salud, Buenos Aires, 2018. menezTFG.pdf. [Último acceso: 15 10 2019].
[2] Á. González, «Implementación de estándares DICOM SR y HL7 CDA [12] DICOM, «DICOM,» 15 10 2019. [En línea]. Available:
para la creación y edición de informes de estudios imagenológicos,» https://www.dicomstandard.org/dicomweb/retrieve-wado-rs-and-
Revista Cubana de Informática Médica, p. 15, 2015. wado-uri/. [Último acceso: 15 10 2019].
[3] K. Campos, Principios de interoperabilidad en salud y estándares,
Buenos Aires, 2018.
[4] I. Raudales, «Diagnostico Imágenes,» 2019, p. 1, 24.
Breve CV del autor

Richart Eddy Choquetarqui Guarachi es Licenciado en Informática (La Paz 2006). Actualmente realiza la maestría de Gerencia
Estratégica de Sistemas de Información GETSI en el Postgrado en Informática de la Universidad Mayor de San Andrés.
Ejerce profesionalmente como Analista Sistemas en Salud en la Caja de Salud de la Banca Privada desde 2008.
Email: richartcge@gmail.com.
11 12
openEHR: Es un estándar abierto que describe la administración y ISO13606: Estándar europeo para el manejo de historias clínicas.
almacenamiento de información sanitaria.
164
Diseño de la Infraestructura del Centro de

Procesamiento de Datos del Centro de Datos en la
Organización de Servicio de Control Migratorio
basado en la Norma ANSI/TIA-942-2005
Roger Efrain Martinez Gonzales
La Paz - Bolivia
martinezroger248@gmail.com
Resumen—El presente documento tiene como objetivo, presente gestión, en los cuales se priorizan la implementación de
proporcionar información de los factores que se deben tomar en la seguridad de la información e informática basándose
cuenta para Normalizar el Centro de Procesamiento de Datos del primordialmente en la integridad, disponibilidad y
servicio de control migratorio basado en el estándar ANSI/TIA- confidencialidad de cada sistemas y servicios que ofrece al
942-2005 a nivel TIER II, con el fin de mejorar la disponibilidad público o en cada convenio realizado para el control migratorio
de los servicios que ofrece como preservar la disponibilidad de los y emisión de pasaportes electrónicos.
activos de información que se encuentran en producción.
Cabe destacar que a través del sostenimiento, innovación e
Palabras clave—ANSI/TIA-942-2005, Telcordia GR- 63-CORE, implementación de nueva tecnología a esta institución pública
ANSI/TIA/EIA-606-A, seguridad de la información, infraestructura beneficiara a nivel nacional mejorando la relación entre las los
de red. bolivianos y el gobierno.
I. INTRODUCCIÓN Por lo mencionado, es necesario normalizar tomando como
El Centro de Procesamiento de Datos - CPD alberga todos base el estándar ANSI/TIA-942, donde establece características
los sistemas de información, como todos los equipos de y niveles de redundancia que deben tener cada Tier1 en sus
comunicación y los sistemas de almacenamiento donde incluyen cuatro niveles:
fuentes de alimentación redundante o de respaldo, los mismos, El concepto de Tier nos indica el nivel de fiabilidad de un
tienen la necesidad de implementar un ambiente controlado centro de datos asociados a cuatro niveles de disponibilidad
adecuado que garantice una recuperación ante desastres definidos. A mayor número en el Tier, mayor disponibilidad. A
tecnológicos ya se han por factor humano u otro. día de hoy se han definido cuatro Tier diferentes, y ordenados
Implementando un sistema de detección temprana de de menor a mayor son [1].
incendios, con un grupo electrógeno y tableros de transferencia
de energía, un sistema de UPS para los servidores que alojan
sistemas críticos. Todo esto con el objetivo de permitir que los
servidores que se encuentran alojados tengan un mayor nivel de
rendimiento con la máxima disponibilidad del sistema durante
los 365 días del año, en este sentido, el CPD constituye el núcleo
tecnológico de toda la infraestructura de las Tecnologías de
Información - IT, siendo así el activo de información más
importante de la institución, por lo que, resulta vital comprender
y re diseñar el mismo como una unidad integral, y no como un
conjunto de partes aisladas.
En la actualidad la organización de servicio de control Fig. 1. Niveles de fiabilidad de un centro de datos [1]
migratorio, ha estado en constante cambio en su infraestructura
y en la adquisición Equipos Informáticos alojados en el CPD, No solo tiene que tomar en cuenta con su construcción,
esto debido a los convenios interinstitucionales y la hardware, software o telecomunicaciones. Si no más bien una
centralización de información que se están realizando en la serie de lineamientos que se deben de cumplir para obtener un

[N] R. Martinez, «Diseño de la Infraestructura del Centro de Procesamiento de Datos del Centro de Datos en
la Organización de Servicio de Control Migratorio basado en la Norma ANSI/TIA-942-2005», Revista
PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 165-172, 2020.
1
TIER: Porcentaje en Disponibilidad
165
grado de disponibilidad en los diferentes subsistemas que son lógicas son posibles y pueden ser en forma de anillo o de
Telecomunicaciones, Arquitectura, Eléctrica, Mecánica. topología de malla superpuestos en la configuración estrella.
“La norma TIA 942, Telecommunications Infrastructure Un servicio de nivel 2 aborda la vulnerabilidad de los
Standard for Data Centers, es un estándar publicado por la servicios de telecomunicaciones entrar en el edificio. Un
Telecomunications Industry Association (TIA) en abril de 2005, servicio de nivel 2 deben tener dos orificios de mantenimiento
y se divide en 8 puntos y 9 anexos. El propósito de esta norma de propiedad del cliente y vías de acceso a las instalaciones. Las
es recoger una serie de guías y pautas para el diseño y dos vías de acceso redundante será terminado dentro de una sala
construcción de CPD” [2]. de entrada. La separación física de las vías desde el
mantenimiento redundante orificios en la sala de entrada se
recomienda un mínimo de 20 m (66 pies) a lo largo de todo el
camino recorrido. Las vías de acceso son recomendadas para
entrar en los extremos opuestos de la sala de entrada. No es
recomendable que las vías de acceso redundante al entrar en la
instalación en la misma área que esto no va a proporcionar la
separación recomendada a lo largo de toda la ruta.
Todos los cables de conexión y los puentes deben ser
rotulados en ambos extremos del cable con el nombre de la
conexión en ambos extremos del cable para un centro de datos
para ser clasificado de nivel 2.
Algunos de los posibles puntos de fallo únicos de una
instalación de nivel 2 son:
• El equipo del proveedor de acceso ubicado en la sala de
Fig. 2. División de Infraestructura soporte de un data center
entrada conectado a la misma distribución eléctrica y
en cuatro subsistemas [3, p. 2]
apoyado por solo componentes o sistemas HVAC5.
II. ESTUDIO DE LA NORMA TIA 942 – TIER I • Redundancia de hardware de enrutamiento y
COMPONENTES REDUNDANTES conmutación central situado en la principal área de
distribución eléctrico conectado a la misma distribución
En su anexo G Niveles de infraestructura de CPD del y apoyado por solo componentes o sistemas HVAC.
estándar TIA-942, nos indica que para un centro de datos Tier II • Distribución redundante hardware de cambio situado en
Componentes redundantes: Un centro de datos de nivel 2 tiene la zona de distribución horizontal conectado a la misma
componentes redundantes, pero sólo una sola ruta. Tiene una distribución eléctrica y apoyado por solo componentes
ruta única para la distribución de la potencia y la refrigeración, o sistemas HVAC.
pero tiene componentes redundantes en esta ruta de distribución. • Cualquier evento catastrófico en la entrada principal de
Tier 2 instalaciones con componentes redundantes son la sala o área de distribución pueden interrumpir todos
ligeramente menos susceptibles a interrupciones planificadas y los servicios de telecomunicaciones para el centro de
no tanto de la actividad de un centro de datos de nivel básico 1. datos [4, p. Anexo G.3.1.2]
La UPS y motores generadores de capacidad de diseño es B. Arquitectura
"Necesitan más uno" (N+1), que tiene una única ruta de
distribución roscados en todo. Mantenimiento de la ruta crítica Tier 2 instalaciones deben cumplir todos los requisitos de
de energía y otras partes de la infraestructura requerirá de un Tier 1. Además, las instalaciones de nivel 2 deben cumplir los
proceso de apagado [4, p. Anexo G.2.9.3] otros requisitos especificados en el anexo del estándar TIA 942.
Un centro de datos de nivel 2 incluye otras protecciones
A. Telecomunicaciones mínimas contra eventos físicos, ya sea intencional o accidental,
La infraestructura de telecomunicaciones debe cumplir con naturales o hechos por el hombre, lo que podría causar la falla
los requisitos de Tier 1 - ANSI/TIA/EIA-606-A. del centro de datos.
Crítica de equipos de telecomunicaciones, equipos de Barrera de vapor debe ser proporcionada para las paredes y
aprovisionamiento del proveedor de acceso, producción routers, el techo de la sala de ordenadores para asegurar los equipos
switches LAN 2 de producción, y la producción de switches mecánicos puede mantener los límites de humidificación.
SAN 3 , debe tener componentes redundantes (fuentes de Todas las puertas de seguridad deberían ser de madera
alimentación, procesadores). maciza con monturas de metal. Las puertas para el equipo de
Intra-data center LAN y SAN cableado backbone de seguridad y salas de observación también deberían estar
interruptores en las áreas de distribución horizontal para provistos con peepholes 6 180 grados. Todos los muros de
switches backbone4 en el área principal de distribución debería seguridad deben estar lleno de altura (de piso a techo). Además,
tener fibra redundante o pares de hilos dentro del conjunto de las paredes de los equipos de seguridad y supervisión de las
configuración de estrella. Las conexiones redundantes pueden habitaciones deben ser endurecidos por la instalación de no
estar en el mismo o distinto cable sheathes. Configuraciones
2 5
LAN: Red de área local HVAC: Calefacción, ventilación y aire
3 6
SAN: Red de Área de Almacenamiento PEPHOLES: Mirillas
4
BACKBONE: Se refiere a las principales conexiones troncales
166
menos de 16 mm (5/8") de madera contrachapada para el interior D. Mecánico

de la habitación con adhesivo y tornillos cada 300 mm (12 in). El sistema de HVAC de una instalación de nivel 2 incluye
Carga mínima para equipos zonas debería ser 8,4 kPa7 (175 Varias unidades de aire acondicionado con la combinación de la
lb/ft2) live carga con 1,2 kPa (25 lb/ft2) para cargas que cuelgan capacidad de refrigeración para mantener espacios críticos de
de la parte inferior de la planta. [4, p. G.4.2.2 Tier 2 temperatura y humedad relativa en las condiciones de diseño,
(Arquitectura)] con una unidad redundante (N+1).
C. Eléctrico Si estas unidades de aire acondicionado son servidas por un
sistema de abastecimiento de agua, los componentes de estos
Tier 2 instalaciones deben cumplir todos los requisitos de sistemas son igualmente el tamaño adecuado para mantener las
Tier 1. Además, las instalaciones de nivel 2 deben cumplir los condiciones de diseño, con una unidad redundante(s). El sistema
otros requisitos especificados en este anexo del estándar. de tuberías o sistemas son el único camino, según la cual un
Nivel 2 proporciona instalaciones para módulos UPS fracaso o de mantenimiento para una sección de tubo provocará
redundante N+1. Un generador de tamaño del sistema para la interrupción parcial o total del sistema de aire acondicionado.
manejar todas las cargas del centro de datos es necesario, aunque Sistemas de aire acondicionado deben estar diseñados para
grupos electrógenos redundantes no son necesarios. No se funcionamiento continuo 7 días/24 horas/365 días/año, e
necesita redundancia en la entrada de servicio de utilidad o incorporar un mínimo de redundancia N+1 en el equipo de aire
sistema de distribución de energía. Disposiciones para conectar acondicionado de la sala (CRAC8) unidades.
portátiles de bancos de carga debe ser proporcionada por
generador y pruebas de UPS. La sala de computadoras, aparatos de aire acondicionado
(CRAC) debería instalarse un sistema con redundancia N+1, con
Las unidades de distribución de alimentación (PDU) debe un mínimo de una unidad redundante para cada tres o cuatro
utilizarse para distribuir energía a las cargas electrónicas unidades requeridas. Las salas de informática y otros espacios
críticas. Placas de panel o PDU "sidecares" puede ser asociados deben ser mantenido a una presión positiva a las
subalimentadas desde PDUs donde los circuitos adicionales son habitaciones ajenas al centro de datos, así como a la intemperie.
necesarios. Dos PDU redundantes, cada preferiblemente
alimentado desde un sistema UPS separados, debe ser siempre Todos los equipos de aire acondicionado deben ser
servir a cada equipo rack; solo cable y cable de tres equipos alimentado por el sistema generador de reserva. Los circuitos de
informáticos deben contar con un rápido montaje en rack- alimentación de los equipos de aire acondicionado deben
transfer switch o interruptor estático alimentados desde cada repartirse entre un número de paneles de alimentación/tableros
PDU. Alternativamente, dual-fed-interruptor estático PDU de distribución para minimizar los efectos de los fallos del
alimentados por separado se pueden suministrar sistemas de sistema eléctrico en el sistema de aire acondicionado.
UPS para un solo cable y cable de tres equipos, aunque este
acuerdo ofrece algo menos redundancia y flexibilidad. Código Los sistemas de control de temperatura deben ser alimentado
de colores de placas y cables alimentadores para diferenciar A y a través de circuitos dedicados redundantes de la UPS.
B la distribución debe ser considerado, por ejemplo, todo el lado El suministro de aire para el centro de datos debe coordinarse
blanco, todos B-side azul. con los tipos y diseños de los bastidores de servidor para
Un circuito no debe servir más de un bastidor para evitar una instalarse. La planta de tratamiento de aire debe tener suficiente
avería del circuito afecte a más de un rack. Para proporcionar capacidad para admitir la carga de calor total proyectado de
redundancia, racks y armarios deben tener cada uno dos equipos, la iluminación, el entorno, etc., y mantener los niveles
dedicados de 20 amperios a 120 voltios de circuitos eléctricos de humedad relativa constante dentro del centro de datos la
alimentados por dos diferentes unidades de distribución de capacidad de refrigeración necesaria debe ser calculado
alimentación (PDU) o los paneles eléctricos. Para la mayoría de basándose en el kW (no kVA) suministro disponible en el
las instalaciones, los receptáculos eléctricos debe ser el bloqueo sistema de UPS.
NEMA L5-20R recipientes. Ampacities superior puede ser El aire acondicionado debe ser distribuido a los equipos a
necesario para racks de alta densidad, y algunos de los nuevos través de la planta de acceso espacio a través de los tableros
servidores de tecnología posiblemente puede requerir uno o más perforados de piso con amortiguadores de equilibrio.
o trifásica de 208 voltios 50 amperios nominal para recipientes
o más. Cada recipiente deberá estar identificado con la PDU y el Un generador diésel sistema debe estar instalado para
número de circuito, que sirve. Alimentador redundante para el proporcionar energía al sistema de alimentación ininterrumpida
sistema mecánico de la placa de distribución es recomendable y equipos mecánicos. Los depósitos de almacenamiento de
pero no obligatorio. combustible del emplazamiento deben estar dimensionado para
proporcionar un mínimo de 24 horas de funcionamiento del
La construcción de sistemas de puesta a tierra debe estar generador en el diseño la condición de carga. Sistemas de
diseñado y probado para proporcionar una impedancia a tierra bombeo Duplex debe contar con un control automático y
es de menos de 5 oh. Una red debe estar pegado común (véase manual, con cada bomba alimentada desde diferentes fuentes
la sub cláusula G.5.1.6 [4]). Un apagado de emergencia (EPO) eléctricas. La redundancia y el aislamiento debe ser
el sistema debe ser proporcionada. [4, p. G.5.2.2 Tier 2 proporcionada en el sistema de almacenamiento de combustible
(eléctrico)] para garantizar que la contaminación del sistema de combustible
o una falla en el sistema de combustible mecánico no afectan a
todo el sistema del generador. [4, p. G.6.2.2 (mecanico)]
7 8
kPa: Kilopascal CRAC: Airea a condicionados a Precisión
167
III. ÁMBITO IV. RELEVAMIENTO DEL ESTÁNDAR TIA 942

EL CPD cuenta con dos ambientes: El proyecto propuesto que se tiene proyectado para la mejora
de la infraestructura actual del CPD es a un nivel de TIER II, lo
que significa tener componentes redundantes y generadores
eléctricos, de esta manera mejoraría la confiabilidad, integridad
y disponibilidad en todos sus componentes que comprenden la
infraestructura de red conjuntamente con los servidores de la
servicio de control migratorio, por lo que se evaluara de acuerdo
a las guías informativas del estándar TIA 942 en cada división
Fig. 3. Salas del CPD [Fuente: Elaboración Propia
de soporte de un data center en los cuatro subsistemas como se
detalla en:
TABLA I. DIMENSIONES DE LOS AMBIENTES DEL CPD A. Telecomunicaciones
Salas Alto (m) Largo (m) Ancho(m) Piso Falso (cm) Telecomunicaciones (General) TIER 2 Evaluación
1 3.5 2.90 2.65 32,5 Cableado, racks, gabinetes, & pathways cumplen las
Sí Cumple
2 3.5 3.10 2.93 32,5 especificaciones TIA.
Diversamente dirige el proveedor de acceso a entradas
Fuente: Elaboración Propia
y orificios de mantenimiento con un mínimo de 20 m SI Cumple
de separación
Dentro de este ambiente se encuentran instalados 5 racks con Los routers y los switches tienen fuentes de Cumple
muestra la siguiente figura: SI
alimentación redundantes y procesadores parcialmente
Patch panel, tomas de corriente y cableado a ser
etiquetados por ANSITIA EIA-606-A y el anexo B de Cumple
SI
la presente Norma. Armarios y racks para ser parcialmente
etiquetados
Los cables de conexión y puentes para ser rotulados en
ambos extremos con el nombre de la conexión en SI Cumple
ambos extremos del cable
Patch panel Patch cable documentación y cumple con
la norma ANSI/TIA/EIA-606-A y el SI Cumple
anexo B de la presente Norma TIA 942.
B. Arquitectura
ARCHITECTURAL TIER 2 Evaluación
Fig. 4. Distribución de Equipamiento, Fuente: Elaboración Propia La selección del sitio
La proximidad a la zona de peligro de
No está dentro de la
TABLA II. DIMENSIONAMIENTO DE RACKS inundación como asignado en una
zona de peligro de Cumple
inundación federal límite o mapa de tasa
inundación
RACK ALTO (M) LARGO (CM) ANCHO(CM) MARCA de Seguro
Se permite sólo si
1 2 (42 U) 75 63 ROWLAND Multi-tenant occupancy dentro del
son ocupaciones no- Cumple
2 2 (42 U) 75 78 ROWLAND edificio
peligrosos
3 2 (42 U) 75 63 ROWLAND La construcción del edificio
4 2 (42 U) 60 102 LINK BASIC Cumple
Cumplir los requisitos de la norma Si
5 2 (42 U) 97 80 ROWLAND parcialmente
Componentes de la construcción
Fuente: Elaboración Propia Barrera de vapor para las paredes y el
Si No cumple
techo de la sala de ordenadores
Dentro del diseño se tiene en cuenta 3 plantas que Dentro de los límites de las zonas de la
comprenden el edificio: sala
2,7 m (9,0 pies)
Subsuelo: Donde se encuentra el CPD donde se centralizan La altura del techo Cumple
como mínimo
todos los puntos en el rack de telecomunicaciones de Techos
La clase Clase A Cumple
Proveedores externos, Desktops, Biométricos, Cámaras de Aumento de la resistencia del viento FM I-90 Cumple
Seguridad entre otros. Requisitos mínimos
Inclinación del techo de código 1:48 (1/4 Cumple
Primer Piso: Al igual que el subsuelo se reúnen puntos de pulg por pie) mínim
datos en un par de gabinetes y un backbone para crear Puertas y ventanas
Requisitos mínimos
redundancia conectado al CPD: de código y no
inferior a 1 m (3
Tercer Piso: Donde albergan la parte administrativa legal y El tamaño de la puerta
pies) de ancho y
Cumple
almacenes. 2,13 m (7 pies) de
alto
Cabe destacar que la investigación desarrollada en el presente Requisitos mínimos
artículo corresponde al nivel aplicativo, el resultado obtenido Sola persona interlock, portal u otro de código-
hardware diseñado para evitar sumarse o preferiblemente de No cumple
tiene validez interna, sólo para la institución en la que se Paso atrás madera maciza con
desarrolló; las técnicas de investigación aplicadas son de tipo marco de metal
documental, y entrevistas; el resultado tiene un componente Vestíbulo de entrada
Físicamente separado de otras áreas del
prospectivo, fruto del análisis de acuerdo al estándar TIA 942 el centro de datos
Sí Cumple
mismo será sometido el resultado a evaluación de la MAE para Separación de incendios de otras áreas del
Requisitos mínimos
su aceptación centro de datos
de código (no menos Cumple
de una hora)
Oficinas administrativas
168
Físicamente separado de otras áreas del Cubierta de acero y relleno de hormigón

SI Cumple
centro de datos PT//PIC leve - losas PT mucho más CIP Hormigón leve No cumple
Requisitos mínimos difíciles de instalar
Separación de incendios de otras áreas del
centro de datos
de una hora) C. Eléctrico
Oficina de seguridad
Equipos eléctricos (General) TIER 2 Observación
Requisitos mínimos
Separación de incendios de otras áreas del Número de rutas de entrega 1 Cumple
centro de datos Entrada de utilidad Alimentación única Cumple
de una hora)
Peepholes 180 grados sobre equipos de Computadoras y equipos de
SI No cumple Doble el cable de Cumple
seguridad y supervisión de habitaciones telecomunicaciones cables de
alimentación parcialmente
alimentación
Reforzar la seguridad material y salas de
observación con 16 mm (5/8") de madera Todos los equipos del sistema
Recomendado No cumple eléctrico rotulado con Sí No cumple
contrachapada (excepto donde bullet
resistencia es recomendado o requerido) certificación del laboratorio
Baños y sala de descanso áreas Uno o más puntos de fallo
únicos para servir a los
Requisitos mínimos Los puntos únicos de fallo No cumple
Separación de incendios de sala de sistemas de distribución de
ordenadores y áreas de apoyo electricidad o mecánica
de una hora)
Interruptor de transferencia
UPS y salas de baterías
automática (ATS) con
Separación de incendios de sala de Requisitos mínimos
función de derivación para
computación y otras áreas del centro de de código (no menos Cumple Transferencia del sistema de
mantenimiento para servir el No cumple
datos de una hora) carga crítica
interruptor con interrupción
Pasillos de salida necesarios en la alimentación; cambio
Requisitos mínimos automático desde la utilidad
Separación de incendios de sala de
de código (no menos Cumple Los generadores de tamaño
ordenadores y áreas de apoyo
de una hora) correcto de acuerdo a la Sí No cumple
Requisitos mínimos capacidad instalada de UPS
de código y no Capacidad de combustible del
Ancho Cumple 24 hrs. No cumple
inferior a 1,2 m (4 generador (a plena carga)
pies)
UPS
Envío y recepción
Redundancia de UPS N+1 No cumple
Físicamente separado de otras áreas del
Ningún requisito Sí Paralelo Módulos
centro de datos
Topología de UPS redundantes o módulos No cumple
1 por 2.500 m redundantes distribuidos
/ 25.000 pies
El número de muelles de carga Ningún requisito By-pass tomadas desde la
cuadrados de
Acuerdo de Derivación para misma utilidad de Cumple
la sala
Mantenimiento de UPS alimentación alimenta y parcialmente
La seguridad módulos UPS
La capacidad de CPU del sistema UPS Construcción No cumple Nivel de tensión 120/208V
La recopilación de datos de campo de los Edificio + Batería (4 Cumple Distribución de alimentación
hasta cargas de 1440 kVA y Cumple
paneles (Paneles) Capacidad de UPS horas) mín. parcialmente UPS - nivel de tensión
480V para
Edificio + Batería (4 Cumple Panelboard incorporando
Dispositivo de campo Capacidad de UPS Distribución de alimentación
horas) parcialmente disyuntores viaje magnético Cumple
1 por 3.000m/30.000 UPS - placas de panel
La plantilla de personal de seguridad por térmico estándar
pies cuadrados (2 Cumple Sí, pero no es necesario si se
turno Factor K transformadores
como mínimo) utilizan transformadores de No cumple
Control de acceso de seguridad/vigilancia instalados en las PDU
cancelación de armónicos
Los generadores Acceso por Tarjeta Cumple UPS Diseño estático o
UPS, teléfono y eurodiputado Cumple Componentes redundantes (UPS) No cumple
Acceso por Tarjeta rotativo. Girar M-G Ajuste
Habitaciones UPS en el panel de distribución
Bóvedas de fibra Acceso por Tarjeta Cumple separado del equipo y los equipos Sí No cumple
Las puertas de salida de emergencia Monitor Cumple de telecomunicaciones
Windows/apertura exterior accesible Acceso por Tarjeta Cumple Toma de tierra
Salas de equipamiento de seguridad Acceso por Tarjeta Cumple Basado en el análisis de
Puertas en salas de informática Acceso por Tarjeta Cumple Sistema de protección de Cumple
riesgos según la norma NFPA
iluminación parcialmente
Edificio de perímetro puertas Acceso por Tarjeta Cumple 780 y requisitos del seguro.
Desde el vestíbulo de la puerta al piso Acceso por tarjeta Cumple Servicio Entrada Motivos Y
Sí No cumple
Vigilancia CCTV Motivos del generador se ajustan
Puertas con control de acceso Ningún requisito Sí Accesorios de iluminación
Estructurales (277V) neutral aisladas de
Sí No cumple
Factor de importancia - ayuda para entrada de servicio derivado del
I=1,5 No cumple transformador de iluminación
asegurar mayor que el diseño del código
Los racks de equipos de Activado por el apagado de
Sólo base Cumple emergencia (EPO) en salidas con
telecomunicaciones/gabinetes anclados
El arriostramiento de conductos eléctricos Por código la computación y las Sí Sí
No cumple telecomunicaciones sólo de
se ejecuta y bandejas de cables w/Importancia
Por código apagado del sistema.
El arriostramiento de conducto principal No cumple Supresor de incendios
w/Importancia
La capacidad de carga del piso de carga 8.4 kPa (175 lbf/sq automático liberación después de
Cumple apagado del sistema de Sí Sí
live ft)
Piso colgando de capacidad para informática y
1.2 kPa (25 lb/pies telecomunicaciones
auxiliares de cargas suspendidas desde No cumple
cuadrados) Sala de baterías de apagado de emergencia (EPO)
abajo
Espesor de losa de hormigón en el suelo 127 mm (5 in) Cumple Activado por el apagado de
Topping más flautas de hormigón para emergencia (EPO) en salidas con
102 mm (4 pulg) No cumple la computación y las Sí No cumple
suelos elevados
Construcción de francos luxemburgueses Conc./acero telecomunicaciones sólo de
No cumple apagado del sistema
(Shearwall/bastidorAtirantado/momento) Shearwall BF
Batería/UPS vs. piso edificio Supresor de incendios
CIP Hormigón leve No cumple automático liberación después de
composición.
apagado del sistema de Sí No cumple
informática y
telecomunicaciones
169
Sala de baterías de apagado de emergencia (EPO) Terminal interior de unidades de Uno de CA redundantes por
Cumple
Activado por el apagado de aire acondicionado unidad de área crítica
emergencia (EPO) botones de Control de humedad para la sala Humidificación No cumple
Sí No cumple
salidas con supresor de El servicio de energía eléctrica a Una ruta de alimentación
No cumple
liberación manual equipos mecánicos eléctrica al equipo de CA
Supresor de incendios versión El rechazo de calor
para un solo sistema de zona Dry-refrigeradores (donde sea Uno redundante enfriador
Sí No cumple No cumple
después de apagado de aplicable) seco por sistema
emergencia (EPO) shutdown Enfriadores de fluido Closed- Uno redundante fluido
No cumple
Apagado de emergencia (EPO) Sistemas Circuit (donde sea aplicable) refrigerador por sistema
Cierre de recipientes de Uno redundante
alimentación UPS en el aula de Sí No cumple Bombas de circulación condensador por sistema de Cumple
informática. bomba de agua
Desconexión de la alimentación El sistema de agua del
Sí No cumple Sistema de tuberías Cumple
de CA para CRACs y enfriadores condensador de rutina única
Cumplimiento con el código Sistema de agua refrigerada
Cumple
local (por ejemplo, separar los Sí Terminal interior de unidades de Una unidad de CA
parcialmente Cumple
sistemas de UPS y HVAC aire acondicionado redundantes
Monitorización del sistema Control de humedad para la sala Humidificación
No cumple
Muestra localmente en UPS Sí Cumple de ordenadores proporcionada
Configuración de la batería El servicio de energía eléctrica a Una ruta de alimentación
Cumple
Una cadena por cada módulo de equipos mecánicos eléctrica al equipo de CA
No hay Sí
batería El rechazo de calor
Mínimo tiempo de espera de Una ruta del sistema de agua
10 minutos Cumple El sistema de tuberías de agua
carga completa refrigerada una ruta del Cumple
refrigerada
Ácido plomo reguladas por sistema de agua refrigerada
Tipo de batería Cumple
válvula (VRLA) Uno redundante chiller por
Enfriadores refrigerados por aire Cumple
Las baterías de tipo inundado sistema
Cumple Una bomba de agua de
El montaje Estanterías o armarios
parcialmente Bombas de agua refrigerada refrigeración redundante por No cumple
Cumple sistema
Placas envueltas Sí
parcialmente Uno redundante chiller por
Enfriadores refrigerados por aire Cumple
Contención de derrames de ácido sistema
Sí Sí
instalado Enfriadores refrigerados por Uno redundante chiller por
No cumple
Pruebas de carga completa de las agua. sistema
Cada dos años Cumple
baterías Una torre de refrigeración
Torres de refrigeración de
Sala de baterías redundante por cantidad de Cumple
refrigeración
Aparte de UPS/salas de equipos Sí torre
No cumple
eléctricos Uno redundante
Las bombas de agua del
Cadenas de baterías individuales Sí No cumple condensador por sistema de Cumple
condensador
aislados entre sí bomba de agua
Desconecta el batería situado Sí No cumple Sistema refrigerado por aire
fuera de Sala de baterías Unidades de aire acondicionado
Uno de CA redundantes por
Monitorización automática de Terminal Indoor/Outdoor Cumple
Sistema de monitoreo de baterías No cumple unidad de área crítica
UPS condensadores
Girar el sistema de UPS Gabinetes (con generadores diésel) El servicio de energía eléctrica a Una ruta de alimentación
Cumple
Los tanques de combustible en la equipos mecánicos eléctrica al equipo
Sí No cumple Control de humedad para la sala Humidificación No cumple
misma
Sistema de generación de espera Sistema de control HVAC
Tamaño para ordenador y Fallo en el sistema de Cumple
Sistema de control HVAC
sistema de control no interrumpirá la parcialmente
Dimensionamiento del generador No cumple
telecomunicaciones sólo UPS redundante,
Fuente de alimentación para el Cumple
mecánico y eléctrico alimentación eléctrica al
sistema de control HVAC parcialmente
Generadores en solo Bus Sí No cumple equipo
Solo generador por sistema con No cumple Fontanería (por rechazo de calor
Sí
(1) Generador de repuesto Dos fuentes de agua, o una
Dos fuentes de agua Cumple
Cada 83 pies. La protección de No cumple fuente + almacenamiento
Sí
fallas a tierra para cada generador Puntos de conexión al sistema de
Único punto de Conexión No cumple
Para probar Loadbank agua del condensador
Las pruebas sólo módulos UPS Sí No cumple Sistema de aceite combustible
Pruebas de las generadoras sólo Sí No cumple Los depósitos de almacenamiento
Tanque No cumple
Instalada de forma permanente No - Alquiler No cumple a granel
Mantenimiento de equipos Tanque de Almacenamiento de Varias bombas, tubos de
No cumple
Personal de mantenimiento Turno de día sólo en sitio No cumple bombas y tuberías alimentación
Supresión de incendios
D. Mecánico Sistema de detección de
Sí No cumple
incendios
Mecánica (General) TIER II Observación El sistema de rociadores contra
Recorrido del agua o la tubería de Pre acción (cuando sea No cumple
incendios
desagüe no asociados con los Permitida pero no Se encuentra Sistema de detección de humo de
equipos del centro de datos en recomendada instalada Sí No cumple
Alerta
espacios de centro de datos
Presión positiva en la sala de Sistema de detección de fugas de
Sí No cumple
ordenadores y espacios asociados Cumple agua
Sí
en relación al exterior y no parcialmente
espacios de centro de datos Del análisis de las condiciones en las que se encontraba el
Los desaguaderos de piso en la CPD permitió definir un porcentaje general del cumplimiento
sala de computación para el agua
de drenaje de condensado,
Sí Cumple para que plantea TIA 942, dando como resultado un 40%
humidificador descarga de agua convirtiéndose en la premisa de punto de partida para el
Sistemas mecánicos de generador reacondicionamiento del nuevo ambiente
Sí No cumple
de reserva
Sistema Water-Cooled
170
V. CONCLUSIONES Y RECOMENDACIONES
Como se pudo observar y teniendo en cuenta que por el
momento no será posible la reubicación del CPD, es por tal
motivo, que realizo un análisis técnico de la situación actual del
ambiente, el sistema de climatización, comunicaciones,
instalaciones de seguridad e instalaciones eléctricas, y
mecánicas. El relevamiento se realizó bajo a las buenas prácticas
y las guías informativas del estándar TIA 942, el cual
proporciona los lineamientos del diseño, construcción e Fig. 6. configuración de pasillo caliente – pasillo frio HA / CA [5]
implementación de ambientes adecuados en función en las
tecnologías de la información y comunicación, de las cuales se C. Seguridad
gestionará las siguientes recomendaciones: La implementación de seguridad debe contemplar en el
CPD, son los siguientes:
A. Obras civiles
Los requisitos para instalaciones actuales de obra civil son: • Sistema de detección de incendios
• Señalización: alarmas audibles y visibles
En exterior:
Construir un ambiente para la adquisición de un Grupo
electrógeno con un sistema ATS.
Construir ambiente de planta a tierra para equipos del CPD
Para el interior:
Instalar una barra antipático y mecanismo de cerrado
hidráulico automático hacia afuera.
Iluminación con respaldo de la planta generadora eléctrica.
Establecer puesta a tierra para cada uno de los Racks.
Construcción para un ambiente de los UPS.
Fig. 7. Diseño para instalaciones bajo buenas practicas [6]
Unir ambas salas previa evaluación de un profesional en el
área de arquitectura, para una mejor distribución y flujo del aire D. Instalaciones eléctricas
acondicionado a precisión, de esta manera se podrá establecer Tomar en consideración para el sistema eléctrico:
los pasillos fríos y calientes para un mejor rendimiento de los Se deberá instalar los sistemas de puesta a tierra aislada y de
servidores y equipos de comunicación, como muestra en la seguridad, además de la protección contra descargas
siguiente ilustración. atmosféricas.
Tablero general de distribución de energía.
Canalizaciones internar y externas.
Para el cálculo estimado del consumo de energía máxima
para la carga eléctrica del CPD, equipos Desktop ubicados en
ventanillas y de supervisores que son necesarios para dar para la
continuidad con el funcionamiento de los sistemas y el control
migratorio en el CPD se detalla en la siguiente tabla:
TABLA III. EQUIPOS POTENCIA EN W

Potencia
Descripción Nro Equipo o sistema
W
1 PowerEdge T410 660
2 PowerEdge T410 660
Fig. 5. Flujo de aire entre Pasillos Caliente y Frio 3 HUAWEI RH2288 V3 1200
[Fuente: Elaboración Propia] 4 PowerEdge M630 980
Cargas Criticas
TIC 5 PowerEdge R210 II 250
B. Sistema de climatización
6 PowerEdge R820 1100
En el diseño propuesto del CPD, garantizará las condiciones 7 PowerEdge R610 2700
óptimas de operación del equipamiento instalado, de los cuales 8 PowerEdge R520 1 294
se tendrá que tomar en cuenta: 9 HUAWEI RH2288 V3 1500
10 HUAWEI RH2288 V3 1500
Establecer un aire acondicionado de precisión que controle 11 PowerEdge M630 980
la temperatura humedad relativa como se muestra en la 12 PowerEdge R710 5600
siguiente ilustración 5 y el flujo del aire entre los pasillos 13 PowerEdge T410 660
fríos y calientes Fig.6. 14 PowerEdge R520 1 294
Rejillas difusoras y de retorno de aire metálicas resistentes a 15 PowerEdge R820 1100
la oxidación. 16 PowerEdge R715 1100
Identificación de equipo, tuberías y zona de seguridad de la 17 PowerEdge m830 3000
unidad de condensador. 18 Router CISCO 210
Equipamiento energizado de forma exclusiva, sin compartir 19 2 Firewall Juniper 50
alimentador con otras cargas. 20 SW Juniper 48 puertos 300
171
21 4 SW Juniper & CISCO 24 puertos 760 CPD, evita problemas ocasionados por un ambiente
22 Módems, enlaces externos 250 seco.
N1 24560 • La infraestructura de comunicaciones planificada se
23 Controles de acceso 10
adaptará fácilmente a las exigencias que implica la
Sistemas de video vigilancia (NVR,
Otras cargas 24
DVR)
50 rápida evolución del medio tecnológico de la
criticas institución, con sus sistemas de cableado estructurado y
25 Sistema de Monitoreo 180
26 11 equipos 3542 canalizaciones espacios correctamente dimensionados y
N2 3782 basados en buenas prácticas, posibilitando al proyecto
Cargas futuras Factor de crecimiento (100%) (N1+N2) *1,0 N3 28342 propuesto a una escalabilidad al 100% en cambios sin
Ineficiencia de la UPS y cargado de baterías (N1+N2+N3) *0.32 N4 18138.88 interrupciones.
Iluminación (21 W * 8 m2) N5 172
• El diseño del CPD será desarrollado para que sea
Potencia total para satisfacer los requisitos eléctricos
(N1+N2+N3+N4+N5) N6
74994.88 sustentable, que mejore la eficiencia de todos los
Sistema de aire acondicionado o climatización (N6*0.7) N7 52496.416 procesos, sin poner en riesgo la disponibilidad de todos
Requisito total de potencia (N6 + N7) 127491.296 los activos de información.
Fuente Elaboración Propia • Los costos que contempla la implementación del CPD
De acuerdo, a lo expuesto anteriormente, se presenta un son indudablemente elevados, pero realmente
presupuesto referencial para una futura implementación del necesarios en contraste con el peso de los grandes
CPD es el que se muestra en la siguiente tabla beneficios que generará a la institución a través de los
convenios y la interoperabilidad con otras instituciones
TABLA IV. PRESUPUESTO REFERENCIAL y sobre todo a toda la población boliviana nacional e
internacional. En este sentido, el “problema
TOTAL, PRESUPUESTO REFERENCIAL CPD económico” se reduce significativamente a la obtención
Obra Civil (Demolición de muros de hormigón) 11,776
del mayor bienestar social, que es la prioridad de las
Sistema de aire acondicionado a precisión 170,000
políticas públicas del buen vivir en relación con el uso
Grupo electrógeno 265,459
Sistema de puesta a tierra 14,500
de las tecnologías en nuestro país.
Sistema de detección y extinción de fuego 16,205 • Antes de implementar el Grupo electrógeno, realizar un
Mano de Obra 8,000 relevamiento integral del sistema eléctrico actual,
Puerta Cortafuegos de acero Galvanizado 5,883 posterior a ellos realizar pruebas de continuidad
Señalización 1,000 eléctrica, medición de corrientes en diferentes puntos de
Brazo automático 700 la instalación, pruebas con los UPS. De lo mencionado
TOTAL 493,523 Establecer un cronograma anual de la revisión para
Expresado en bolivianos. Fuente: Elaboración Propia validar el funcionamiento de los equipos.
• El análisis en el que se encuentra el CPD actual, • De ser necesaria la instalación en un futuro, de
permitió definir un porcentaje general de cumplimiento canalizaciones para comunicaciones por debajo del piso
de los requerimientos y guías proporcionados en el técnico, utilizar charola tipo malla para ubicarla a lo
estándar TIA 942 y sus anexos para establecer TIER II. largo del pasillo caliente.
• El espacio relativamente reducido y la forma irregular REFERENCIAS
de ambas salas destinadas para el funcionamiento del
[1] sienity, «sienity» sienity, 2 11 2017. [En línea]. Available:
CPD, no fueron inconvenientes como se observa en la http://www.sienity.com/que-es-un-tier-para-un-centro-de-datos/.
figura 5, para rediseñarlo y cumplir con las exigencias
[2] securityartwork, «securityartwork» securityartwork, 25 04 2013. [En
de un ambiente óptimo para establecer una línea]. Available: https://www.securityartwork.es/2013/04/25/
disponibilidad, redundancia para los servidores y introduccion-al-diseno-y-certificacion-de-cpds-tia-942/.
equipos de comunicación. [3] areadata, «areadata» agosto 2007. [En línea]. Available:
• El sistema de climatización propuesto garantizará las http://www.areadata.com.ar/pdf/El%20standard%20TIA%20942%20-
óptimas condiciones de funcionamiento de los equipos vds-11-4.pdf.
del CPD mediante un aire acondicionado de precisión, [4] Asociación de Industrias de Telecomunicaciones, «Estándar TIA» de
Estándar de Infraestructura de telecomunicaciones para centro de datos,
que es un mecanismo programable para mantener Arlington Virginia 22201 EEUU, Telecomunicaciones Industry
estables los parámetros ambientales exigidos para este Association, 2005, p. 237.
lugar y que, en comparación con los sistemas de aires
acondicionados de confort usados erróneamente en el
Breve CV del autor

Roger Efrain Martinez Gonzales es Licenciado en Ingeniería en Sistemas por la Universidad Salesiana de Bolivia (La Paz 2014).
Actualmente realiza la Maestría en Informática Forense, Seguridad de la Información y Auditoria Informática en el Postgrado en
Informática de la Universidad Mayor de San Andrés.
Ejerce profesionalmente como Encargado de Soporte, Redes y Telecomunicaciones de la Dirección General de Migración.
Anteriormente Banco de Crédito – BCP S.A.; ATC S.A.; Banco do Brasil S.A.
Es miembro del grupo de investigación GI-FORSAI UMSA. Publicó artículo “Implementación de Soluciones Tecnológicas Open
Source en Brechas de Seguridad Informática”, Revista PGI Nro. 6, Postgrado de Informática UMSA, La Paz 2019.
Email: martinezroger248@gmail.com.
172
Grado de madurez en Bolivia

sobre la Seguridad de la Información
Ronald Rocha Zabaleta
La Paz - Bolivia
ronrocza@gmail.com
Resumen—El grado de madurez de la seguridad de la Informática Forense: Es la aplicación de técnicas científicas

información en Bolivia puede ser determinado no solo por los y analíticas especializadas a infraestructuras tecnológicas para
avances tecnológicos adoptados en el país, sino también por medio realizar los procesos de Preservación, Colección, Análisis y
de la forma en que se norma el uso de las tecnologías. Por ello, esta Presentación de evidencia digital, de acuerdo a procedimientos
investigación pretende explorar los antecedentes y jurisprudencia Técnico-Legales preestablecidos, como apoyo a la
de inseguridad de la información en un contexto nacional, Administración de Justicia en la resolución de un caso Legal.
considerando los conceptos más relevantes. Dada la naturaleza
cualitativa de la indagación, se opta por la revisión bibliográfica Ataque Informático: Es un intento organizado e
especializada y el estudio de casos. Se encontró qué en nuestro país, intencionado causada por una o más personas para causar daño
se presenta una ausencia de regulación respecto al mal uso de las o problemas a un sistema informático o red. Los ataques en
tecnologías de la información y comunicación. Lo que representa grupo suelen ser hechos por bandas llamados "piratas
un problema qué merece la urgente atención por parte del estado informáticos" que suelen atacar para causar daño, por buenas
y profesionales entendidos en las tecnologías y las leyes. intenciones, por espionaje, para ganar dinero, entre otras. Los
ataques suelen pasar en corporaciones.
Palabras clave—ciberseguridad, governance, ciberdelito, sexting
Seguridad Informática: También conocida como
I. INTRODUCCIÓN ciberseguridad o seguridad de tecnologías de la información, es
Con frecuencia hemos venido escuchando, en los últimos el área de la informática que se enfoca en la protección de la
años, términos como: seguridad de la información, informática infraestructura computacional y todo lo relacionado con esta y,
forense, ataques informáticos, seguridad informática, gobierno especialmente, la información contenida o circulante. Para ello
de la tecnología, hacking ético, delito informático, pero qué tan existen una serie de estándares, protocolos, métodos, reglas,
seguros estamos de entender estos tópicos y cuál es su nivel de herramientas y leyes concebidas para minimizar los posibles
aplicación en nuestro contexto nacional. riesgos a la infraestructura o a la información. La definición de
seguridad de la información no debe ser confundida con la de
Con la llegada del Internet desde su creación en la década de seguridad informática.
los 60´s y su difusión en la década de los 90’s, la globalización
de la tecnología ha avanzado en igual medida que los nodos Gobierno TI: o IT Governance, consiste en una estructura de
conectados a la Red de Redes, sin embargo, a pesar de este relaciones y procesos destinados a dirigir y controlar la empresa,
fenómeno, los países en vías de desarrollo como el nuestro, se con la finalidad de alcanzar sus objetivos y añadir valor mientras
enfrentan a la problemática de la brecha digital, que está se equilibran los riesgos y el retorno sobre TI y sus procesos. El
asociado a los costos principalmente de hardware y software, Gobierno de TI, es una metodología de trabajo, no una solución
que no están acorde al nivel económico deseado del país. en sí. Está orientado a proveer las estructuras que unen los
procesos de TI, recursos de TI e información con las estrategias
De igual forma, en el aspecto normativo y legislación penal, y los objetivos de la empresa [1].
Bolivia no tiene definido leyes exclusivas que velen por la
seguridad de la información en las entidades públicas y menos Hacking Ético: es la utilización de los conocimientos de
en las privadas, dejando a los CIO’s y Directores TIC sin un seguridad en informática para realizar pruebas en sistemas, redes
lineamiento definido a seguir. Así mismo, el vacío legal sobre o dispositivos electrónicos, buscando vulnerabilidades que
los delitos informáticos en Bolivia, permite una alta cifra de explotar, con el fin de reportarlas para tomar medidas sin poner
criminalidad e impunidad, dejando al ciudadano y a las en riesgo el sistema [2].
entidades la responsabilidad de cuidarse a sí misma. Delito Informático: Un delito informático o ciberdelito es
A. Conceptos y Definiciones toda aquella acción típica, antijurídica y culpable, que se da por
vías informáticas o que tiene como objetivo destruir y dañar
Seguridad de la Información: Es el conjunto de medidas ordenadores, medios electrónicos y redes de Internet. Debido a
preventivas y reactivas de las organizaciones y de los sistemas que la informática se mueve más rápido que la legislación,
tecnológicos que permiten resguardar y proteger la información existen conductas criminales por vías informáticas que no
buscando mantener la confidencialidad, la disponibilidad e pueden considerarse como delito, según la "Teoría del delito",
integridad de datos y de la misma.

[N] R. Rocha, «Grado de madurez en Bolivia sobre la Seguridad de la Información», Revista PGI.
173
por lo cual se definen como abusos informáticos (los tipos Investigación documental: Selección de documentación
penales tradicionales resultan en muchos países inadecuados relacionada al trabajo de investigación, principalmente a nivel
para encuadrar las nuevas formas delictivas), y parte de la normativo, experiencias en del sector privado/público y
criminalidad informática [3]. administración de la seguridad de la información en contextos
cercanos a la realidad boliviana.
Este paradigma ha sido superado hace ya varios años, pero
en Bolivia aún subsiste la escuela antigua; no por tratarse de • Artículos digitales e impresos
tecnologías nuevas sino por una ausencia de parte del estado y • Periódicos y revistas
entendidos en el tema que de forma colaborativa se trabaje para • Tesis y otras investigaciones referentes
conformar una base jurídica normativa nacional, o en su defecto
• Seguimiento de reportajes
partir de la experticia y la habilidad de los operadores de justicia
para adecuar los tipos penales a las nuevas formas en que se III. RESULTADOS: CASOS DE CRIMINALIDAD Y DELITOS
presentan los incidentes. INFORMÁTICOS
Según esta visión, Bolivia no podría tener jurisdicción en el Manipulación de código para evitar descuentos en planilla,
internet ya que carece de leyes que gobiernen el ciberespacio, lo por retraso y faltas.
cual es muy conveniente para los ciberdelincuentes. En la entidad Pública el desarrollador alteró el código fuente
B. Los casos más recurrentes en Bolivia. del programa para la generación de planillas, para excluir a
cierto personal del descuento mensual por retrasos o faltas.
Phishing: Los autores, quienes pueden operar desde
Concluido el proceso de planillas el desarrollador restituía el
cualquier parte del mundo desarrollan una página web alterna y
programa original.
fraudulenta de alguna entidad financiera en la que sus víctimas,
que son clientes de la entidad financieras, son contactadas El brutal asesinato de Blanca R. por psicópatas y
mediante correo electrónico y les envían el portal falso del banco extorsionadores.
y bajo pretexto de que la institución está en un proceso de El 28 de noviembre del 2013, la joven fue contactada a través
actualización piden datos y PIN de la tarjeta de crédito o débito. de la utilización de una cuenta falsa de Facebook por RCh,
Clonación de tarjetas: La víctima es afectada desde que fingiendo ser docente del Colegio Militar, quien prometió
asiste a un local o un centro comercial donde entrega su tarjeta ayudar a Blanca ingresar a esa instancia; sin embargo, la joven
de crédito para pagar sus compras o consumo, y el delincuente fue encontrada días después muerta, golpeada y torturada en la
duplica su tarjera en un escáner sofisticado y se dan modos para vivienda del supuesto docente, que también intentó extorsionar
seguirla y averiguar claves, con la que después vacían su cuenta. a la familia. A estos delitos de los denomina suplantación de
identidad y falsificación informática.
Sabotaje informático: Este ciberdelito sucede cuando alguna
persona, que puede ser ingeniero en sistemas, informático o Estafa agravada y manipulación informática en
conocedor de la internet, de forma maliciosa obstaculiza, Cooperativa de Ahorro y Crédito.
modifica o comete cualquier otra acción que atente contra el La Jefe de Crédito de la Cooperativa logró desviar dinero en
normal funcionamiento de un sistema de información personal beneficio personal, la suma de 169.600 $us, en coordinación con
o de una institución. otras dos personas con quienes tenía cuentas de ahorro
mancomunadas, gracias a manipulaciones de la información y
Falsedad y amenazas: La falsificación y suplantación de
documentos, aprovechando su condición de responsable del
identidad está ya contemplada en la legislación boliviana,
procesamiento de información crediticio.
consiste en que cierta persona averigua la contraseña de un
correo electrónico ajeno y una vez que consigue ingresar El sexting que sufrió una presentadora de televisión.
modifica el contenido de cartas o documentos, o envía mensajes Una presentadora de televisión fue víctima de extorsión de
con diferentes fines a destinatarios [4]. su expareja, quien pidió dinero para que un video privado no sea
II. MATERIALES Y MÉTODOS DE INVESTIGACIÓN difundido en internet; sin embargo, la defensa de la víctima
realizó la denuncia a la fiscalía donde se dictamino detención
Para la investigación se aplica una metodología mixta que domiciliaria para el presunto extorsionador; esto después de que
aborda preguntas de investigación, desde lo deductivo, hasta lo el video fue subido a la nube.
analítico; considerando técnicas de recogida de datos con un
enfoque cualitativo y documental de investigación. Gobiernos Municipales, entre grandes y mediados.
Personal de cajas y de sistemas utilizaban la herramienta
Las Técnicas de la investigación aplicadas son:
FOXPRO para indagar las bases de datos donde se registraban
Investigación de campo: A realizarse directamente donde se los cobros de recaudaciones y los parámetros de construcción de
desarrolla las actividades de administración de la información inmuebles para el cálculo de impuestos, para luego modificar
producto de operaciones y actividades de empresas del medio. dichos parámetros y ejecutar un reproceso de la recaudación
diaria, reduciendo importes a pagar por concepto de impuestos,
La observación: Principalmente en las actividades que se reimprimiendo boletas de pago, para quedarse con el saldo del
llevan a cabo dentro del ambiente de una empresa, a nivel dinero en efectivo del cobro efectuado y reprocesado. La
comercial y principalmente a nivel de administración de TI. Contraloría General de la República detectó el fraude el 2001.
Entrevistas a expertos: Consulta a los especialistas del área
de la infraestructura de tecnología, y en especial a los oficiales IV. DISCUSIÓN: SITUACIÓN Y EL CONTEXTO NACIONAL
de seguridad de la información, para conocer sus experiencias Ante la creciente importancia de la Seguridad Informática en
respecto al tema. países desarrollados, se tienen definidas políticas que establecen
174
la creación de organismos oficiales relacionados a la Seguridad con el pasar de los años este aspecto mejore, sin embargo, las
de la Información, tales como INCIBE Instituto Nacional de empresas bolivianas que invierten mucho dinero en
Ciberseguridad de España, el EC3 Centro Europeo de infraestructura tecnológica no pueden permitirse dejar de lado la
Ciberdelincuencia de la Unión Europea, el NCAZ Centro implementación de medidas de seguridad informática,
Nacional de Defensa Cibernética de Alemania, el NSA Agencia protegiendo el activo más valioso, la información.
de Seguridad Nacional de Estados Unidos; incluso en américa
latina se han creado organismos como: CERTuy de Uruguay y Es por eso que se ha visto la necesidad de contar con un
arCERT de Argentina. urgente modelo de seguridad de la información adaptable a
nuestro contexto nacional, que considere aspectos de los
En el contexto nacional, además de la AGETIC (Agencia de principales estándares internacionales, normas, mejores
Gobierno Electrónico y Tecnologías de Información y prácticas, metodologías y documentos oficialmente
Comunicaciones) y la ADSIB (Agencia para el Desarrollo de la reconocidos, tales como:
Sociedad de la Información), solo tenemos una división de
• ISO 17799 – Estándar para la Seguridad de la Información.
Informática Forense de la Policía en la Fuerza Especial de Lucha
Contra el Crimen FELCC, que recibe denuncias de delitos • Serie ISO 27000 – Familia de estándares que proporcionan un
informáticos en el país, de las cuales sólo un 70% sigue una marco de gestión de la seguridad de la información.
investigación, en su mayoría los casos no son resueltos, por su • ISO 27001 – Estándar Internacional para la implementación del
complejidad o por falta de profesionales peritos informáticos SGSI que permite a una organización evaluar su riesgo e
tanto en la policía, como en los operadores de la justicia, para implementar controles apropiados.
atender ese tipo de casos. • ISO 27002 – Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en cuanto a
La legislación boliviana es muy pobre respecto a delitos seguridad de la información
informáticos, pues se tiene tipificado solo dos delitos en el
Código Penal (Manipulación informática y alteración, acceso y • ISO 20000 se concentra en la gestión de problemas de tecnología
uso indebido de datos informáticos), de igual forma, en la nueva de la información.
Constitución Política del Estado se tiene una mención muy • COBIT – Control Objectives for Information and Related
escueta respecto a la seguridad de la información. Technology
Bajo el actual contexto tanto entidades, como el ciudadano • ITIL – Information Technology Infrastructure Library
común, que son víctimas de los delitos informáticos, optan por A pesar de la distancia entre el estado actual versus el estado
no concluir un proceso penal, ante la falta de profesionales, deseado del nivel de madurez sobre seguridad de la información
respaldo legal, costos elevados y principalmente el desprestigio en el país, se tiene la ventaja de poder aplicar métodos y
público que puede sufrir la entidad o la persona, sin obtener un conceptos ya probados para poder desarrollar un modelo de
resultado favorable. Seguridad de la Información, explotando experiencias y
En contraste, en las empresas privadas, principalmente el documentos relevantes como los anteriormente descritos, que
sector de la banca y de las telecomunicaciones, se puede ataque principalmente al eslabón más débil y vulnerable de la
encontrar que se tiene un gran avance en la modernización de seguridad de la información, el factor humano, con un plan
sus instalaciones en datacenters e la infraestructura tecnológica estructurado de capacitación y concientización muy bien
en general, paralelamente la Autoridad de Supervisión del pensado, y que esté respaldado por una política de seguridad de
Sistema Financiero ASFI y la Autoridad de Telecomunicaciones la información que englobe los aspectos más importantes de un
y Transporte ATT han desarrollado un compendio normativo SGSI, en la búsqueda constante de la mejora continua.
medianamente completo, que incluye la obligatoriedad de REFERENCIAS
certificaciones internacionales, tales como PCI DSS (Payment
Card Industry Data Security Standard), pero aún sin un claro [1] Gobiernoti, (2011). ¿Qué es gobierno TI? Obtenido de:
https://gobiernoti.wordpress.com/2011/06/19/gobierno-ti/
lineamiento nacional, que guie cómo implementar un Sistema
[2] Enter.co, (2014). El hacking ético y su importancia para las empresas.
de Seguridad de la Información SGSI, para luego obtener una Obtenido de: http://www.enter.co/guias/tecnoguias-para-empresas/que-
certificación PCI DSS o ISO27001 que proteja la inversión en es-el-hacking-etico-y-por-que-es-necesario/
tecnología. [3] Noticias de Tecnología y Telecomunicaciones, (2008). Cincuenta delitos
informáticos están sin resolver por falta de peritos en esa materia.
A nivel nacional pocas empresas cuentan con una Obtenido de: http://www.telecombol.com/2008/12/cincuenta-delitos-
certificación de este tipo, quienes usan la certificación más para informticos-estn-sin.html
fines de marketing y promoción empresarial; por otro lado, [4] Agencia de Gobierno Electrónico y Tecnologías de Información y
tampoco contamos con profesionales especializados que Comunicación (AGETIC), (2018), Estado TIC, La Paz, Bolivia.
coadyuven la obtención de una certificación y menos [5] Agencia de Gobierno Electrónico y Tecnologías de Información y
instituciones que brinden este tipo de capacitación requerido. Comunicación (AGETIC), (2019), Juventudes TIC, La Paz, Bolivia.
[6] Agencia para el Desarrollo de la Sociedad de la Información en Bolivia
V. CONCLUSIONES: NECESIDAD DE UN MODELO DE SEGURIDAD (ADSIB) y la Agencia de Gobierno Electrónico y Tecnologías de
DE LA INFORMACIÓN Información y Comunicación (AGETIC), (2018), Estudios Jurídicos
Comparados con relación al Gobierno Electrónico, La Paz, Bolivia
Bolivia como país se encuentra en un grado de madurez
sobre la Seguridad de la Información muy bajo y se espera que
175
Modelo predictivo de producción de minerales de

plata mediante redes neuronales artificiales
Scirley Maritza Nina Yucra
La Paz - Bolivia
scirleymaritzaninayucra@gmail.com
Resumen—Existe la necesidad de buscar métodos que mediante datos numéricos y principios teóricos de modelación
permitan obtener pronósticos más precisos para la producción de mediante redes neuronales artificiales. Según el objetivo
minerales de plata. El artículo permite conocer, que en base a planteado la investigación es aplicada porque permite encontrar
datos históricos de la producción de minerales de plata en Bolivia conocimiento para plantear políticas y estrategias de la minería
se desarrolló un modelo predictivo de producción de minerales de en Bolivia.
plata mediante redes neuronales artificiales para optimizar la
producción de este mineral. El trabajo de investigación aplica la Los métodos de investigación científica según el
inteligencia artificial para el pronóstico de la producción de conocimiento del objeto de estudio permitieron aplicar los tipos
minerales de plata en nuestro país, los resultados posibilitaran de investigación descriptivo y experimental. Las técnicas
difundir estrategias y políticas para la planificación de la estadísticas también fueron empleadas por los resultados finales
producción del mineral de plata. que son cuantitativos que permiten analizar, interpretar y
comparar el error del pronóstico con modelos autorregresivos
Palabras clave—pronóstico, propagación inversa, redes integrados con medias móviles (ARIMA) de la producción de
neuronales. minerales de plata.
I. INTRODUCCIÓN A. Universo o población de Estudio
Esta investigación se enfoca en estimar la producción de Para el tema de investigación, la población está constituida
minerales de plata a través de Redes Neuronales Artificiales, por la producción de minerales de plata realizada por las
para determinar mejores resultados que los obtenidos con los empresas públicas (COMIBOL), las empresas mineras del
análisis estadísticos tradicionales. sector privado, la Minería chica y el sector cooperativo de
Bolivia. Información que esta sistematizada por el Instituto
Tomando en cuenta empresas mineras públicas, privadas y
Nacional de Estadística y Viceministerio de política minera,
el sector cooperativo que componen la industria minera en
regulación y fiscalización, Unidad de análisis y política minera.
Bolivia.
Determinación y Elección de la Muestra
Las redes neuronales han sido utilizadas en diversos
problemas, porque con ellos se pude modelar y predecir no La muestra para el estudio comprende la producción en
existiendo un tema específico como el que se plantea. toneladas métricas finas de minerales de plata entre las gestiones
2000:01 a 2017:12, que representan la producción total de
Se diseñó un modelo de Red Neuronal Artificial, obteniendo
Bolivia [1].
la topología más óptima de pronóstico de producción de
minerales de plata. B. Sujetos Vinculados a la Investigación
II. MÉTODOS
Los sujetos vinculados con la investigación están
constituidos por las empresas mineras que se dedican a la
Para pronosticar la producción de minerales de plata en producción de minerales de plata, estas empresas conforman la
Bolivia se definieron las variables que nos permiten estudiar con estructura de producción de minerales en Bolivia. Estas
mayor claridad: empresas son:
• El pronóstico de producción de minerales de plata en • Corporación Minera de Bolivia (COMIBOL)
Bolivia constituye la variable dependiente.
• Minería Mediana, empresas privadas dedicadas a la
• La red neuronal artificial propagación inversa explotación y producción de minerales de plata.
(Backpropagation) conforma la variable independiente. • Minería pequeña, empresas productivas mineras
El método de investigación aplicado es función de las localizadas en los Departamentos de Potosí, Oruro y La
características del objeto de estudio y de acuerdo a los objetivos Paz.
planteados. El método cuantitativo corresponde a la presente • Cooperativas Mineras, formas de organización de
investigación con la finalidad de exponer y encontrar el producción y comercialización de minerales presente en
conocimiento ampliado a la producción de minerales de plata la zona occidental de Bolivia.

[N] S. Nina, «Modelo predictivo de producción de minerales de plata mediante redes neuronales artificiales»,
176
C. Fuentes y Diseño de los Instrumentos de Relevamiento de 2000:01 - 2017:12 con un total de observaciones es de
Información 204 y que representan la producción nacional del sector
El uso de fuentes de información primaria y secundaria nos privado, público y cooperativo que se dedican a la
permitió identificar a las instituciones, empresas públicas, actividad minera en el país [1].
privadas y cooperativas que se dedican a la sistematización de la • Preprocesamiento de los datos, consiste en la
información y producción de minerales de plata en Bolivia. transformación a valores numéricos y establecer el de
Las principales fuentes que se utilizó en el presente estudio número de rezagos en la serie y periodos del pronóstico.
de investigación son: Los valores numéricos de producción fueron
codificados mediante las siguientes relaciones:
Fuentes de investigación primaria: Información original
obtenida por el investigador en: SR max − SR min
SF = (1)
• Instituto Nacional de Estadístico (INE)
X max − X min
• Unidad de Análisis y Política Minera (Ministerio de Xp = SR min + (X − Xmin ) * SF (2)

Minería y Metalurgia.
Donde:
Fuentes de investigación secundaria: X : Valor numérico actual
Xmin : Valor actual mínimo
• Artículos publicados en revistas científicas indexadas y Xmax : Valor actual máximo
no indexadas serias. SRmax : Límite máximo del rango de escala
• Tesis de postgrado publicadas a nivel nacional e SRmin : Límite mínimo del rango de escala
internacional con temas afines a la investigación. SF : Factor de escalamiento.
Xp : Valor preprocesado
• Publicaciones de Conferencias académicas, congresos,
seminarios. El software Neural Intelligence permite seleccionar el
número de retardos en la serie temporal y ofrece la opción de
• Páginas de internet que brinden información confiable y escoger el número de periodos a pronosticar en la serie, opciones
especializada. que se muestran en la figura 1.
• Libros especializados en la biblioteca y electrónicos.
• Revistas electrónicas.
D. Diseño de los Instrumentos de Relevamiento de
Información
Procesamiento y Análisis de la Información
Se realizó el procesamiento y análisis de los datos obtenidos
de producción de minerales de plata, en las siguientes etapas. Fig. 1. Selección de rezagos y periodos de pronóstico en la serie.
I. Análisis de datos, para determinar su comportamiento,
respecto a los componentes de una serie de tiempo, 2) Selección de la función de activación en la entrada y
además detectar los valores atípicos (outliers). salida.
Los valores codificados de la producción de minerales de
II. Normalización de datos, etapa que consiste en
plata deben ser procesados mediante una adecuada función de
transformar a valores numéricos de acuerdo a la función
activación en las capas de entrada, oculta y salida; esta selección
de activación de la red neuronal artificial, este
de la función de activación se ha formalizado bajo los siguientes
escalamiento de los datos a valores numéricos es
criterios:
realizado mediante las ecuaciones 1 y 2.
III. Partición de los datos, el total de las observaciones de • Minimizar el error absoluto en el entrenamiento.
la base de datos se particionó en tres grupos: de 215 • Parálisis de la red (los pesos toman valores muy grandes
observaciones el 66% para el entrenamiento, 16 y la red no cambia).
%validación y 16% test de la red neuronal artificial.
• Valor del coeficiente de correlación (R2).
E. Desarrollo
Los resultados de estas pruebas de selección de la función de
1) Modelo neuronal de pronóstico de producción de activación en el entrenamiento se muestran en las figuras 2 y 3;
minerales de plata. experimentos donde se midieron el impacto de las funciones no
El objetivo de este acápite es ilustrar el empleo de los lineales logística, hiperbólica y función lineal en la función del
modelos de red neuronal artificial para la predicción de la error de entrenamiento en relación con el número de neuronas
producción de minerales de plata de Bolivia. Producción en en la primera y segunda capa.
toneladas métricas finas con frecuencia mensual que serán
modelizadas en las siguientes fases:
• Establecer el set de entrenamiento de la serie temporal
mensual de producción de minerales de plata entre
177
LOGISTICA LINEAL HIPERBOLICA 1000 1500

Error de entrenamiento
10 8.6
9 8.4
Error absoluto
8 8.2
7 8
7.8
6
7.6
5
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 7.4
Neuronas en la primera capa Gradiente Conjugado Back propagation Online
Backpropagation
Fig. 2. Función de activación versus error Fig. 5. Algoritmos de entrenamiento en función del error absoluto.
de entrenamiento en la primera capa de la RNA.
4) Fraccionamiento de los datos para las etapas de
Logistica Lineal Hiperbolica entrenamiento, validación y test.
7.5 En los experimentos de simulación se ha realizado la
partición de los datos de producción de minerales de plata en
Eror de entrenamiento
7
forma aleatoria como se muestra en la figura 6.
6.5
5.5
5
0 5 10 15 20
Neuronas en la segunda capa
Fig. 3. Funciones de activación versus el error

de entrenamiento en la segunda capa de la RNA.
3) Selección del algoritmo de entrenamiento.

En este trabajo se utilizó una red neuronal multicapa con
retropropagación (Backpropagation), para predecir la variable
de producción de minerales de plata, especialmente útil en Fig. 6. Partición de las observaciones de la producción de minerales de plata.
aplicaciones de reconocimiento o clasificación de patrones. Los
algoritmos estudiados en el entrenamiento de la RNA fueron: 5) Diseño de la red neuronal, experimentación con varias
Retropropagación acelerada (Quick Propagation), Gradiente topologías de acuerdo con la etapa de entrenamiento y en
descendente, Quasi Newton, Limited memory, Quasi Newton función de los indicadores del pronóstico.
propagation, Método de Lavenberg Marquardt,
Retropropagación incremental, (Online Backpropagation), Los experimentos realizados permitieron definir:
Retropropagación en lotes (Batch Backpropagation). • Tipo de arquitectura de la red neuronal
Los resultados de los experimentos en la selección del o Definir número de capas.
algoritmo apropiado para el entrenamiento de la red neuronal se
muestran en las figuras 4 y 5, las pruebas se realizaron para dos o Número de unidades de entrada (neuronas) en las
steps y 11 neuronas en la capa oculta. capas de: entrada y oculta.
• Establecer los parámetros más óptimos del
entrenamiento de la red neuronal que permitan
minimizar el error cuadrático medio.
6) Selección de la topología más óptimo de la red neuronal
artificial. En la investigación se realizó:
• Experimentación con las topologías, se configuro la
variable de entrada, rezagos en la topología, parámetros
de escalamiento, steps en la topología, y número de
capas.
• Validación del entrenamiento de las topologías.
Fig. 4. Error cuadrático medio en función de algoritmos de retropropagación
178
III. RESULTADOS Después de realizar previsiones para la serie se han calculado

seis pronósticos, correspondientes al periodo 2018:01 –
A. Pronóstico de la producción de minerales de plata con la 2018:06. Para medir la calidad de los pronósticos, se utilizan dos
topología óptima. estadísticos: El Error Medio Absoluto (MAD) y el Error Medio
La tabla 1 muestra los valores pronosticados de la Absoluto Porcentual (MAPE), a partir de las dos técnicas de
producción de minerales de plata en Bolivia en el periodo pronósticos utilizadas como son el de redes neuronales y los
2018:01–2018:06. Estimaciones con los modelos de redes modelos autorregresivos integrados con medias móviles.
neuronales experimentados en el presente trabajo.
Conclusiones y recomendaciones
TABLA I. PRONÓSTICOS DE MINERALES DE PLATA En la tesis se ha aplicado el pronóstico de producción de
CON REDES NEURONALES ARTIFICIALES.
minerales de plata mediante redes neuronales artificiales,
Producción mineral de plata (TM finas) estudio que demuestra la gran utilidad de la red de propagación
Modelo RNA en el campo de análisis de series temporales.
Periodo
2018 [2-20-1] [4-1-2-1] [6-4-9-1]
Los resultados de la investigación de los pronósticos de
Enero 111.70 111.38 110 producción de mineral de plata permiten concluir lo siguiente:
Febrero 112.34 111.58 112.09
a) En el diseño de la red neuronal artificial las funciones
Marzo 113.33 112 112.56 de activación más optimas son: la función lineal en la entrada y
Abril 113.96 112.45 113.26 logística en la salida.
Mayo 114.59 112.89 113.98 b) Para la selección del algoritmo de entrenamiento se
realizaron varias simulaciones en función del error absoluto y
Junio 115.08 113.21 114.9
error cuadrático medio, siendo el más óptimo el algoritmo de
Calculado en base a los datos del INE gradiente ascendente conjugado el que presenta el menor error
B. Evaluación del pronóstico con los modelos neuronales para 1000 interacciones (EA =7,77% y MSE =0.009887).
Las diferencias de los valores reales y pronosticados por los c) Los estadísticos del error medio Absoluto porcentual
modelos de redes neuronales se muestran en la tabla 2. Estas (MAPE = 1.29%) y el error medio absoluto (MAD = 2.75)
diferencias en función de los indicadores de evaluación de determinan que se logra una buena calidad en el pronóstico con
pronósticos no permiten concluir que el mejor modelo de red redes neuronales cuya topología es [2-20-1].
neuronal artificial tiene una arquitectura [2-20-1]. d) El entrenamiento de la red neuronal [2-20-1] muestra
un rendimiento con un ajuste de pesos a una distribución normal
TABLA II. INDICADORES DE EVALUACIÓN un coeficiente de correlación (R2=90.11) y una correlación del
DEL PRONÓSTICO PARA LOS MODELOS RNA
94.96 % entre la salida deseada y la salida de la red.
Porcentaje
Desviación del error REFERENCIAS
Error Desviación media medio
[1] Instituto Nacional de Estadística (INE).
Modelo Error Medio al estándar absoluta absoluto
RNA Medio cuadrado del error (MAD) (MAPE) [2] Freeman, James y Skapura, David: “Redes Neuronales algoritmos,
aplicaciones y técnicas de programación”, 1a edición, Addison-Wesley
[2-20-1] 0.44 1.58 1.29 1.58 1.38% Iberoamericana, E.U.A
[3] Rabunal, Juan y Dorado, Julian: “Artificial Neural Networks in Real-Life
IV. DISCUSIÓN Applications”, 1a edición, Idea Group Publishing, E.U.A 2006.
Estado de la hipótesis [4] Rojas, Raul: “Neural Networks. A Systematic Introduction”, 1a edición,
Springer, E.U.A. 1996.
El modelo de pronóstico con Redes Neuronales Artificiales [5] Guajarati, Damodar:” Econometría”, 1a edición Mc Graw-Hill, México
permite mejorar la estimación de la producción de mineral de 2004.
plata. [6] Shlens, Jonathon: “Time Series Prediction with Artificial Neural
Networks”,1999
Scirley Maritza Nina Yucra es Ingeniera de Sistemas por la Universidad Técnica de Oruro. Diplomada en redes integradas en
telecomunicaciones, Universidad del Valle (La Paz). Diplomada en Organización y administración pedagógica del aula en educación
superior, CEPIES UMSA. Diplomada en medio ambiente, seguridad y salud ocupacional para la educación en el área industrial.
Fue docente facilitadora para el curso de Postgrado UMSA Diplomado en mantenimiento técnico–CD.MANTEC 2011; disertante
2do. Congreso Boliviano de Ingeniería de Mantenimiento “Análisis de Sistemas Informáticos Aplicados al Mantenimiento” (La Paz
2003); expositora en “Calidad Educativa” Dirección Municipal de Educación 2009; expositora en “Formación Pedagógica” DME
2010; expositora en el “Curso-Taller de Pedagogía” DME 2010. Es docente universitaria.
Email: scirleymaritzaninayucra@gmail.com.
179
Modelo de transformación digital

para mejorar los procesos educativos
en Educación Superior aplicando Big Data
Shirley Solange Salazar Montoya
La Paz - Bolivia
shirleysalazarmontoya@gmail.com
Resumen—El presente estudio, realizado en la Carrera de verificaciones y valoraciones in situ, para que los mismos sean
Informática de la Universidad Mayor de San Andrés, propone un almacenados, procesados y sujetos a análisis posterior tanto para
modelo de transformación digital para la carrera con base en la el estudio como para tomadores de decisión.
información recopilada de los docentes de las materias específicas
y estudiantes de la Carrera de Informática. El fin es mejorar los Big Data es un término que describe el gran volumen de
procesos educativos en la Educación Superior, utilizando como datos, tanto estructurados como no estructurados, que inundan
herramienta de análisis el Big Data, el cual es muy útil en la toma los negocios cada día. Cuando el modelo propuesto hace
de decisiones y muy utilizado últimamente en diversas áreas. Este referencia a Big Data, no lo hace respecto de la cantidad de
modelo establece en primera instancia ¿cómo está la educación datos, lo hace respecto a las estrategias seguidas por
actualmente? Posteriormente determina las capacidades e organizaciones para recolectar y analizar los datos.
intereses tanto de docentes como estudiantes para poder encarar y
aceptar esta mejora del proceso educativo. El modelo es una A. Planteamiento del Problema
propuesta para que la dirección, docentes y estudiantes consideren En Bolivia, el 26.9% de las personas de 19 o más años
los indicadores y variables generados por el modelo que se debe alcanzó el nivel de instrucción superior en el periodo 2016; es
mejorar. Lo ideal sería que el modelo sea puesto en marcha en la decir, 27 de cada 100 bolivianos asistió a un centro de formación
carrera a fin de mejorar la educación superior, además de ser o profesionalización [1]. En regiones como Bolivia, está
replicable para otras carreras. presente el factor de la brecha digital, es decir que, si uno no se
sube al tren de la digitalización y la tecnología, corre el riesgo
Palabras clave—transformación digital, big data, disrupción
de quedar rezagado y en la educación se pierden oportunidades.
digital, blended learning, aulas virtuales, moodle, diseño
triangulación concurrente.
En este sentido se visualiza un uso masivo de contenido basado
en videos y otras herramientas dinámicas.
I. INTRODUCCIÓN En la transformación digital el denominador es poner al
El presente artículo muestra el resultado de la construcción usuario al centro. En Educación Superior quiere decir que hay
del modelo propuesto para la transformación digital para que poner al alumno como único y exclusivo protagonista del
mejorar los procesos educativos aplicando herramientas de aprendizaje. Se debe tener en cuenta que la transformación
análisis de Big Data. El modelo se plantea para la Carrera de digital de la universidad debe afectar de lleno a su misión y su
Informática de la Universidad Mayor de San Andrés, en las estrategia, teniendo en cuenta los ámbitos donde interviene: por
materias específicas de su malla curricular. un lado, en el campo del aprendizaje y la educación, y todo lo
que implica la transmisión de conocimiento; por otro lado, el
En primera instancia se muestra el método de investigación gran pilar de la universidad, su labor investigadora y con ello, su
con la correspondiente muestra para el estudio y los generación de conocimiento.
instrumentos utilizados. Posteriormente se identifican las
determinantes para mejorar los procesos de educación y se Con lo planteado anteriormente, surge el problema para
muestra la aplicación realizada para utilizar las herramientas de determinar: ¿Cuáles son los factores que están relacionados con
análisis de Big Data. los procesos educativos en una entidad de educación superior y
su incidencia en un proceso de transformación digital?
Por último, se presentan las demostraciones del
cumplimiento de los objetivos planteados para el estudio, B. Justificación
mismos que fueron desarrollados con base en indicadores y El modelo analiza los procesos educativos para mejorar el
variables propuestos para el modelo de transformación digital aprendizaje en la educación superior, con el cambio de la
que practican los procesos educativos de la carrera de docencia tradicional por docencia soportada por entornos
informática. Los resultados que muestra la herramienta son digitales de manera disruptiva, dentro del marco de la
procesados con base en la información recopilada de encuestas transformación digital en las instituciones educativas.
(3 distintas) e información obtenida de la carrera mediante

[N] S. Salazar, «Modelo de transformación digital para mejorar los procesos educativos en Educación
Superior aplicando Big Data», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8,
pp. 180-184, 2020.
180
Además, pretende incentivar a todo el sistema educativo: C. Instrumentos utilizados

estudiantes, docentes, instituciones educativas y sociedad en En lo que se refiere a la recopilación de la información se
general a través del uso de nuevas e innovadoras herramientas emplearon los siguientes instrumentos:
tecnológicas siendo parte de la transformación digital en la
generación de Millennials y generación Z. 1. Encuesta de percepción del proceso educativo del 1er.
Semestre 2019: Los estudiantes deben evaluar no sólo al
Por último, permite mitigar el impacto de la disrupción en docente sino también el contenido de la materia, así como
entornos digitales del sector educativo, de instituciones el proceso de educación y aprendizaje que se está
educativas, mismos que podrán reaccionar a tiempo evitando impartiendo actualmente.
pérdidas económicas. Por otro lado, podrán generar mayores
ingresos incrementando la cantidad de inscritos. 2. Encuesta de capacidades e intereses del uso de
tecnología: Dirigida a los estudiantes para conocer los
II. MÉTODOS aspectos más importantes que se utilizarán para el
modelo en lo que se refiere a la transformación digital y
A. Métodos de Investigación Utilizados
el uso que dan los estudiantes a las TICs en la Educación.
Se utilizó el método de investigación del Diseño de
Triangulación Concurrente (DITRIAC), en el que se establecen 3. Encuesta de uso de tecnologías en el proceso educativo:
las fortalezas tanto del método cuantitativo como del método Dirigida a docentes para determinar los aspectos que
cualitativo con sus respectivos diseños a fin de triangular estos. conocen los docentes referidos a la transformación
Con base en ello se utilizaron los siguientes tipos de digital y el uso en la impartición de la docencia que dictan
investigaciones: sobre las TICs.
4. Diagnóstico de la Carrera de Informática: Con la
finalidad de conocer la capacidad instalada y las
características en general de la carrera para poder
afrontar una mejora en la educación con miras a la
transformación digital.
De los instrumentos anteriormente mencionados y haciendo
énfasis en el empleo de la tecnología, se realizaron las primeras
3 encuestas de forma digital, es decir los estudiantes y docentes
ingresaron al enlace: www.formulario.econotec.com.bo con la
finalidad de realizar el llenado de las encuestas. La información
fue directamente digitalizada ahorrando tiempos y
Fig. 1. Metodología de investigación utilizada. procedimientos.
La herramienta del diagnóstico contiene preguntas
B. Muestra utilizada realizadas a la carrera de Informática: dirección, personal
Se consideró la carrera de Informática como la Unidad de administrativo, laboratorio, biblioteca y centro de estudiantes,
Análisis y la población de estudio se dividió en: Estudiantes de con la finalidad de saber la capacidad que tiene la carrera para
las materias específicas de la carrera de Informática y Docentes afrontar la transformación digital.
de dichas materias. Estableciendo para tal efecto los siguientes
diseños muestrales: D. Determinantes para mejorar los Procesos Educativos en
la Educación Superior
1) Muestra probabilística: Se utilizó dos tipos de muestreo: Para el presente estudio se identificaron los siguientes:
a) Muestreo Estratificado: Para la primera encuesta
realizada a estudiantes utilizando la siguiente fórmula para cada 1) Sesión de aprendizaje: que contiene los siguientes
uno de los estratos determinados: indicadores:
a) Motivación
ni = n  Ni / N (1) b) Promoción de la recuperación de saberes
Donde: c) Generación de conflictos cognitivos
N número total de estudiantes en materias objeto de estudio de 9 semestres
Ni número de estudiantes de cada semestre (del 2do al Decimo semestre) d) Procesamiento de la información
N tamaño total de la muestra e) Reflexiones sobre el aprendizaje
Ni tamaño de la muestra de cada semestre (del 2do al Decimo semestre) f) Forma de evaluación de los contenidos no
b) Muestreo aleatorio: Para la segunda encuesta realizada memorísticos.
a estudiantes se utilizó la herramienta Decision Analyst STATS 2) Proceso pedagógico y uso de tecnología en aula: Que
2.0 para calcular la muestra, registrando parámetros comprende los procesos pedagógicos deductivo e inductivo:
preestablecidos.
2) Muestra no probabilística: Para la encuesta realizada a a) Proceso Pedagógico actual vs. Moderno.
b) Motivación para el aprendizaje.
docentes se utilizó el Muestro por Conveniencia, el cual
c) Uso de TICs en el proceso pedagógico.
consiste en seleccionar a los individuos que conviene investigar d) Evaluación del proceso educativo.
para el estudio.
181
TABLA I. CATEGORÍAS DEL PROCESO PEDAGÓGICO EN SALA DE CLASE [2] la cual permite transferir datos desde distintos RDBMS a
Hadoop y viceversa.
El componente de Hadoop utilizado para el procesamiento
fue MapReduce que consiste en un framework de programación
que trabaja sobre HDFS y se basa en el uso de funciones. Para
posteriormente mostrar los resultados a través de su vínculo con
PHP, usando un framework Codeigniter.
“El uso de la tecnología de Big Data en la educación superior
comenzó a brindar beneficios en lo referente a la mejora de la
gestión educativa. Es la analítica del Big Data el recurso clave
para analizar, visualizar, entender y mejorar la educación” [4].
3) Variables de la transformación digital:

a) Uso de TICs por parte de los docentes y estudiantes.
b) Transformación Digital vinculada a la Educación.
c) Herramientas de análisis Big Data vinculados a la
Educación Superior.
d) Preferencias y usos que dan los docentes y estudiantes
al Internet.
e) Uso de las herramientas tecnológicas para la educación.
E. Desarrollo del modelo con herramientas de análisis Big Fig. 3. Diagrama de flujo de MapReduce
Data
Para la preparación de un Modelo con herramientas de III. RESULTADOS
análisis de Big Data [3] se realizaron los siguientes procesos: Desarrollo del modelo de transformación digital para
Fuentes de datos: Toda la información recopilada es contenida mejorar los procesos educativos en la Educación Superior con
en un servidor proveniente de más de una fuente de ingreso, una herramienta tecnológica utilizada por Big Data para la
capturados a través de sitios web, plataformas móviles y análisis Carrera de Informática.
in situ. El modelo desarrollado está basado en un análisis de la
Recolección: Cada tipo de información tiene su propio servicio educación. Estudia cómo se imparte actualmente en la carrera de
de almacenamiento de acuerdo a la tecnología que use para su Informática, para determinar las falencias y beneficios, que
almacenamiento. posteriormente con la información de las capacidades, aptitudes
Procesado: La información almacenada en nodos se estandariza y sobre todo el deseo de estudiantes y docentes, permita generar
y se filtran datos que se consideran veraces y necesarios. la transformación digital a fin de mejorar los procesos
Almacenamiento: Se almacena en un receptor codificado educativos con el uso de la tecnología.
Análisis: Producción, segmentación, clasificación y atribución
de variables Mediante la herramienta Hadoop que permite el análisis de
la información en Big Data se establecieron los criterios basados
en lo mencionado. Para poder demostrar el modelo, estos
criterios se insertan en la herramienta adaptable a Big Data que
permite demostrar los objetivos propuestos.
SESIÓN El modelo está compuesto por
DE APRENDIZAJE Preguntas14 indicadoresPara(cada
a Utilizar cada preguntauno
se ponderacon
sobre 100 %
alMotivación
menos una
Recuperación de Saberes Previos
C1_s02_1 = 1
variable) bajo
C1_s02_4 = 1
el C1_s02_2 = 1
siguiente C1_s02_5 = 2
esquema Por ejemplo en este caso cada pregunta tiene una valoración del 33,33%
de criterios a
Esta única pregunta tiene una valoración del 100%
cumplir
Conflictos Cognitivosde cada variable: C1_s02_6 = 1 ó 3 C1_s02_8 = 5 ó 4 ó 3
Permitir el Procesamiento de la información C1_s02_3 = 1
Generar reflexión sobre el aprendizaje C1_s02_7 = 3 C1_s04_2 = 1
TABLA II. CRITERIOS DEL MODELO EDUCACIONAL PROPUESTO
Forma de evaluación de contenidos C1_s04_8 = 2 C1_s04_9 = 1 ó 2 C1_s01_10 = 4 ó 5
PROCESO PEDAGÓGICO Y USO DE TECNOLOGÍA EN

AULA Preguntas a Utilizar
PROCESO DEDUCTIVO
Inicio - Información Estructurante C1_s01_1 = 1 C1_s01_1 = 3 C1_s01_9 = 1
Desarrollo - Aplicación de procedimiento C1_s01_2 = 1 C1_s01_11 = 5 Asimiliación de la información
Fig. 2. Modelo Big Data aplicado a educación superior C1_s04_4 = 3 C1_s04_3 = 5 C1_s01_2 = 2 Ejecución
C1_s04_6 = 1 C1_s04_7 = 1 ó 2 Retroalimentación
Cierre - Verificación de información C1_s04_5 = 1 C1_s01_3 = 3
En el modelo, las encuestas y el relevamiento de información PROCESO INDUCTIVO
son las fuentes de datos, los cuales permiten hacer una Inicio - Situación Problema C1_s01_1 = 2 C1_s01_4 = 1 C1_s02_6 = 1 C1_s01_9 = 2 ó 3
simulación por nodos. Estos se almacenaron en un archivo de un Desarrollo - Construcción de respuesta C1_s01_2 = 2 ó 3 C1_s01_11 = 1 ó 2 C1_s02_7 = 3 Negociación de estrategia
C1_s02_2 = 2 ó 7 C1_s02_5 = 1 C1_s01_11 = 2 ó 5 Construcción y ejecución de estrategia
servidor para que posteriormente sean llevados a una base C1_s01_2 = 6 C1_s01_10 = 5 ó 4 ó 3 C1_s01_11 = 2 ó 5 C1_s01_8 = 1 Reflexión
estructurada (PostgreSQL). Cierre - Formalización disciplinar C1_s01_3 = 1 ó 4 C1_s04_7 = 1 ó 2 C1_s04_4 = 1
Para el desarrollo del modelo se utilizó la herramienta de PROCESO PEDAGÓGICO Preguntas a Utilizar
análisis Hadoop, esta cuenta con un componente llamado Sqoop
Contenido de materia actualizado C1_s01_6 = 1
Evaluación Constante C1_s01_10 = 5 ó 4 ó 3
182 Clases principalmente Prácticas C1_s01_12 = 2 > 50%
Métodos variados de enseñanza C1_s02_6 = Más de 3 opciones marcada
Clases comprensibles C1_s04_2 = 1
Para que el modelo funcione cada una de las variables las características de este proceso educativo y las variables que
definidas debe cumplir con los requisitos preestablecidos. intervienen.
A. Principales procesos educativos en educación superior En los resultados se puede verificar por materia incluso por
que resultan claves para mantener la motivación elevada paralelo, si se da un proceso educativo deductivo o un proceso
en los estudiantes de la carrera de Informática. inductivo, como se ve en el siguiente ejemplo:
En la sesión de aprendizaje todo proceso pedagógico tiene
momentos fijos y uno de los principales es la motivación, que es
un proceso permanente mediante el cual el docente crea
condiciones, despierta y mantiene el interés del estudiante por
su aprendizaje.
En este sentido la 1ra encuesta a estudiantes contiene
variables que permiten identificar la motivación tanto por
materia, así como por paralelo.
El objetivo de mostrar los resultados es mejorar los procesos Fig. 5. Componentes del método de enseñanza
de motivación vinculados a la sesión de aprendizaje en aquellos de un paralelo y materia específicos.
paralelos que así se requiera.
De manera general, en la carrera existe todavía un porcentaje
alto de procesos educativos clásicos.
Fig. 4. Criterios de una óptima sesión de aprendizaje

de un paralelo y materia específicos. Fig. 6. Proceso educativo actualizado y clásico de una materia específica.
Estos resultados pueden mostrarse por materia e incluso por En algunas materias e incluso paralelos seguramente el
paralelo, a fin de identificar en que paralelos se necesita porcentaje es más alto, esta información de acuerdo a los
motivación. Al decir motivación elevada el tomador de requerimientos se puede visibilizar por materia y por paralelo.
decisiones puede asignar un porcentaje a fin de que cumpla las
expectativas. C. Principales indicadores que se deben obtener, analizar y
entregar como soporte a la toma de decisiones.
B. Procesos educativos en los que intervienen los agentes en
La importancia de obtener parámetros para generar los
la educación superior: estudiante, docente y universidad.
componentes necesarios para un modelo de transformación
Los procesos educativos que se investigaron son los digital permite tener información a nivel de indicadores.
desarrollados en aula y mediados por soportes computacionales, También permite analizar el actual proceso educativo y las
cada uno con sus fases de inicio, desarrollo y cierre de la clase. capacidades y disposición de estudiantes y docentes para
Estos procesos pedagógicos son: adoptar un nuevo modelo acorde a los requerimientos
1. Proceso pedagógico deductivo: Las actividades de educacionales en la actualidad. El desarrollo de los mismos está
enseñanza tienen como propósito que el estudiante compuesto de la siguiente manera:
asimile y aplique los contenidos a una situación de TABLA III. PRINCIPALES INDICADORES DEL MODELO
aprendizaje, la estrategia metodológica se focaliza en la PARA TOMA DE DECISIONES
estructuración de la acción del estudiante; al término de Área Indicador

la clase el docente verifica el proceso realizado y se Sesión de Aprendizaje
complementa la información a través de la Proceso Deductivo
retroalimentación. Proceso Inductivo
Proceso Educativo
2. Proceso pedagógico inductivo: Son las actividades de Actual
Proceso Pedagógico
enseñanza que tienen como propósito que el estudiante Motivación Para el Aprendizaje
diseñe, construya, aplique y argumente su respuesta a Uso de Tecnologías de Información y Comunicación
Evaluación del Proceso Educativo
una situación de aprendizaje. La estrategia
Capacidad del Uso de Tecnologías de Información y Comunicación
metodológica se inicia con la presentación de una estudiante para asumir Transformación Digital Vinculada a la Educación
situación problema, y termina con la formalización un modelo de Big Data vinculado a la Educación Superior
comprehensiva de los aprendizajes esperados. transformación digital Preferencias y usos que dan los estudiantes al Internet
Capacidad del Uso de Tecnologías de Información y Comunicación

Con los resultados de la 1ra encuesta a estudiantes y por docente para asumir Uso de Herramientas tecnológicas para la educación
medio de la herramienta de análisis Big Data se puede identificar un modelo de Big Data vinculado a la Educación Superior
transformación digital Preferencias y usos que dan los estudiantes al Internet
183
D. Principales áreas en las que una institución educativa uso de los conceptos plasmados en un modelo, donde en fases
necesita alinear la tecnología con la estrategia para de captura de información de diferentes fuentes de información
agregar valor a un modelo educativo blended. se ingresan datos para el estudio, estos serán codificados y
El aprendizaje combinado o blended learning también se cuantificados con base en una valoración de sus respuestas y
basa en la combinación de la formación en línea presencial, pero haciendo uso de la tecnología de Hadoop un framework para Big
de un modo distinto: algunos contenidos se imparten en clases Data, donde se usó herramientas de su ecosistema Sqoop y
presenciales, mientras que otros se desarrollan exclusivamente MapReduce para el ingreso y análisis de información, para
con el internet. posteriormente integrarlo en un visor web que despliegue los
resultados en base a modelos estadísticos. La herramienta está
Para aplicar o sugerir el uso de dicha estrategia y poder diseñada para que se acceda por diferentes tipos de fuente de
agregar valor con un modelo educativo blended que se aplique información que serán analizados con el modelo realizado.
en la carrera de Informática, la herramienta del Big Data nos
muestra como resultado de este objetivo lo siguiente: IV. DISCUSIÓN
El modelo propuesto de transformación digital permite a los
directores de carrera y autoridades educativas, como tomadores
de decisiones, visibilizar la información necesaria para poder
implementarla en la carrera, en una determinada materia e
incluso en un determinado paralelo, como una mejora.
Los resultados de la aplicación del modelo contienen
indicadores y variables educacionales identificadas como
fundamentales para mejorar los procesos educativos vigentes en
la Carrera de Informática de la Universidad Mayor de San
Fig. 7. Predisposición a un modelo educativo Blended Andrés mediante el uso de Hadoop para el análisis de los datos.
por parte de los estudiantes de la carrera de informática
El uso de la tecnología en casi todos los procesos del estudio
Los estudiantes de manera general no conocen los que es el agiliza el análisis de la información y permite mostrar resultados
modelo Blended o modelo de educación invertida, sin embargo, de calidad en tiempo oportuno para los tomadores de decisión.
más del 70% de estudiantes tuvieron alguna clase en la que De manera general se percibe que los estudiantes quieren esta
estudiaron en casa y practicaron en clases, y les pareció útil esta mejora de los procesos educativos.
metodología. Por ende, un porcentaje muy similar se obtiene
ante la consulta si les gustaría tener clases virtuales. REFERENCIAS
[1] Instituto Nacional de Estadística, Datos Sociodemográficos, con base a
E. Prototipo de herramienta tecnológica con soporte Big registros administrativos de Educación.
Data que permita integrar el modelo de Transformación [2] Villalta Paúcar, Marco Antonio. Procesos pedagógicos y uso de
Digital con procesos educativos. tecnología en el aula. Revista complutense de Educación, Vol. 26 Núm. 2
(2015). Universidad de Santiago de Chile.
A fin de cumplir con los objetivos planteados se desarrolló
[3] https://www.powerdata.es/big-data: Big Data: ¿En qué consiste? Su
una herramienta que permite el análisis de información continua importancia, desafíos y gobernabilidad.
y oportuna al interpretar el modelo de educación, para lo cual se [4] Salazar, Javier Argonza. Big Data en la Educación. Revista Digital
utilizó herramientas Big Data manteniendo las consignas de Universitaria, Vol. 17. (2016). UNAM – México.
variabilidad, volumen, veracidad, velocidad y valor, haciendo
Shirley Solange Salazar Montoya es Licenciada en Informática mención Ingeniería de Sistemas por la Universidad Mayor de San
Andrés 2002. Inscrita en la Sociedad de Ingenieros de Bolivia matrícula 96625. Diplomada en gerencia y planificación estratégica;
Diplomada en tecnologías de la información y las comunicaciones; Diplomada en aprendizaje cooperativo y nuevas tecnologías en
educación superior con estilo salesiano (U Católica Brasilia–U Salesiana Bolivia 2006); Diplomada en organización y administración
pedagógica del aula en educación superior (UMSA-CEPIES 2003). Certificaciones “Technology literacy for educators–21st century
learning desing”, Microsoft Certified Educator, Cisco Certified Network Associated–CCNA. Especialidad en Gestión de riesgos en
proyectos de desarrollo (BID); Especialista Vmware Vsphere: ICM – ESXi 6.5 and Vcenter Server 6.5”. Actualmente realiza la
Maestría de Gerencia Estratégica de Tecnología y Sistemas de Información GETSI en el Postgrado en Informática UMSA.
Laboralmente se desempeñó en el área de Infraestructura Tecnológica en: Instituto Nacional de Estadística, OEP-Tribunal Supremo
Electoral, BIT Tecnologías, UMSA–Canal 13 Televisión Universitaria, Caja Nacional de Salud.
Expositora conferencias en Confederación Nacional de Profesionales “Tecnologías de la Información y la Comunicación” y en la
Universidad Salesiana de Bolivia “Visión Gerencial un nuevo reto profesional”. Es docente universitaria. Diploma de Honor –
Docencia (2012 y 2010) Universidad Loyola.
Sus intereses investigativos incluyen la Infraestructura Tecnológica, Transformación Digital y la Educación Superior.
Email: shirleysalazarmontoya@gmail.com.
184
Plan de Inbound Marketing para la difusión de

PYMES de desarrollo de software en La Paz
Silvana Llanque Pérez
La Paz – Bolivia
llanquesilvana@gmail.com
Resumen—Actualmente, las empresas necesitan realizar en las estrategias para adecuar los intereses del público y
Marketing para poder ofrecer y vender sus productos o servicios; alcanzar un nuevo número de ventas.
pero con el avance de la tecnología las campañas de marketing
tradicional han quedado limitadas en espacio y tiempo. Por dicha El Outbound marketing provocaba que los consumidores
razón, el presente trabajo se enmarca en el desarrollo y ejecución sean bombardeados con llamadas desagradables, spam,
de un plan de Inbound Marketing diseñado para Pymes, es decir, anuncios invasivos. Sin embargo, todo lo anteriormente
pequeñas y medianas empresas dedicadas al desarrollo de mencionado ahora puede ser evitado con herramientas
software. El Inbound Marketing tiene como objetivo a los clientes, poderosas que está a disposición de todos. Por este motivo y las
los contenidos que se les presenta y las oportunidades de venta que preocupaciones el Inbound Marketing sigue avanzando y
le surjan a la empresa por el uso de medios de comunicación ganando puntos. Además, el 80% de los consumidores prefieren
digitales. El plan propuesto toma la metodología Inbound buscar información de un producto determinado en un artículo
Marketing y la combina con características propias de las Pymes completo que en un anuncio publicitario [3].
y su marketing para que la empresa pueda vender sus productos
o servicios para crecer a nivel comercial, generar mayores Actualmente el Inbound Marketing está siendo más
ganancias y ganar reconocimiento en su rubro. utilizado, en comparación al Outbound Marketing ya que la
jornada del consumidor ha cambiado con la llegada de los
Palabras clave—productos, servicios, cliente, oportunidades de avances tecnológicos, sobre todo con los dispositivos móviles,
venta, Pymes, marketing, tecnología, software. que hoy en día se ha vuelto como una extensión de la vida de las
personas.
I. INTRODUCCIÓN
Por otro lado, en todas las ciudades de Bolivia el establecer
En Bolivia con la visión económica del nuevo gobierno se
una empresa de manera formal es toda una odisea ya que
ha visto que varias transnacionales, empresas de distinto tipo han
conlleva un número alto de trámites, la pesada carga fiscal, los
optado por el desarrollo de tecnologías principalmente [1].
mercados pequeños entre otros. Además, va incluido el
En el artículo de Carolina Samsing se define al Inbound marketing y los costos de publicación en los medios
marketing como “una estrategia que se basa en atraer clientes tradicionales. Entonces, un emprendedor boliviano inicia su
con contenido útil, relevante y agregando valor en cada una de empresa como alternativa a la falta de empleo, por tanto se es un
las etapas del recorrido del comprador” [2]. emprendedor más por necesidad que por oportunidad, lo cual
implica que se cometa errores al implementar el nuevo tipo de
El presente documento muestra un plan de Inbound marketing, los cuales se describen a continuación [4]:
Marketing, el cual es acompañado de elementos de las pequeñas
y medianas empresas Pymes dedicadas al desarrollo de software • Falta de confianza en el sistema de los nuevos tipos de
usando fases, herramientas y técnicas de dicho tipo de marketing.
marketing, el cual se encargará de brindar a empresas de dicho • Ignorar a los clientes.
rubro, ayuda en la difusión y comunicación para que las mismas
aumenten. • Contenido de mala calidad.
• Usar perfil en vez de Fan Page de la empresa.
II. MARCO DEL PROBLEMA
• Pagar a Facebook por publicaciones de baja relevancia.
A. Planteamiento del problema • Copiar la tendencia actual sin pertenencia hacia la
En la actualidad cuando se es un emprendedor se busca empresa.
estrategias de marketing para desarrollar un negocio y solo se • Presencia digital únicamente en redes sociales.
termina gastando dinero y por otro lado existen agencias que
ofrecen muchos servicios con pocos resultados, lo cual genera • Métodos de pago y entregas ineficaces.
desconfianza hacia ellos. Otro problema generado es que ahora • o empezar hoy.
las empresas necesitan reconocer que la jornada del consumidor Finalmente, luego del revisar la información mencionada se
cambió, es decir, el consumidor está cambiando en su manera de llega a que el problema de la investigación surge de la necesidad
comprar, comparar cosas entre otros, lo cual lleva a un cambio de promocionar y hacer conocer los servicios ofrecidos de una

[N] S. Llanque, «Plan de Inbound Marketing para la difusión de PYMES de desarrollo de software en La
Paz», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 185-188, 2020.
185
Pyme de desarrollo de software a un costo bajo y llegando a con el mundo ya sea a partir de plataformas, redes sociales y
mayor cantidad de clientes objetivo en un periodo de tiempo otros. A su vez, ayuda a crear conciencia y confianza con su
corto comparado a la aplicación de campañas de marketing público objetivo [8].
tradicional y usando nuevas estrategias acorde al contexto
actual. B. Metodología Inbound Marketing
Hubspot [9] define las cuatro etapas que conforma el proceso
B. Formulación del Problema de Investigación de Inbound Marketing de la siguiente manera:
De acuerdo a lo definido anteriormente el problema ha sido
formulado de la siguiente manera:
¿Cómo se difunden los servicios y productos que ofrecen las
Pymes de desarrollo de software a la población de La Paz?
C. Planteamiento del objetivo
1) Objetivo general
Diseñar un plan de Inbound Marketing para la difusión por Fig. 1. Metodología Inbound Marketing [9]
canales digitales de los servicios y productos que ofrecen las
Pymes de desarrollo de software a la población de La Paz. Atraer: se refiere a la atracción de extraños al sitio web de la
2) Objetivos específicos empresa y convertirlos en visitantes. Algunas herramientas que
• Realizar la conversión de un visitante en cliente de una se pueden usar para tal propósito son: publicar en blogs,
Pyme de desarrollo de software. optimización de sitios web y redes sociales.
• Crear y optimizar el contenido de páginas web y redes Convertir: en dicha etapa se trata de convertir a algunos
sociales de una Pyme enfocada al desarrollo de software visitantes en oportunidades de venta procediendo así con la
• Realizar la difusión de los productos y servicios de una recolección de información obteniendo mínimamente la
Pyme de desarrollo de software. dirección de correo electrónico. Hubspot define “la información
del contacto es la moneda global del Inbound Marketing”.
• Analizar resultados obtenidos del plan de Inbound
Marketing. Cerrar: luego de la conversión es hora de transformar las
oportunidades de venta en clientes. Las herramientas para esta
III. MARCO TEÓRICO etapa son el correo electrónico y el CRM que sirven de ayuda
A. Inbound Marketing para vender a las oportunidades de ventas correctas en el
momento adecuado.
El Inbound Marketing es una nueva técnica del Marketing
digital cuyo objetivo es la captación de leads 1 a partir del Deleitar: El Inbound Marketing se basa en suministrar
contenido. Básicamente es tener posicionamiento web y contenido de calidad a los usuarios, aunque solo sean visitantes,
conseguir leads compaginando una estrategia de marketing oportunidades de venta o clientes. Las compañías que emplean
basada en la adquisición de tráfico para atraer visitas [5]. métodos Inbound continúan complaciendo y generando interés
en sus clientes, convirtiéndolos en promotores de los productos
En el libro “La revolución de las ventas” de Font y Pais, y servicios que les encantan.
Inbound Marketing es conocido también como marketing de
atracción. El objetivo de dicho tipo de marketing es lograr que Luego toda la metodología vuelve a comenzar; es decir, se
el cliente potencial haga el primer contacto con la marca y vuelve a la etapa de atraer extraños con ayuda de los promotores.
evolucione de forma natural hasta completar una venta. Se C. Plan de Inbound Marketing para Pymes de desarrollo de
menciona que para atraer al usuario se diseña una estrategia de
software en La Paz
contenidos que sean del interés del mismo [6].
El plan se compone de siete pasos que son:
En el documento Propuesta de implementación de la
metodología Inbound Marketing (marketing de contenidos) Paso 1: Análisis y planificación
para mejorar las acciones de mercadeo de la Cooperativa El presente paso comprende lo siguiente:
multiactiva “Copservir Ltda” se indica que dicho tipo de
marketing proporciona contenido de calidad a los consumidores • Matriz FODA;
haciéndolos participar en el consumo de los mismos y con un • Definición del equipo de trabajo;
concepto de marketing experiencial es posible obtener mayores
niveles de aceptación y éxito, es decir, generación de tráfico en • Definición de calendario;
el sitio web [7]. • Presupuesto;
Hubspot define Inbound Marketing como una filosofía • Onboarding para empleados.
empresarial basada en ayudar a las personas y su enfoque de Paso 2: Identificación del buyer persona
entrada significa hacer negocios de forma humana y creando
relaciones 1:1 con “extraños”, prospectos o clientes. Inbound es Para la correspondiente identificación se debe tomar en
una nueva forma de comercializar, vender y ayudar a los cuenta datos relevantes de un tipo de cliente idóneo para los
clientes. Por otro lado, Inbound es compartir el conocimiento productos y servicios ofrecidos. La definición del buyer persona
1
Lead: Se trata de un cliente potencial de una marca determinada que
demostró interés en consumir producto o servicio de la marca.
186
ayuda a la segmentación del público objetivo y la creación de un contenido según sea el caso, el posicionamiento de la empresa
perfil de cliente ficticio para poner ofrecer los productos y en los buscadores y las redes sociales (seguidores,
servicios al cliente ideal en el momento adecuado. publicaciones, likes, y comentarios).
Paso 3: Atraer IV. MÉTODOS
Se debe tomar en cuenta la característica TOFU (top of the A. Diseño Metodológico
funnel), es decir, que el contenido sirva para atraer el mayor
número de visitantes posibles. Una vez definido ello se procede El diseño que se seguirá comprende el tipo de investigación,
a lo siguiente: el método de investigación y sus correspondientes técnicas. Por
esta razón se tomará en cuenta como instrumentos de
• Crear contenido investigación a las encuestas y proceder a un estudio de los
• Optimizar motores de búsqueda resultados obtenidos del estudio de mercado de Pymes de
desarrollo de software. Por otro lado, se empleará la
• Redes sociales (para el entorno definido se selecciona metodología del Inbound Marketing propuesta y para la
Facebook, Twitter, WhatsApp y LinkedIn) medición de audiencia se usarán distintas herramientas, como la
Paso 4: Convertir función de estadísticas de Facebook.
En el presente paso se toma en cuenta el MOFU (middle of B. Tipo de investigación
the funnel), donde se ofrece contenido para que los usuarios El tipo de estudio es de descriptivo y correlacional. El
empiecen a considerar los productos y servicios como respuesta presente trabajo podrá servir de base para la realización de otros
a su necesidad y puedan dejar sus datos y pasar al siguiente paso. estudios futuros ya que contempla nuevos ámbitos que no se han
profundizado del todo. La investigación es de tipo descriptivo
Para poder mostrar el contenido generado se debe crear las
porque se describirá el marco, las unidades de observación y los
landing pages de los productos y servicios ofrecidos con sus
criterios de elegibilidad; luego se realizará el análisis
respectivos botones de llamados a la acción para que los usuarios
correlacional de las variables de interés para descubrir los
o visitantes puedan dejar sus datos a la empresa y tomar
patrones relevantes para la investigación.
contacto.
La muestra de la investigación se define con el número total
Paso 5: Cerrar
de clientes de una pyme de desarrollo de software, de los cuales
Lo siguiente a tomar en cuenta es el BOFU (bottom of the se toma en cuenta los aspectos de edad, género, cargo del cliente
funnel), donde se genera contenido personalizado para usuarios en su empresa, servicios contratados y conocimiento de la
que han presentado interés en los productos y servicios empresa (como el cliente obtuvo información de la empresa).
ofrecidos.
C. Técnicas de investigación
En el paso 5 se debe trabajar con campañas de e-mail Para el estudio se recurre a dos técnicas principalmente:
marketing y los datos obtenidos en el paso anterior.
• Revisión de estadísticas, se refiere a revisar datos
Paso 6: Complacer actuales sobre la situación de las Pymes de desarrollo de
En la etapa post compra se toma en cuenta el onboarding de software y como las estrategias de publicidad en medios
clientes que cuenta con los tres pilares principales para digitales han ido colaborando a ello;
complacer al cliente: • Cuestionarios, para la definición del buyer persona.
• Educar, se debe contestar las dudas y recibir las D. Universo o población de referencia
sugerencias de los clientes que ya realizaron la compra La población de referencia son los clientes de una Pyme de
del producto. desarrollo de software en La Paz.
• Innovar, ir realizando cambios o mejoras a los productos
y servicios ya adquiridos por los clientes para mantener E. Muestra parametrizada
la fidelización. Para realizar el análisis del plan de Inbound Marketing y la
• Comunicar, al tener experiencia con el producto el definición del buyer persona se tomará en cuenta a los clientes
cliente podrá realizar una promoción del producto como que han adquirido un producto software o servicio de una Pyme
de la empresa y con ello llegar a más personas, es decir, de desarrollo de software ya que en ella se implementará el plan
los clientes se volverían evangelizadores de la marca y desarrollado.
empresa. F. Delimitación
Paso 7: Control y evaluación • Delimitación geográfica: El trabajo será realizado en la
ciudad de La Paz.
A medida que se va avanzando en los pasos se debe hacer un
control y monitoreo de las actividades para realizar las acciones • Delimitación temporal: El tiempo definido para el
correctivas necesarias oportunamente si fuera el caso. La estudio es de enero de 2019 a septiembre del 2020.
metodología de Inbound Marketing involucra un trabajo cercano • Delimitación espacial: El espacio definido es una Pyme
al cliente (personalizado) y por ello es importante realizar el de desarrollo de software.
control y evaluación del mismo.
V. RESULTADOS
Para la realización del proceso de evaluación de resultados
se pasará a definir indicadores de rendimiento que evaluarán el En base a la definición de objetivos se tiene lo siguiente:
187
• A través de los pasos definidos en el plan se puede llevar B. Recomendaciones

a un visitante a volverse un cliente. El resultado Del presente trabajo, surgen las siguientes recomendaciones:
esperado de la ejecución del plan es obtener un cliente
activo, es decir, un evangelizador de la empresa, lo cual • Considerar el entorno donde la Pyme se encuentra y
puede ser logrado con el apoyo de las redes sociales analizar el tema de interculturalidad si la empresa
principalmente y el sitio web. trabaja a nivel internacional.
• Para la ejecución del plan como se indica se procede a • Realizar análisis de mercado y legal para poder usar el
analizar, desarrollar, cambiar y diseñar contenido Inbound Marketing de manera correcta y satisfactoria.
atractivo para el buyer persona, el cual es f reconocido • Usar herramientas de automatización que faciliten el
por los antecedentes de la empresa y a través de trabajo y comunicación de los empleados de una
encuestas a los clientes actuales. empresa y tomar en cuenta la cultura organizacional.
• La implementación del plan de Inbound Marketing • Trabajar tanto con marketing tradicional como con
permite realizar la difusión de los productos y servicios Inbound Marketing para tener buenos resultados.
de la Pyme de desarrollo de software. La difusión puede
ser alcanzada no solo con el personal interno de la C. Discusión
empresa sino incluyendo a los evangelizadores o De acuerdo a los resultados obtenidos acerca de la ejecución
promotores convertidos. y verificación de los objetivos se puede indicar que se pudo
• Dado la importancia de los resultados de la ejecución realizar la difusión por canales digitales enfocada en los clientes
del plan para Pymes de desarrollo de software, se posee de los productos y servicios de una Pyme de desarrollo de
y desarrolla en el mismo plan un paso donde se realiza software en La Paz.
el análisis de los resultados ya que los mismos sirven
REFERENCIAS
como retroalimentación para corregir o mejorar en el
avance del plan en ejecución. [1] M. Jiménez, «LOGINEWS» [En línea]. Disponible en:
http://noticiaslogisticaytransporte.com/logistica/04/12/2015/bolivia-
apoya-el-desarrollo-tecnologico-de-las-pymes/64940.html.
VI. DISCUSIÓN
[2] C. Samsing, «HubSpot» s.f. [En línea]. Disponible en:
A. Conclusiones https://blog.hubspot.es/marketing/que-es-inbound-marketing-slide-share.
Las conclusiones del estudio realizado son las siguientes: [3] G. Escamilla, «Blog de Marketing Digital de Resultados» 9 marzo 2017.
[En línea]. Disponible en: http://www.rdstation.com/blog/es/5-motivos-
• La identificación del buyer persona es muy importante pyme-empiece-trabajar-marketing-digital/. Último acceso:27 mayo 2017
para la segmentación en redes sociales y reconocimiento [4] A. Tellería, «Los errores más comunes de las pymes bolivianas en
Facebook» 15ene2017. [En línea]. Disponible en: http://
de potenciales clientes. alexandertelleria.com/errores-de-las-pymes-bolivianas-en-facebook
• El contenido presentado a un usuario o cliente es de vital [5] Isolated, «Inbound Marketing» [En línea]. Disponible en:
importancia, por lo cual el mismo debe ser claro y https://www.isolated.es/inbound-marketing.
mostrar la solución a una necesidad. Además, el mismo [6] Font y Pais, «La Revolución de las ventas - Cómo cambiar la forma de
debe ir acorde al entorno que la empresa se encuentre. vender en tu empresa con Agile Sales & Inbound Marketing» s.f. [En
línea]. Disponible en: http://www.showerthinking.es/download/
• La presentación de una landing page contribuye a capitulo1-del-libro-la-revolucion-de-las-ventas.pdf?utm_medium=email.
obtener una base de datos de clientes o potenciales [7] Mondragón, Fuertes y Montoya, «Propuesta de implementación de la
clientes para los cuales se tiene información importante metodología Inbound Marketing (marketing de contenidos) para mejorar
distinta a la presentada al público en general, la cual será las acciones de mercadeo de la Cooperativa multiactiva Copservir Ltda»
enviada por mensajes en las campañas de e-mail 2016. [En línea]. Disponible en: http://hemeroteca.unad.edu.co/index.php
/working/article/view/1912/2138
marketing.
[8] Hubspot, «Inbound Fundamentals» 2015. [En línea]. Disponible en:
• La metodología de Inbound Marketing está centrada en https://app.hubspot.com/learning-center/5807669/tracks/24/intro.
la conversión y atracción de clientes y el contenido [9] Hubspot, «Fundamentos de una estrategia de Inbound efectiva» 2015.
presentado a los mismos. [En línea]. Disponible en: http://offers.hubspot.es/hubfs/00-OFFERS-
HIDDEN/SPANISH_Class_01_-_Inbound_Fundamentals_2015-ES .pdf
• Existen varios medios de comunicación de los cuales ?_ga=2.12282301.846972801.1556835979-1503428185.1555707407
hay que saber diferenciar cuales serán de más utilidad al
objetivo.
Silvana Llanque Pérez es Licenciada en Informática por la Universidad Mayor de San Andrés (La Paz 2012) y master en Ingeniería
Informática por la Universidad de Deusto (España 2016). Actualmente realiza la maestría en Alta Gerencia en Tecnologías de la
Información e Innovación para el Desarrollo MAG-TIC en el Postgrado en Informática UMSA.
Ejerce profesionalmente como docente en la Escuela Boliviana de Postgrado (EBP). Realiza tutorías y revisiones de tesis de maestría.
Anteriores: Shackleton–Notconsulting, Comuniti.bo (seguridad y auditoría informática), CodeBolivia (marketing redes sociales).
Participa en el Instituto Boliviano de Ciencia e Investigación (IBCI). Participó en el programa Erasmus Mundus y actualmente como
ex becaria brinda charlas para candidatos al programa (Unión Europea). Sus intereses investigativos incluyen la seguridad
informática, Ethical hacking, y Big Data. Email: llanquesilvana@gmail.com. ORCID ID: https://orcid.org/0000-0002-5434-8390.
188
Análisis y Proceso de Hardening de Servidor Virtual

Web, Facultad de Ingeniería (IngeTic)
Toto Ronald Sánchez Cari
La Paz - Bolivia
totosancari@gmail.com
Resumen—En el presente trabajo se da a conocer el Análisis y El objetivo de este artículo es realizar un análisis y proceso
proceso de hardening del Servidor Virtual Web de la Facultad de de la situación actual con respecto a dificultades de
Ingeniería (IngeTic), el objetivo de la siguiente investigación es vulnerabilidad y buenas prácticas de seguridad para servidores
implementar estrategias y herramientas tecnológicas para web virtual e implementar medidas de hardening y buenas
mejorar la seguridad del servidor virtual aplicando hardening prácticas de seguridad en un servidor web virtual ejecutándose
para la protección de la infraestructura tecnológica de la sobre sistema operativo Linux.
institución. El método a utilizar en esta investigación es descriptivo
por que se realizará análisis OWASP que nos permitirá Realizar el estudio del endurecimiento de la seguridad de la
determinar y combatir las causas de la inseguridad. Luego de infraestructura de un servidor Virtual Web de la institución
establecer las causas de vulnerabilidades o agujeros se realizará Académica (IngeTic) nos ayudara descubrir y a la vez mitigar
proceso de endurecimiento para asegurar el servidor virtual web posibles ataques sin dejar de lado la funcionalidad del servidor
reduciendo sus vulnerabilidades, posteriormente se determinar virtual hacia los usuarios.
una solución en el uso de las buenas prácticas que nos brindan los
proveedores para mantener una infraestructura asegurada Las políticas de estabilidad de la información fijan los
mecanismos y métodos que debería adoptar el departamento de
Palabras clave—IngeTic, vmware, virtual, hardening, servidor tecnología de toda organización académica, para salvaguardar y
virtual, infraestructura, web, base de datos, vulnerabilidad. defender la información que dichos servidores contienen.
I. INTRODUCCIÓN Servidores virtuales (VPS): Un servidor virtual es aquel que
tiene una partición dentro de otro servidor físico que habilita
Actualmente los datos e información que maneja las varias máquinas virtuales por medio de varias tecnologías [2].
instituciones Académicas como la Facultad de Ingeniería Un servidor virtual no es un objeto físico. Más bien, es creado
(IngeTic) es de vital importancia, ya que puede contener por un software diseñado para imitar la función de un servidor
información delicada de los estudiantes. La seguridad de la dedicado. Se pueden alojar varios servidores virtuales en una
información así el hardening de servidores virtuales web es sola máquina, compartiendo recursos de hardware.
importante para la protección, de los ataques y vulnerabilidades
que siempre existirán y por ello es de suma importancia tener Servidores Compartidos: Los servidores compartidos,
bien resguardados los datos. también llamados alojamiento Web compartido o hosting
compartido, son la mejor opción para empezar a disponer de un
El servidor virtual web es un software que forma parte del sitio Web. Generalmente, en su comienzo, el tráfico de una Web
servidor físico y tiene como misión principal devolver no precisará de la capacidad de un servidor dedicado o housing.
información (páginas) cuando recibe peticiones por parte de los Tampoco ocupará mucho espacio ni será probablemente una
usuarios y facilitar su disponibilidad de forma constante. aplicación compleja, de modo que un servidor virtual
The Open Web Application Security Project (OWASP), en compartido puede ser la solución más rentable [3].
su reporte nos indica que los riesgos de seguridad de Servidores Virtuales Dedicados (SVD): En el caso del
aplicaciones web más críticos [1], realiza un análisis sobre las servidor dedicado tenemos una máquina física que realiza todos
vulnerabilidades más comunes encontradas en servicios web: los procesos. Los servidores dedicados funcionan en máquinas
• Injection físicas, completamente independientes, a las que sólo tiene
• Broken Authentication acceso el cliente. Son capaces de las mismas posibilidades de
• Sensitive Data Exposure personalización que los VPS, con la ventaja adicional de
• External Entities (XXE) asegurar que los recursos del servidor están completamente
• Broken Access Control dedicados para el cliente. A continuación, se resume cada uno
de los tipos de servidor de acuerdo a su funcionalidad [4].
• Security Misconfiguration
• Cross-Site Scripting (XSS) Servidor web: Los servidores web son uno de los aspectos
• Insecure Deserialization más importantes de Internet, ya que se trata de los encargados
• Using Known Vulnerable Components de despachar las páginas a los usuarios [5]. Es un sistema que
• Insufficient Logging & Monitoring recibe requests (peticiones) desde varios clientes locales o de

[N] T. Sánchez, «Análisis y Proceso de Hardening de Servidor Virtual Web, Facultad de Ingeniería
(IngeTic)», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 189-192, 2020.
189
internet y almacena archivos como texto, imágenes, videos que verifica temas de configuración en el servidor tal como la
pueden ser visualizados a través del navegador, el servidor presencia de varios archivos index, opciones HTTP del servidor,
permanece ejecutando el servicio www “World Wide Web” e intentará identificar servidores web y software instalado. Los
temas de escaneo y plugins son frecuentemente actualizados de
Hardening: (palabra en inglés que significa endurecimiento) manera automática [9].
en seguridad informática es el proceso de asegurar un sistema
mediante la reducción de vulnerabilidades en el mismo, esto se ModSecurity es un firewall de aplicaciones Web embebible
logra eliminando software, servicios, usuarios, etc. innecesarios bajo licencia GNU que se ejecuta como módulo del servidor web
en el sistema; cerrando puertos que no estén en uso; evitar Apache, provee protección contra diversos ataques hacia
mantener la configuración por defecto [6]; además de muchas aplicaciones Web y permite monitorizar tráfico HTTP, así como
otros métodos y técnicas [7]. realizar análisis en tiempo real sin necesidad de hacer cambios a
la infraestructura existente [10].
Herramientas para Virtualizar Servidores:
Arachni. Se trata de un framework desarrollado con Ruby y
VMware: Es un de las soluciones más potentes y con más creado para ofrecer a los usuarios diferentes características para
paquetes de software disponibles para virtualización. En cuanto el escaneo de aplicaciones web, Es multiplataforma, compatible
a las soluciones de las que disponemos de licencia pagada, y con los principales sistemas operativos como son Windows,
también gratuita, esta aplicación lo que hace es convertir una Mac OS X y Gnu/Linux. Se distribuye a través de paquetes que
máquina física Linux o Windows y otras máquinas virtuales en permiten una implementación instantánea. Es gratuito y su
una máquina virtual VMware. https://www.vmware.com/. código fuente es público [11].
Virtual Box: Es un programa para crear entornos de Es difícil que un sistema o aplicación esté 100% segura, de
virtualización con múltiples sistemas operativos dentro de la hecho, es una utopía, es más probable encontrar alguna
máquina física totalmente funcionales y con posibilidades vulnerabilidad.
conectarles en red de forma física. En ella podremos instalar
máquinas Linux, Mac y Windows en todas o casi todas sus Lo que se busca es evitar la desconfianza de los docentes y
versiones. Es gratuita. estudiantes de las tecnologías de Información y comunicación,
también uno de los beneficios es evitar que los atacantes
Linux Ubuntu: El sistema operativo Ubuntu es una exploten o exploren un o muchas vulnerabilidades en los
distribución de código abierto basada en Debian, cuyo punto servidores virtuales web, para no acceder a los archivos o bases
común es Linux, la madre de todos los softwares gratuitos que de datos y que puedan remplazar la información original por
actúan como sistemas operativos en los ordenadores de medio mensajes ofensivos o simplemente puedan redirecciones la web
mundo. La empresa responsable de su creación y de su hacia otros sitios maliciosos.
mantenimiento, actualizaciones y desarrollo de nuevas versiones
incluidas, es Canonical, fundada por el empresario sudafricano La Facultad de Ingeniería de la Universidad Mayor de San
Mark Shuttleworth [8]. Andrés está conformado por 12 Carreras y 4 programas. La
cantidad de estudiantes aproximadamente de 9365. Cuenta con
II. MÉTODOS 3 servidores virtuales web, por lo tanto, la protección es
La metodología que aplica en el desarrollo de este trabajo indispensable aplicando hardenización en los servidores y la
obedece a un esquema descriptivo, sobre la investigación de infraestructura de red.
buenas prácticas.
III. RESULTADOS
Descriptivo. Se hace un análisis de las investigaciones
realizadas por entidades que se encargan de documentar el A. Proceso de Hardening
estado actual en materia de seguridad web; cuáles son las 1) Servidor web Apache
vulnerabilidades más frecuentes de hallar. Además, se hace una
investigación de los servidores virtuales web más utilizados, con Se propone realizar las siguientes acciones para mejorar la
la intención de elegir la mejor solución. seguridad del servidor web Apache:
En un entorno en que prácticamente dependemos del internet • Actualizar el Servidor Web Apache
y es recomendable tomar en cuenta la responsabilidad con la • Prevenir Ataques de Denegación de Servicio
seguridad de la información e hardening o endurecimiento es el • Prevenir Ataques de Fuerza Bruta
proceso de asegurar un sistema reduciendo sus vulnerabilidades.
• Ocultar la Versión de Apache y del Sistema Operativo
Se implementará un ambiente virtual para determinar las • Seguridad de Encabezados
vulnerabilidades que pueden existir en la red aplicando las
buenas prácticas, instalando sistema operativo Linux Ubuntu. 2) Actualizar el Servidor Web Apache
En la última fase se realizará las pruebas correspondientes A pesar de que Apache tiene mucho tiempo en el mercado y
aplicando las herramientas open source para poder determinar su nivel de seguridad es bastante sólido, siempre existen riesgos
las vulnerabilidades en los servidores virtuales web. de que se descubran nuevos problemas cuya solución puede ser
Nikto es un escáner Open Source para el servidor web, el implementada en nuevas actualizaciones. Es recomendable
cual realizar pruebas muy completas sobre diversos asuntos instalar las actualizaciones del sistema operativo y del software
contra servidores web, incluyendo más de 6700 archivos/CGIs instalado allí. Puede comprobar cuál versión de Apache tiene
potencialmente peligrosos, verificación de versiones instalada con el siguiente comando:
desactualizadas sobre más de 1250 servidores y problemas
específicos de versión en más de 270 servidores. También
190
TABLA I. PROCESO ACTUALIZAR EL SERVIDOR WEB APACHE reglas dinámicas en el propio firewall de Linux, crear reglas
Características vivas en IpTables.
Comando Resultado
de los comandos
Para comprobar cuál httpd -v Server version: Apache/2.2.22
versión de Apache (Ubuntu)
está instalada se Server built: Agosto 20 2018
utilizó siguiente
comando
15:32:46
El siguiente apache2 -v
comando
/CentOS/Fedora. Se
Ejecutó el siguiente
comando si utiliza
Ubuntu:
Para actualizar yum update

Apache a su última httpd
versión se utilizó los Para RHEL,
siguientes comandos
de acuerdo con su
CentOS o
sistema: Fedora.
apt-get install
apache2
Configuraciones seguras: Esta actividad es importante a la

hora de implementar hardening en un servidor, los permisos a Fig. 1. Instalación y configuración de Fail2Ban
usuarios y servicios mal configurados hacen vulnerable el
acceso a información que pueda facilitar aún más la intrusión, TABLA III. INSTALACIÓN Y CONFIGURACIÓN DE FAIL2BAN Y LA
APLICACIÓN DE LA MISMA
por lo cual una configuración de seguridad y un dispositivo
perimetral puede evitar que el atacante tome control total del Características de
Comando Resultado
los comandos
sistema operativo manipulándolo de forma que se pueda acceder Para la instalación yum install fail2ban
a otros equipos en red. basta con un
Si no les aparece el rpm -Uvh Ya con esto debe empezar a
Un ataque de denegación de servicio (Dos) es un intento paquete, debemos http://mirror.metrocast.net/ instalar la aplicación junto con
malintencionado de afectar la disponibilidad del sistema atacado agregar el repositorio fedora/epel/6/i386/epel- sus dependencias
necesario: release-6-7.noarch.rpm
como en este caso los servidores virtuales del IngeTic, Los Ahora hay que rpm -Uvh En este archivo se debe
atacantes suelen generar grandes volúmenes de paquetes o configurar Fail2Ban http://mirror.metrocast.net/ realizar lo siguiente:
requerimientos para, finalmente, sobrecargar el sistema para que analice los fedora/epel/6/i386/epel- •Modificar es el valor bantime,
logs release-6-7.noarch.rpm este valor determina el tiempo
objetivo. En el caso de un ataque de denegación de servicio en segundos que quedará
distribuidos (DDoS) el atacante utiliza múltiples fuentes de bloqueada la IP del atacante,
vulnerabilidad o fuentes controladas para generar el ataque. por defecto el valor viene en
600 segundos.
Para evitar estos ataques se ha tomado en cuenta la
protección de las diferentes capas del modelo OSI. 4) Configurar Fail2Ban y SSH
Para que busque intentos fallidos de logueo por SSH se
TABLA II. CAPAS DEL MODELO OSI modificó el archivo hasta que quedó como en la siguiente figura:
# Capa Aplicación Descripción Ejemplo de vector
7 Aplicación Datos Procesamiento de red para Inundaciones
la aplicación HTTP,
inundaciones de
consultas DNS
6 Presentación Datos Representación de datos y Abuso de SSL
cifrado
5 Sesión Datos Comunicación entre hosts N/D Fig. 2. Configurar Fail2Ban y SSH
4 Transporte Segmentos Conexiones integrales y Inundaciones SYN
confiabilidad
3 Red Paquetes Determinación de la ruta Ataques de
5) Defensa en profundidad
y direccionamiento lógico reflexión UDP Cada amenaza se clasifica según su impacto y se define en
2 Enlace de Marcos Direccionamiento físico N/D
datos una escala de gravedad donde se puede afirmar la penetración
1 Físico Bits Medios, señal y N/D del ataque según la línea de defensa que vulnera, con esto se
transmisión binaria puede analizar qué tipo de ataque, su efectividad, información
En general, los ataques DDoS pueden ser segregados según del mismo y la forma de vulnerar las líneas de defensa.
la capa del modelo de interconexión de sistemas abiertos (OSI) Para lo anterior es importante incluir el log de actividades,
que atacan generalmente en las siguientes capas: red (capa 3), bitácoras de incidentes y alertas de posibles intrusiones sobre la
transporte (capa 4), presentación (capa 6) y aplicación (capa 7). infraestructura que permitan actuar de manera inmediata ante un
3) Prevenir Ataques de Fuerza Bruta ataque.
Se ha aplicado para Linux -DenyHosts y Fail2ban- que 6) Seguridad de encabezados
permite usarse por separado o de forma conjunta. En este caso Las cabeceras HTTP pueden contener información muy útil
se ha utilizado ambas en combinación. Esto permitió generar para un atacante. Por ejemplo, cuando se realiza una petición
191
hacia un servidor web, en la respuesta HTTP se incluye la REFERENCIAS

cabecera Server que generalmente contiene información sobre
el software que ejecuta el servidor web.
[1] B. D. Rivera, «Qué es OWASP y por qué todo desarrollador debería
Para evitar este ataque se aplicó lo siguiente: Hay dos conocerlo,» Pleets Blog, 07 12 2019. [En línea]. Available:
directivas que necesitas cambiar en el archivo de configuración https://blog.pleets.org/article/conoce-owasp. [Último acceso: 14 12
/etc/httpd/conf/httpd.conf: 2020].
ServerSignature Off [2] F. Segarra, «¿Qué es un VPS? Todo lo que necesitas saber sobre
servidores virtuales,» Hostinger, 11 01 2021. [En línea]. Available:
ServerTokens Prod https://www.hostinger.es/tutoriales/que-es-un-vps. [Último acceso: 10
2021 2021].
El ServerSignature aparece en la parte inferior de las páginas
generadas por Apache, el error 404 (documento no encontrado). [3] F. Sánchez, «Human Level,» ¿Qué es un servidor compartido? Ventajas
y desventajas principales, 03 02 2021. [En línea]. Available:
La directiva ServerTokens sirve para determinar lo que https://www.humanlevel.com/diccionario-marketing-online/servidor-
pondrá Apache en la cabecera de la respuesta HTTP del compartido. [Último acceso: 10 02 2021].
servidor. [4] M. León , «arsys,» ¿VPS o Dedicado? ¿Qué tipo de servidor necesita mi
proyecto?, 27 03 2019. [En línea]. Available:
7) Buenas practicas https://www.arsys.es/blog/soluciones/cloud/servidores-vps-dedicados/.
Políticas de seguridad. Una política de seguridad informática
[5] S. Borges , «Servidor Web,» Infranetworking, 04 01 2019. [En línea].
es una forma de establecer responsabilidades y lineamientos, en Available: https://blog.infranetworking.com/servidor-web/. [Último
función de recursos y servicios informáticos. No se trata de una acceso: 16 02 2021].
descripción técnica de mecanismos de seguridad, ni de una [6] P. Security, Guía de, ENDPOINTPROTECTIONPLUSoAP, 2020.
expresión legal que involucre sanciones a conductas de los [7] P. Castro, «TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y
empleados. Es más bien una descripción de los que deseamos NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD,» Smartekh, 3
proteger, el personal debe ser consiente del uso y limitaciones 05 2012. [En línea]. Available: https://blog.smartekh.com/que-es-
de los recursos y servicios informáticos críticos de la compañía. hardening. [Último acceso: 20 02 2021].
[8] . A. Rodríguez, «¿Qué es Ubuntu y para qué sirve?,» GoDaddy, 21 08
IV. CONCLUSIONES 2020. [En línea]. Available: https://es.godaddy.com/blog/que-es-ubuntu-
y-para-que-sirve/. [Último acceso: 21 02 2021].
En este artículo se muestra que muchas instalaciones de
Apache presentan el número de versión del servidor, el sistema [9] A. E. Caballero Quezada , «Alonso Caballero /Reydes,» ReYDeS, 27 05
2014. [En línea]. Available: http://www.reydes.com/d/?q=Nikto2.
operativo y un informe de módulos de Apache instalados; [Último acceso: 27 02 2021].
información que los usuarios malignos tienen la posibilidad de
[10] A. D. Crespo, «Seguridad en Apache: modSecurity,» OpenWebinars, 18
utilizar para atacar tu servidor Virtual. 09 2013. [En línea]. Available: https://openwebinars.net/blog/seguridad-
en-apache-modsecurity/. [Último acceso: 03 1 2021].
La gran mayoría de vulnerabilidades internas se encuentran
asociadas a la actualización de aplicaciones, sistemas operativos [11] D. A, «Arachni, un escáner de aplicaciones web en Ubuntu,» Ubunlong,
10 Abril 2017. [En línea]. Available: https://ubunlog.com/arachni-
y parches de seguridad que no han sido aplicados, también se escaner-aplicaciones-web/. [Último acceso: 3 3 2021].
encuentran aplicaciones y sistemas operativos sin soporte que
representan un riesgo importante para la infraestructura de la
Institución.
192
Modelo para identificar defectos en Control

de Calidad, basado en Oráculos de pruebas y
Sistemas Expertos
Trinidad Choque Tucupa
La Paz – Bolivia
trynydad7@gmail.com
Resumen—El objetivo principal del proceso de control de basados en XML. Este trabajo propone un oráculo de prueba
calidad es la identificación de defectos; para mejorar y automatizado dirigido a la prueba de programas de
perfeccionar las tareas del proceso se plantea la aplicación de procesamiento de XML, el oráculo propuesto en este trabajo
oráculos de pruebas basados en sistemas expertos; donde el opera con una especificación del programa bajo prueba
sistema experto opera sobre la lógica de negocios del programa combinando dos niveles de especificación: uno de los requisitos
bajo prueba; pero ¿Cómo relacionar el concepto y estructura de de comportamiento particulares del programa bajo prueba,
un caso de prueba con un sistema experto?; para tal objetivo se proporcionada por el ingeniero de pruebas, y una especificación
plantea el diseño de un modelo de variables; variables que forman invariante del mecanismo de evaluación del oráculo programada
la conexión entre ambos conceptos con el fin de obtener casos de
en jquery, el cual determina si el programa cumple los requisitos
pruebas evaluados sin la participación de un operador externo.
de comportamiento suministrados, la automatización de este
Palabras clave—Buchanan, Ciclo de vida detallado, Control de oráculo está determinado por el uso de un lenguaje de
calidad, Oráculo de prueba, Sistema experto. especificación [3].
Ante estas consideraciones, el presente trabajo está enfocado
I. INTRODUCCIÓN
en la definición, obtención y evaluación de un oráculo de prueba
Cuando el software es un producto que se encuentra destinado a apoyar el desarrollo de las pruebas de software. Así
continuamente en procesos de mantenimiento, se puede también el oráculo de prueba basara su validación en el
identificar que dentro del proceso de control de calidad existen conocimiento almacenado en un sistema experto, con el objetivo
pruebas que deben ser ejecutadas en diferentes líneas de tiempo de evaluar las salidas de las pruebas sin la intervención de un
[1] con el objetivo de encontrar defectos críticos que pueden operador externo.
afectar al inicio de pruebas; también el personal que forma parte
del equipo debe tener conocimiento sobre la funcionalidad En base a lo descrito anteriormente se toma sistemas
actual del sistema y los nuevos cambios aplicados. Ante estas expertos basados en reglas [4] para aplicar el modelo y el
características se identifica que la aplicación de pruebas en la concepto de oráculos de prueba. Se selecciona sistemas expertos
etapa inicial demora en su ejecución debido a que las pruebas por contar con los subsistemas de: control de coherencia y de
son ejecutadas manualmente y ante un defecto encontrado se explicación, con el primer subsistema se pretende validar la
debe identificar el motivo o causa del mismo, aspectos que relación coherente de las reglas de negocio al momento de
generan una retroalimentación tardía de los defectos hallados; ingresar nuevo conocimiento al sistema; y el segundo
entonces ¿Cómo se podría minimizar el trabajo manual de testeo subsistema nos permitirá proporcionar una explicación clara del
sin tener que usar personal para validar las salidas de las resultado emitido luego de validar la salida de la prueba
pruebas?, en este sentido se identificó los siguientes trabajos inicial[5], este resultado será base para la toma de decisiones en
relacionados con esta problemática. el inicio o no de pruebas de control de calidad.
Oráculos de prueba con un planteamiento heurístico de II. MÉTODOS

apoyo a la decisión, en este trabajo se plantea el estudio de La Figura 1 muestra los procesos llevados a cabo para el
modelos heurísticos para el diseño de oráculos que apoyan a la desarrollo del tema de investigación, y luego, se detallan las
decisión de la aceptabilidad de una prueba en el ámbito de las tareas realizadas en cada proceso.
aplicaciones Web, con la implementación de modelos
heurísticos que validaran los diferentes caminos de aceptación
del código con relación a las pruebas del software; se pretende
validar si existen cambios en la funcionalidad del producto [2]. Sistema Experto Casos de prueba Modelo Reglas lógicas Pruebas
También se tiene el trabajo: Aplicación de un oráculo de

prueba automatizado a la evaluación de salidas de programas Fig. 1. Procesos realizados. Fuente: Elaboración propia.

[N] T. Choque, «Modelo para identificar defectos en Control de Calidad, basado en Oráculos de pruebas y
Sistemas Expertos», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 193-195,
2020.
193
A. Sistema Experto 4. Considerar como serán obtenidos los valores de cada

Para iniciar con el desarrollo se llevó a cabo la obtención y variable a través del software probado.
consolidación del conocimiento del software a probar, para esto 5. Agrupar las variables de modo que al ser relacionadas
se hizo uso de la metodología Buchanan [6] y Modelo de ciclo entre sí, puedan emitir un resultado en base a la lógica
de vida detallado [7]. Se aplicó ambas metodologías con el de negocios.
objetivo de estructurar las tareas que se ejecutarían, se Con la aplicación de este proceso se identificaron las
desarrollaron las tres primeras fases de la metodología variables que formaran parte de los hechos del sistema experto.
Buchanan.
D. Reglas Lógicas
Identificación: Se identifica el alcance y los actores con los Al tener identificadas las variables y los estados que estos
cuales se trabajarán para la obtención de conocimiento. Se pueden tener al ser procesados por el software. Se hace uso del
identifican las fuentes y repositorios de conocimiento, así como método combinatorio para establecer el número de combinación
las técnicas que serán aplicadas para dicha tarea. que se realizara y ante cada combinación se establece la salida
Conceptualización: Se hace uso de las tareas descritas en el evaluada en base al conocimiento adquirido; esto significa que
modelo de ciclo de vida detallado. Se aplican plantillas en las cada salida representa una verdad o un defecto del caso de
cuales se documentan las tareas y objetivos alcanzados en las prueba; así el sistema experto actúa como un generador,
diferentes iteraciones realizadas. Se hace uso de entrevistas y comparador y evaluador de casos de prueba.
cuestionarios para validar el conocimiento adquirido. E. Pruebas
Formalización: Se diseñan arboles de decisión [8]; con el A la conclusión del diseño de las reglas del sistema experto
objetivo de comprender y plasmar de mejor manera la se realiza el análisis y codificación de pruebas automatizadas en
funcionalidad del software a probar. Con este diseño se valida el software a probar. Los casos de prueba que fueron diseñados
los cambios que sufren los objetos al ser procesados por el en el paso B, son los casos que se encuentran automatizados.
software. Se identifican estados iniciales y finales.
Se establece la relación entre las salidas emitidas por el caso
B. Casos de Prueba de prueba automatizado como entradas al sistema experto.
En base al conocimiento obtenido se diseñan los casos de El diseño de las salidas que emite la prueba automatizada
prueba con el objetivo de validar el razonamiento modelado en hace uso del modelo propuesto. De este modo el sistema
el sistema experto. Los casos de prueba tienen la estructura de experto es retroalimentado con entradas, acciones y salidas,
entradas, acciones y salidas esperadas. las cuales evaluara como oráculo de prueba. Proporcionando
un resultado de defecto o validez para el caso de prueba
C. Modelo ejecutado. El caso de prueba presenta defecto cuando la
Como relacionar la estructura del caso de prueba con el salida no es la misma que establece la lógica del sistema
sistema experto; para que dicho sistema experto actúe bajo las experto. El sistema experto proporciona información del
características de un oráculo de prueba (Generador. - motivo por el cual la salida es defectuosa.
Proporciona los resultados esperados para cada prueba;
Para las pruebas realizadas se generaron aleatoriamente
Comparador. -Compara los resultados obtenidos con los
objetos de prueba los cuales simulan todos los estados validos e
resultados esperados y Evaluador. -Determina si la comparación
inválidos que son prosados por el software. Para realizar las
de los resultados es suficientemente cercana para considerar
pruebas se hizo uso de pruebas de parwaise [9] y tabla de
pasada la prueba [2]). Según lo comprendido hasta este punto se
decisiones; con el objetivo de identificar algún error o la falta de
plantea el siguiente proceso para identificar las variables que nos
respuesta ante cierta combinación de entradas.
permitirán realizar el nexo como se muestra en la figura 2.
III. RESULTADOS
Variables Estados Depuración Agrupación A continuación, se define el tamaño de la muestra haciendo
uso de la ecuación estadística [10]:
Indentificar las Indentificar los No repetir Agruparlas de
variables de estados que variables modo que al ser
entrada tomara cada Afectan en el relacionadas se
variable pueda emitir un
proceso de
lógica resultado en
(1)
Como seran base a la lógica
obtenidos de negocios Donde: N=314984 k=1.65
e=5% p=0.5
q=0.5
Fig. 2. Modelo para la obtención de variables. Fuente Elaboración Propia. Por tanto, se tiene que: n = 272 es el tamaño de la muestra
1. Identificar las variables de entrada que se desea Se ejecutó la prueba automatizada en los escenarios descritos
combinar para las pruebas, cada variable tiene una en la tabla 1 obteniendo sus correspondientes resultados.
cantidad determinada de valores.
TABLA I. RESULTADOS DE PRUEBAS
2. Determinar los valores de cada variable
3. Depurar las variables considerando: Base de conocimiento Exitosos Defecto Sin resultado
a) No repetir variables Sin modelo 50 0 222
b) Las variables en sus diferentes valores deben Con modelo 149 123 0
afectar en el proceso de lógica de negocio
194
IV. DISCUSIÓN salida valida, requiere que para cada caso de prueba
En base a los resultados obtenidos se puede apreciar que todo automatizado se describa la salida esperada y si la salida es
el conjunto de casos de prueba fue evaluado, proporcionando incorrecta esta debe ser evaluada por una persona externa. El
información del resultado para cada caso de prueba; al evaluar sistema experto hace la diferencia debido a que no requiere de
los resultados obtenidos se verifico que los datos son correctos. un operador externo para validar la salida del caso de prueba, el
El uso de un sistema experto basado en reglas es útil cuando el sistema experto valida el caso en función del conocimiento
software a probar se basa en reglas de negocio fija. Falta adquirió y emite un resultado para la toma decisiones en cuanto
determinar si el enfoque de construcción del modelo es válido a la aplicación de los cambios. Así también explica donde se
para un oráculo de prueba basado en otra área de la inteligencia encuentra el defecto hallado.
artificial. Donde las reglas de negocio serán variables y el REFERENCIAS
conocimiento modelado pueda actuar ante incertidumbres.
[1] M. J. E. M. M. J. J. G. Arturo H. Torres, «Oráculos de prueba: Un
V. CONCLUSIONES planteamiento heurístico de apoyo a decisión.,» de Actas de los Talleres
de las Jornadas de Ingeniería del Software y Bases de Datos, Vol. 3, No.
La aplicación de un modelo de variables para el diseño de 1, Sevilla, España, 2009.
oráculos de prueba apoyo el proceso de elaboración de reglas de [2] C. d. l. R. y. J. T. Dae S. Kim-Park, «Aplicación de un oráculo de prueba
lógica del sistema experto, debido a que se enfocó en la relación automatizado a la evaluación de salidas de programas basados en
de las reglas con los procesos que realiza el software a probar y XML,» Revista Española de Innovación, Calidad e Ingeniería del
así relacionarlos con casos de prueba. La implementación de un Software, p. 22, 2011.
sistema experto como un validador de casos de prueba es [3] G. Sandoval, Analista de Pruebas ISTQB Nivel Avanzado, Bolivia:
eficiente cuando los cambios del software son considerables en Businnes Innovations, 2012.
su lógica. [4] G. o. M. A. S. H. Castillo Enrique, Sistemas Expertos y Modelos de
Redes Probabilísticas, España: Universidad de Cantabria, 2011.
El sistema experto basado en reglas es una base adecuada
para la construcción de reglas que tienen características [5] S. V. Soto, Inteligencia Artificial, Córdoba: Universidad de Córdoba.
relacionadas con las entradas de los casos de prueba [6] L. Delgado, A. Cortez y E. Ibáñez, Aplicación de metodología Buchanan
para la construcción de un sistema experto con redes bayesianas para
Se obtiene una respuesta validada sobre los defectos apoyo al diagnóstico de la Tetralogía de Fallot en el Perú, Lima, Perú:
encontrados en un tiempo mínimo. Dichas respuestas apoyan a Industrial Data, Universidad Nacional Mayor de San Marcos, 2015.
la toma de decisiones en cuanto a que si los cambios presentan
[7] J. Giarratano y G. Riley, Sistemas Expertos Principios y Programación,
defectos que pueden impedir el proceso de inicio de control de Universidad de Houston-Clear LAke, 2002.
calidad o si los cambios realizados pueden ser enviados a
[8] S. Norvig y J. Russell, Inteligencia Artificial un Enfoque Moderno,
producción para su uso por parte del cliente. Madrid: Pearson Educación, S.A., 2006.
Ante la existencia de herramientas que realizan el proceso de [9] M. Polo Usaola, B. Pérez Lamancha y P. Reales Mateo, Técnicas
pruebas automatizadas y validaciones, se observa que la combinatorias y de mutación para testing de sistemas de software,
diferencia radica en que un sistema experto evalúa todas las Madrid: RA-MA, 2012.
reglas del comportamiento del software en base al conocimiento [10] R. Moya y G. Saravia, Probabilidad e Inferencia Estadística., Perú: San
adquirido; una herramienta automatizada programada con su Marcos.
Trinidad Choque Tucupa es Licenciada en Informática por la Universidad Mayor de San Andes 2007.
Ejerce profesionalmente como desarrolladora, QA y en docencia universitaria. Obtuvo reconocimiento como docente en la
Universidad Privada Franz Tamayo 2011.
Autora de manuales de apoyo: programación básica y en análisis y diseño de software. Sus intereses investigativos son la inteligencia
artificial, patrones de control de calidad y arquitecturas de software.
Email: trynydad7@gmail.com.
195
Modelo de Computación en Streaming para

Reducir la Complejidad Computacional del Software
Victor Alfonso Ramos Huarachi
La Paz – Bolivia
victor.ramos.h@gmail.com
Resumen—La complejidad computacional de un software está 4) Procesamiento híbrido o arquitectura lambda: Se

determinada por el uso de recursos que utiliza para llevar a cabo consulta por lotes y se procesa los datos con streaming
una determinada tarea, esto quiere decir cuánto CPU y RAM combinando lo mejor de ambos tipos de procesamiento. Su
consume. En situaciones donde la cantidad de datos que se tienen desventaja es el desfase que existe al consultar información
que procesar es de gran tamaño y continua, la computación en mientras la data está siendo procesada.
streaming es ideal para reducir la complejidad computacional que
supone su procesamiento. Una aplicación de procesamiento en III. COMPLEJIDAD COMPUTACIONAL
streaming no solo permite procesar grandes cantidades de datos,
sino que lo hace a gran velocidad y en tiempo real, son aplicaciones La teoría de la complejidad estudia cómo crece el coste
escalables, altamente disponibles y tolerantes a fallos. computacional en espacio y tiempo de resolver un determinado
problema en relación al crecimiento de dicho problema [2].
Palabras clave—stream, streaming, complejidad computacional, Aunque se conozca la solución a un problema y
Kafka computacionalmente es factible resolverlo, aun así, puede que
I. INTRODUCCIÓN no sea posible de resolver en la práctica [3]. De un problema del
cual se conoce una solución, saber si es posible ser resuelto se
Al hablar de grandes cantidades de información, una de las encarga la teoría de la complejidad computacional. Estas
primeras cosas que se nos viene a la mente es big data que se mediciones se realizan tomando en cuenta las dimensiones de
puede definir como una colección de datos tan grande que las espacio y tiempo.
bases de datos convencionales no pueden procesarlas en el
tiempo deseado [1] y en la actualidad desarrollar sistemas A. Complejidad en tiempo
capaces de procesar esta data se ha vuelto una necesidad que ha La complejidad de tiempo se refiere a cuánto tiempo se requiere
traído nuevos retos tecnológicos a las empresas, retos que para procesar un problema utilizando un determinado algoritmo.
consisten en crear software cuidando que la solución no sea tan Pueden existir problemas que pueden ser resueltos en un tiempo
compleja que implique que el costo computacional sea superior razonable y otros no.
a los beneficios obtenidos.
B. Complejidad en espacio
II. ESTADO DEL ARTE La complejidad de espacio en computación se refiere a los
Las principales estrategias de procesamiento de big data recursos de hardware, memoria RAM o disco. Para problemas
utilizadas actualmente son: deterministas el espacio requerido es lineal, mientras que para
problemas no deterministas el espacio requerido podría ser
1) Procesamiento en Paralelo: Se crean varios hilos de polinomial o exponencial.
ejecución aprovechando de mejor manera los núcleos del
procesador. Su principal desventaja es la facilidad de perder el IV. COMPUTACIÓN EN STREAMING
control del código y los problemas de concurrencia. La computación en streaming se refiere a una arquitectura de
2) Procesamiento por Lotes: Se procesa un gran conjunto de software diseñada para aplicaciones que requieren sofisticadas y
datos en una sola operación, reduciendo la latencia producida oportunas capacidades de procesamiento de grandes volúmenes
por la red y/o escritura en disco. Su principal desventaja es que de un flujo continuo de datos [4].
necesita la memoria suficiente para almacenar todos los datos Un stream o flujo de datos, es una secuencia de tuplas
mientras son procesados, una vez liberada la memoria, el generadas de manera continua en tiempo real el cual debe ser
sistema queda en un estado de reposo “desperdiciando” procesado a su llegada. En este modelo de procesamiento, los
recursos. datos sufren transformaciones antes de ser guardados en un
3) Procesamiento en Streaming: La estrategia consiste en DBMS al contrario de modelos tradicionales de procesamiento
recoger pequeños lotes de datos en intervalos de tiempo para de datos en el que los datos se almacenan en base de datos
ahorrar memoria y procesarlos casi inmediatamente. El principal primeramente y posteriormente son procesados.
problema es que la probabilidad de fallos es alta y se tiene que
pensar en una consistencia eventual.

[N] V. Ramos, «Modelo de Computación en Streaming para Reducir la Complejidad Computacional del
Software», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 196-200, 2020.
196
Fig. 1. Procesamiento Tradicional vs Streaming
Los frameworks que permiten la computación en streaming más

populares nacieron con Apache como ser Storm, Flink, Spark,
Kafka Streams, Samza y Flume.
Todos los frameworks comparten conceptos importantes
como ser el particionamiento, que consiste en dividir los datos
en distintas colas de procesamiento para luego distribuirlas en
Fig. 3. Escalamiento de una aplicación en streaming [6]
tareas. Estas colas generalmente están alojadas en un sistema
colas de mensajes conocidos como brokers.
C. Tolerancia a Fallos
La principal diferencia entre los frameworks es que algunos La tolerancia a fallos de una aplicación en streaming está
tienen un clúster de procesadores y las aplicaciones corren en el determinada por la replicación de las particiones en el clúster.
clúster, en cambio otros solo necesitan utilizar librerías dentro
del propio código fuente de la aplicación para ya comenzar a
procesar en streaming.
V. MODELO DE STREAMING
El modelo propuesto está basado en el framework de Kafka
Streams debido a que tiene un alto grado de madurez,
documentación, tiene una comunidad activa, es capaz de Fig. 4. Replicación de una partición
procesar millones de mensajes por segundo, se integra con otros
tipos de sistemas y tiene varias aplicaciones en la creación de Si una máquina del clúster falla otra máquina que tenga el
microservicios. dato replicado se encargará de seguir procesando el dato. En el
A. Tópicos caso extremo donde caigan todas las instancias de la aplicación,
el dato a ser procesado sigue guardado en el clúster, cuando una
La principal abstracción del procesador de streaming son los instancia se levante este comenzará a procesar desde la posición
tópicos. Un tópico es una categoría de datos bien definida del último registro procesado.
dividida en particiones, donde cada partición es una secuencia
ordenada de registros los cuales se publican por clientes D. Arquitectura de Software
llamados productores y se procesan por clientes llamados Para describir la arquitectura de software se partirá del
consumidores. modelo de Vistas de Arquitectura 4+1 propuesta por Philippe
Kruchten [7] ajustada a los requerimientos de un software
basado en la computación en streaming.
1) Arquitectura lógica: El procesador de streaming es capaz
de procesar un flujo de datos continuo en tiempo real y
lógicamente es solo una instancia de la aplicación, la cual puede
adicionarse o removerse en cualquier momento, en caso de
adicionarse una nueva instancia las tareas de balancean con el
Fig. 2. Anatomía de un tópico [5]
nuevo componente y en caso de removerse las tareas se asignan
La partición es la unidad de paralelismo de un procesador de a una instancia de este libre.
streaming.
B. Paralelismo
En streaming se inician varios hilos de procesamiento donde
cada uno procesa una o varias particiones de un tópico, es decir,
escalar una aplicación basada en streaming es simple, solo basta
con levantar más instancias de la aplicación y el framework se
encarga de la distribución de las particiones a distintas tareas
donde el grado de paralelismo es igual a la cantidad de Fig. 5. Replicación de una partición
particiones existentes.
197
La vista lógica es sencilla, una aplicación que utiliza Kafka Los componentes en streaming son pequeños comparados a
Streams sigue siendo una aplicación normal, pero al incluir las un sistema monolíticos, pero trabajan como una sola unidad de
librerías de Kafka Streams ya posee capacidades de procesamiento.
escalabilidad, disponibilidad y tolerancia a fallos.
VI. VALIDACIÓN DEL MODELO
2) Requisitos No Funcionales
El modelo propuesto fue aplicado en sistemas que requieren
• Escalabilidad, que está determinada por la cantidad de gran capacidad de procesamiento, por el orden de miles de
particiones de un tópico. transacciones por segundo.
• Escalabilidad, se pueden levantar varias instancias de A. Entrada de datos
una aplicación a demanda.
Se escribieron scripts de simulación de carga y se prepararon
• Rendimiento, definida por el nivel de paralelismo que pruebas para estresar el sistema. Los datos se enviaron durante
está limitado por la cantidad de particiones de un tópico. media hora de la siguiente forma:
• Disponibilidad, sujeto al factor de replicación de una
partición en un clúster. TABLA I. PRUEBAS
• Tolerancia a fallos, que se obtiene gracias al clúster ya Caso Msg. por Seg. KB por Msg.
Nro. de Nro. de Hilos
que cuando un nodo cae, otro toma su lugar. Instancias por Instancia
1 250 10 1 1
• Seguridad, proveído por el framework como ser el 2 500 10 1 2
cifrado, la autenticación y listas de acceso ACL. 3 1000 10 1 4
3) Componentes de Software: La arquitectura de software 4 2000 10 1 4
planteada utiliza Kafka como “bus de eventos”, esto quiere decir 5 2000 10 2 4
que el medio de comunicación entre los distintos componentes 6 3000 10 3 4
7 1000 50 1 4
se realizará a través del clúster de Kafka.
8 1000 50 2 4
9 1000 50 3 2
10 2000 50 4 4
Los objetivos de las pruebas fueron los siguientes:

• Comprobar la linealidad del paralelismo, esto quiere
decir que dos instancias de una aplicación duplican la
capacidad de procesamiento de una.
• Comprobar el impacto del tamaño de un mensaje.
• Tomar métricas de ‘rate’ y de ‘lag’, donde rate se define
como la cantidad de mensajes procesados por segundo
Fig. 6. Bus de Eventos basado en Kafka y lag como la cantidad de mensajes en espera.
• Tomar métricas de uso de CPU y memoria RAM por
Este modelo simplifica los canales de comunicación entre instancia de la aplicación.
componentes y ofrece los beneficios de la computación en
streaming. Las pruebas están orientadas a medir la complejidad
computacional en tiempo y espacio, es decir, el rendimiento de
4) Arquitectura de Despliegue: Para el modelo de despliegue la aplicación y el uso de recursos para procesar dicha tarea.
se consideran los siguientes aspectos:
B. Resultados en cuanto a rendimiento
• Los componentes de software se encapsulan en
containers usando docker como tecnología. El rendimiento de la aplicación se obtiene de las métricas de
rate y lag obtenido por las herramientas de monitoreo.
• Los containers se orquestan en el clúster de servidores
utilizando Kubernetes. TABLA II. RESULTADOS DE RENDIMIENTO
Caso Rate Promedio Lag Máximo

1 250 380
2 500 910
3 1000 2,100
4 1220 1,070,000
5 2000 3,200
6 3000 8,200
7 750 405,000
8 985 54,000
9 1000 1,900
10 1880 21,000
El caso 4 muestra que para procesar mensajes de 10 KB se

tiene un rate máximo de 1220 mensajes procesados por segundo
Fig. 7. Diagrama de Despliegue
198
por instancia de 4 hilos de ejecución. Las pruebas 1, 2 y 3 al El uso de CPU de las aplicaciones es normal y no llega a superar el
recibir menor carga pueden procesar al mismo rate que la 90% de uso.
entrada de datos.
La prueba 5 y 6 muestra que dos instancias de la aplicación
son capaces de procesar 2000 y 3000 mensajes por segundo
gracias al paralelismo de una aplicación en streaming.
La prueba 7, 8, 9 y 10 demuestran que el tamaño de un
mensaje influye en la capacidad de procesamiento de una
aplicación en streaming, necesitando más instancias de la
aplicación para poder procesar más mensajes por segundo, pero
como se verá en los siguientes resultados es debido al factor de
ancho de banda. Fig. 9. Uso de Memoria RAM
C. Resultados en cuanto a escalabilidad El uso de memoria de las aplicaciones es aproximadamente

La prueba realizada para verificar la escalabilidad consiste 3 GB RAM, las aplicaciones están configuradas para no superar
en incrementar gradualmente el número de hilos para verificar los 4 GB de RAM lo cual demuestra que la complejidad de
el rate de procesamiento por segundo. Después se incrementan espacio se ha visto reducida.
instancias de la aplicación en otro servidor para verificar la
escalabilidad en un clúster.
TABLA III. RESULTADOS DE ESCALABILIDAD
Nro. de Instancias Nro. de Hilos por Instancia Rate

1 1 310
1 2 602
1 3 925
1 4 1190
2 1 595
2 2 1175
2 3 1870
2 4 2200 Fig. 10. Ancho de Banda usado
3 1 910
3 2 1905 Por último, el ancho de banda utilizado es inferior al que se
dispone en los ambientes en cada uno de los nodos del clúster,
Los resultados demuestran que al incrementarse el número en la figura 10 muestra un aproximado de 3 Gbps de 10 Gbps
de hilos de una aplicación en streaming, la tasa de procesamiento disponibles.
casi se duplica obteniendo un resultado lineal que obedece a la
VII. CONCLUSIONES
fórmula “rate = número de hilos * rate base”.
Los resultados de la aplicación de un modelo de
D. Resultados en cuanto a tolerancia a fallos computación en streaming a una aplicación que requiere
Gracias al uso del framework de Kafka Streams se ha podido procesar grandes cantidades de datos son:
comprobar que una aplicación en streaming es capaz de
recuperarse si algún nodo del clúster falla tras un proceso • La computación en streaming reduce la complejidad de
llamado “rebalanceo” el cual se encarga de reasignar las tiempo de una aplicación, puesto que se comprobó que
particiones de un tópico a las instancias disponibles. el rendimiento en mensajes procesados por segundo es
mucho mayor que un sistema de arquitectura
E. Resultados en cuanto a uso de recursos tradicional.
Se han instalado agentes de monitoreo en cada uno de los • Una aplicación en streaming es escalable y permite la
miembros del clúster donde se ejecutan las aplicaciones en mejora del rendimiento de manera lineal. La
streaming. Las muestras se tomaron durante la ejecución de las escalabilidad está determinada por la cantidad de hilos
anteriores pruebas y los resultados muestran los siguiente: de procesamiento y a su vez por la cantidad de
particiones de un tópico.
• Una aplicación en streaming es tolerante a fallos, esto
gracias al uso del framework de Kafka Streams que
tiene mecanismos de rebalanceo de carga si algún nodo
se añade o se quita del clúster.
• La complejidad computacional de espacio se reduce
porque al procesar los datos en la medida que estos se
van generando, elimina la necesidad de contar con
grandes cantidades de memoria por el procesamiento de
lotes de datos, al contrario, solo se necesita lo suficiente
para procesar un pequeño lote de información el cual se
Fig. 8. Uso de CPU va procesando en intervalos pequeños de tiempo.
199
REFERENCIAS [4] Balazinska, M., Stonebraker, M., Çetintemel, U. & Zdonik, S. (2005,
December 4). The 8 Requirements of Real-Time Stream Processing ACM
[1] Casado, R., & Younas, M. (2014). Emerging trends and technologies in SIGMOD Record, 34, pp.42-47
big data processing. Concurrency and Computation: Practice and
Experience, 27(8), 2078–2091. [5] (2019) Apache Kafka website [Online]. Available:
https://kafka.apache.org/documentation/#introduction
[2] Gao, Q., & Xu, X. (2014). The analysis and research on computational
[6] (2192) Confluent website. [Online]. Available:
complexity. 26th Chinese Control and Decision Conference, CCDC 2014,
https://docs.confluent.io/current/
3467–3472.
[7] Kruchten, P. (2006). Planos Arquitectónicos: El Modelo de “4 + 1”
[3] Sipser, M. (2013). Introduction to the theory of computation. Boston,
MA: Cengage Learning.
Breve CV del autor

Victor Alfononso Ramos Huarachi es Ingeniero Informático por la Universidad Autónoma Juan Misael Saracho de Tarija;
certificado Desarrollador Apache Kafka por Confluent con Credencial Nro. 12176372. Actualmente realiza la maestría en Alta
Gerencia en TICs e Innovación para el Desarrollo MAGTIC en el Postgrado en Informática de la Universidad Mayor de San Andrés.
Ejerce profesionalmente como Developer Architect en Mojix Inc, con base en Los Angeles - Estados Unidos, anteriormente como
Profesional de Desarrollo de Sistemas en Aduana Nacional de Bolivia y la Agencia Nacional de Hidrocarburos. Es co-organizador
del Java User Group de Bolivia y actualmente está interesado en la construcción de aplicaciones modernas de procesamiento en
tiempo real, arquitecturas de software dirigidas por eventos, computación en streaming y analytics en tiempo real.
Email: victor.ramos.h@gmail.com.
200
Modelo de Inteligencia de Negocio

en la Administración Pública
Viviana Luque Salluco
La Paz – Bolivia
vls.luz.7@gmail.com
Resumen—La inteligencia de negocios o business intelligence Con el objetivo de poner a disposición información
(BI) es el conjunto de procesos, aplicaciones y tecnologías que actualizada y oportuna respecto a los procesos en la
constituyen una valiosa herramienta que provee información administración pública, registrados diariamente, para coadyuvar
oportuna para su análisis e interpretación, de manera que puedan en la toma de decisiones, surge la necesidad en considerar una
ser aprovechados para la toma de decisiones y se conviertan en herramienta y mejores prácticas que permitan el acceso y
conocimiento para los responsables de las Administraciones análisis de la información como apoyo en el análisis de sus
Públicas. El presente trabajo detalla la construcción de un modelo operaciones.
que ayude a la pronta generación de una solución de BI haciendo
uso de metodologías ágiles y herramientas open source. Con respecto a la administración pública, el proyecto de
investigación está sustentado en las normas legales siguientes:
Palabras clave—modelo, business intelligence, inteligencia de
negocio, entidades públicas, open source. La ley general de telecomunicaciones en su artículo 72 inciso
II menciona que “Las entidades públicas deben adoptar todas las
I. INTRODUCCIÓN medidas necesarias para garantizar el máximo aprovechamiento
Todas las empresas de cualquier giro prestan atención de las tecnologías de información y comunicación en el
especial al proceso de toma de decisiones [1]. Hoy en día, un desarrollo de sus funciones”.
componente importante en la toma de decisiones, es el manejo El Decreto Supremo 3251 aprueba el plan de
eficaz y eficiente de la información, para lo cual es necesario implementación de gobierno electrónico y el plan de
encontrar nuevas formas de organizar y utilizar la gran cantidad implementación de software libre y estándares abiertos.
de datos que producen y acumulan las empresas.
A. ¿Qué es la Inteligencia de Negocio?
Por lo general, cada organización tiene amplias fuentes de
La inteligencia de negocios nace en 1958 por parte del
datos. No solo dentro de la organización, sino también de fuentes
investigador H.P. Luhn del International Business Machine
externas. Se procesan todos los días grandes volúmenes de datos
Corp. (IBM), quien publicó un artículo en la revista IBM
que intenta convertir en información valiosa para tomar
Journal, sobre “Business Intelligence System” [3]. Existen
decisiones. Por ejemplo, desde la perspectiva de las empresas
muchas definiciones, sin embargo, se resalta la siguiente:
privadas, se cuenta con uno o varios sistemas de información
operativos que soportan sus actividades diarias. Asimismo, la La inteligencia de negocio consiste en un conjunto de
administración pública, cuenta con un conjunto de soluciones de técnicas de gestión empresarial que permiten a una organización
gestión y soporte a las actividades para lograr una mayor tomar decisiones de negocio en base a datos, que han sido
productividad en eficiencia colectiva. “Con el tiempo las tratados por distintas herramientas para convertirlos en
aplicaciones llegan a tener la historia de la organización y los información [4].
datos almacenados en las bases de datos, pueden ser utilizados
para argumentar la decisión que se quiera tomar ante cualquier
aspecto para mejoras en la empresa” [2]. El aspecto más
desafiante en la práctica es encontrar los datos correctos y
ponerlos a disposición de los usuarios como información
integral. Esta información debe usarse de la manera correcta,
para que los usuarios en todos los niveles puedan tomar las
decisiones correctas y en línea con los objetivos y las estrategias,
como también en sintonía con la cultura organizacional.
En las administraciones públicas surge la preocupación por
analizar de manera sencilla la información que ayude a una
mejor toma de decisiones, lo cual es el propósito principal de la
Inteligencia de Negocio (BI). Fig. 1. Definición de Inteligencia de Negocio

[N] V. Luque, «Modelo de Inteligencia de Negocio en la Administración Pública», Revista PGI.
201
Una arquitectura sólida de Business Intelligence ofrece Sus principios son:

muchas ventajas cuando se trata de escalabilidad, velocidad,
calidad de datos y flexibilidad. Los diferentes componentes de • Mejora continua en ciclos cortos.
la arquitectura de BI constan de diferentes capas y componentes • Entregas rápidas de valor.
como se ve en la siguiente figura: • Aprendizaje validado de inteligencia empresarial.
Existen numerosas metodologías ágiles empleadas por
distintas empresas que pueden también ser definidas como
marcos de trabajo, sin embargo, cualquiera sea el método que se
elija, se debe asegurar que se ajuste a la cultura de su empresa.
Esta es la única forma de obtener todo el valor que pueden
aportar [7].
La pregunta de qué metodología de trabajo funciona mejor
no es fácil, sin embargo, se consideró una metodología que
gestione los proyectos de manera iterativa y tienen como
objetivo la mejora continua del proceso, realizándose siempre
mediante flujos de trabajo visual.
KABI (KA por Kanban y BI Siglas en ingles de “Business
Fig. 2. Arquitectura Inteligencia de Negocio Intelligence” o Inteligencia de Negocio). KABI es una nueva
metodología de desarrollo de software ágil útil para lograr una
Estos componentes deben ejecutarse en sincronía con los implementación más rápida de las soluciones de Business
procesos de la organización. Intelligence (BI) [8]. desarrollado por Anoop Kumar VK en
TABLA I. DETALLE ARQUITECTURA DE INTELIGENCIA DE NEGOCIO
septiembre del 2016. KABI principalmente tiene 5 actividades
que se muestra a continuación:
Registrar Fuente de información
ETL
Recopilar Almacén Eficiente Datawarehouse
Explotación de la Business Tools
Analizar (Pentaho, Power BI, etc.)
información
Herramienta de EIP
Distribuir (Enterprise Information Portal)
visualización
B. Ágil BI
Para llevar a cabo la implementación de inteligencia de
negocios, es preciso seguir una serie de fases donde se planifique
el proyecto (los objetivos), se estructuren los equipos de trabajo,
se analicen los datos para tomar decisiones y una vez Fig. 4. Actividades KABI
implementadas las acciones correctivas, se haga un seguimiento
y control. Sin embargo, la mayoría de las organizaciones El desarrollo es de forma iterativa (es decir que tiene
enfrentan el desafío de adaptaciones rápidas y frecuentes a sus incrementos graduales de funcionalidades), pero no está
sistemas de información con el fin de responder ante delimitada por el tiempo, como sucede con Scrum. Las
requerimientos emergentes. Ocurre de la misma manera para los actividades de planificación y liberación de funcionalidades
sistemas BI que también deben adaptarse al entorno dinámico de pueden ocurrir en cualquier momento. Se cuenta con una
manera rápida. continua retroalimentación y mejora. Las “historias de usuarios”
son escritas de forma tal que aseguren tener pequeños
En una encuesta realizada por Forbes [5], el 92% de los altos entregables independiente de la complejidad del resultado final
ejecutivos encuestados consideran que la agilidad en las esperado [9].
organizaciones es fundamental para el éxito del negocio.
II. MÉTODOS
Una solución de BI ágil debería proporcionar acceso a
información precisa en el formato correcto a la persona A través de sistemas de las áreas sustantivas de la
adecuada en el momento correcto [6]. Sus principales administración pública se van acumulando diferentes datos de
componentes se muestran en la siguiente figura: las operaciones: sobre los clientes, los productos, la oferta,
compras, pagos, etc. Esta información debe ser reunida y
centralizada permitiendo así su explotación para la toma de
decisiones estratégicas.
Desde otra perspectiva, es una característica que el
Departamento de Desarrollo de Software atiende las necesidades
de información de inteligencia de negocio, bajo los flujos
establecidos de atención de proyectos, siguiendo procedimientos
en cascada. Este enfoque propicio que el tiempo transcurrido
desde la fecha en que el usuario realiza su solicitud hasta la
entrega operacional es largo. Esta situación genera que los
Fig. 3. Componentes de soluciones BI [6] usuarios, para conseguir sus requerimientos, realizarán
202
actividades de forma independiente, haciendo uso de archivos La transformación es el proceso de convertir datos
Microsoft Excel o Microsoft Access, los cuales no poseen la utilizando un conjunto de reglas comerciales (como funciones
estabilidad necesaria para contener procesos críticos de negocio. de agregación) en formatos consistentes para informes y
análisis.
A. Modelo de inteligencia de negocio generado
Los procesos de inteligencia de negocios ofrecen una manera La carga es la última fase del proceso ETL. Los datos en el
práctica de la gestión de la información y el conocimiento de área de ensayo se cargan en el repositorio de destino.
manera eficiente [10]. El modelo se basó en la metodología de 4) Carga de datos
desarrollo Kanban for business intelligence, el modelo de La carga de los datos es en un repositorio unificado para
procesos aplicado por J. Thomas Group In., la guía de estrategia todos los datos que se recogen a través del ETL. Los datos que
de BI propuesta por Etai Coles de la empresa Xplenty y las aquí se almacenan han pasado por un proceso el cual permite
características de calidad de la ISO/IEC 25010. A continuación, validar su consistencia. Igualmente, debe conseguir que la
se detalla el modelo propuesto: información de una organización sea de fácil acceso, contenido
comprensible y datos intuitivos para el usuario del negocio. El
trabajo debe hacerse en ciclos y fases.
5) Herramienta de informes de BI
Seleccionar la solución tecnológica se convierte en la etapa
donde se define la cara de toda la solución de BI. Es decir,
representar la información de la manera más intuitiva para
conseguir una comunicación simple, clara y efectiva, de manera
que el conocimiento será extraído de manera efectiva.
6) Creación de paneles, informes y análisis
La creación de paneles, informes y análisis permite la
realización de consultas sencillas y que aporten valor al negocio,
Fig. 5. Modelo de Inteligencia de Negocio propuesto por esta razón se tienen elementos que permitan el análisis de la
información. A continuación, se presentan los puntos principales
1) Estrategia de BI a considerar.
En esta etapa se inicia el proyecto. Se debe comenzar con un B. Herramientas de business intelligence
plan o una "Estrategia de BI" con todas las definiciones. Se
deben describir y especificar los requerimientos que serán Actualmente en el mercado existen una gran variedad de
atendidos por el proyecto, que permitan satisfacer las herramientas para desarrollar Inteligencia de Negocios.
necesidades del área. Asimismo, se debe definir las Considerando la normativa vigente para instituciones
especificaciones a seguir por parte del Departamento de públicas en Bolivia (Ley Nº 164 de Telecomunicaciones y TICs,
Desarrollo. Trazar la ruta óptima que debe tomar para llevar su y el Decreto Supremo 3251), donde se menciona el uso de
solución de gestión de datos de su estado actual a la visión que herramientas de software libre y estándares abiertos, no se
tiene para ella. consideró herramientas de tipo privativo.
2) Esquematizar fuentes de datos Revisando los datos de google trends tenemos el siguiente
Es necesario seleccionar las fuentes de datos del negocio y análisis:
filtrar los datos relevantes de cada fuente. Tomar en cuenta las
diferentes fuentes como archivos .TXT, archivos .XLS,
archivos. CSV, o varias bases de datos transaccionales por lo
que se tiene la información dispersa. Para mapear los datos
requeridos, se debe considerar las siguientes entradas: informes
existentes, solicitudes de administración, KPI estándar de la
industria. Es ventajoso comenzar desde el objetivo final y
preguntarse: en última instancia, ¿qué informes debería poder
proporcionar el BI?
3) Construcción ETL
Esta capa se centra en tres procesos principales: extracción,
transformación y carga. Específicamente, debe comprender y
organizar lo siguiente:
La extracción es el proceso de identificación y recopilación
de datos relevantes de diferentes fuentes. Por lo general, los Fig. 6. Comparación herramientas de inteligencia de negocio Open Source.
datos recopilados de fuentes internas y externas no están Fuente: Google Trends
integrados, están incompletos y pueden duplicarse. Por lo tanto,
el proceso de extracción es necesario para seleccionar datos que De acuerdo a los resultados obtenidos del gráfico anterior,
sean significativos para apoyar la toma de decisiones Pentaho Suite es la herramienta más usada para implementar
organizacionales. soluciones de inteligencia de negocios. Cuenta con una
cobertura completa de punta a punta de las necesidades de BI.
Con una extensa comunidad y adopción empresarial.
203
C. Aplicación del modelo

En esta sección se presenta el proceso de construcción de BI
realizado para una entidad pública en La Paz Bolivia. Se diseñó
y desarrolló en cada uno de los pasos descritos en el modelo
propuesto.
1) Estrategia de BI
Como se propuso en el modelo es necesario describir y
Fig. 9. Transformación
especificar los requerimientos que deben ser atendidos en el
proyecto.
3) Herramienta de informes de BI
Se contó con un conjunto de requisitos obtenidos en el Para lograr generar los cuadros con las estadísticas
análisis de informes existentes, la comprensión de los sistemas solicitadas, de buena calidad y almacenados en un repositorio
y datos de origen y la visualización de lo que podría homogéneo se analizó la siguiente herramienta de código
proporcionarse al área y los comentarios recopilados de las abierto:
partes interesadas.
Saiku Analytics es una aplicación web de código libre que
2) Construcción ETL proporciona un visor de consulta y análisis OLAP amigable e
El diseño consta de limpieza de tablas del origen de datos y intuitivo, permitiendo operaciones como: selección de cubos,
de forma individual, para luego crear el modelo con relación dimensiones y medidas, representación y navegación mediante
asociativa de datos, en la que se da formato a los campos de los tablas pivotables, desglose y agrupamiento, filtrado, consultas
datos, para posteriormente hacer el diseño. MDX, representación de gráficas, exportación a CSV y Excel y
mantenimiento de repositorio de consultas [11].
En este paso según lo descrito en el modelo se diseñó las
tablas de dimensiones que formaran parte del DataMart. Se 4) Creación de paneles, informes y análisis
siguió el siguiente proceso: Para la creación de paneles se usó el plugin CDE Dashboard
junto con los reportes de generados en Saiku de Pentaho el
• Se eligió un nombre que identifique la tabla de dimensión. mismo contiene los requerimientos del usuario:
• Se añadió un campo que represente su clave principal.
• Se redefinieron los nombres de los campos en caso de no ser.
Los DataMarts corresponden a bases de datos relacionales
con un modelo de datos conocido como dimensional o estrella,
como se observa en la siguiente figura. Se componen de tablas
de hechos, las cuales almacenan las métricas (hechos), rodeadas
de tablas dimensionales, las cuales caracterizan a cada hecho
almacenado, ya que contienen información detallada en cuanto
a cada una de las propiedades del dato que se pretende describir.
Fig. 10. Requerimientos de información
D. Ejecución del proyecto

El proyecto se ejecutó de acuerdo a la siguiente estructura,
que se especifica a continuación:
Fig. 7. Esquema estrella
Fig. 8. Extracción
Fig. 11. Proceso de ejecución KABI
204
TABLA II. CAMBIOS AL PROCESO EJECUCIÓN KABI REFERENCIAS

Metodología KABI Propuesta [1] «El proceso de toma de decisiones,» 24 4 2017. [En línea]. Available:
randstad.es/tendencias360/el-proceso-de-toma-de-decisiones/.
La atención de pedidos implica la Se optó por ampliar la duración [2] A. A. R. Gómez, «Inteligencia de Negocios: Estado del Arte,»
ejecución de tiempos lo más cortos de las tareas de 2 a 3 días, por Universidad Tecnológica de Pereira, 2010, p. 6.
posibles, la mejor práctica es dividirlo encontrarnos trabajando en varios
en una subtarea de no más de 1 día de proyectos con el mismo equipo, [3] Simetrical, «El origen de Business Intelligence» 16 2 2018. [En línea].
duración según la metodología. al mismo tiempo. Available: info.simetrical.com/blog/el-origen-de-business-intelligence.
[4] P. P. Torralba, «Big Data vs Business Intelligence ¿cuáles son las
Los estados planteados por la Los estados se ampliaron a los diferencias?,» 13 2 2019. [En línea]. Available: iebschool.com/blog/big-
metodología: Tareas pendientes y en siguientes aspectos: Tareas data-business-intelligence-diferencias-big-data/.
curso para los tableros Kanban. pendientes, en curso, en prueba, [5] H. Moreno, «to jump through the hoops of digital disruption be agile» 16
terminados y bloqueados. 11 2017. [En línea]. Available: https://www.forbes.com/sites/
DDAS (Daily Demo and Sync-up) Se movió las reuniones de DDAS forbesinsights/2017/11/16/to-jump-through-the-hoops-of-digital-
demostración y sincronización diarias. a una por semana. disruption-be-agile/#4ef395bb559b.
[6] M. Muntean, «Agile BI - The future of BI» p. 11, 2013.
III. RESULTADOS Y DISCUSIÓN [7] N. Curvelo, «Obtenido de A modernização da inteligência de negócios
com a cultura ágil,» 19 7 2019. [En línea]. Available: https://cortex-
Se investigaron modelos, herramientas y guías necesarias intelligence.com/blog/inteligencia-de-mercado/como-modernizar-a-
para construir el modelo propuesto que apoya en la toma de inteligencia-de-negocios-com-a-cultura-agil/.
decisiones en la Administración Pública orientada a la mejora [8] A. K. V. K., «Business Intelligence» 25 9 2016. [En línea]. Available:
constante de los principios administrativos de eficacia, https://akvkbi.blogspot.com/2016/09/why-kabi-was-created.html.
eficiencia y servicio al ciudadano. [9] C. M. Barriere, «Buscando una metodología ágil para proyectos de BI?»
29 5 2018. [En línea]. Available: https://blog.zanzivar.com/2018/05/
Se documentó y se realizó una comparación de las 29/buscando-una-metodologia-agil-para-proyectos-de-bi-kabi-una-
excelente-opcion/.
herramientas actuales de software libre para su posterior uso en
el prototipo generado a partir del modelo planteado. [10] E. J. Osorio, «Diseñando un modelo de procesos de inteligencia de
negocios con proceso unificado: Estado de Arte,» Bogotá, Universidad
Se aplicó el modelo planteado en el desarrollo del prototipo Nacional de Colombia, 2008.
con herramientas de software libre. [11] P. F. Mora, «Creación de un módulo espacial OLAP para SAIKU» [En
línea]. Available: http://www.sigte.udg.edu/jornadassiglibre2013/
Se han sentado las bases para explorar soluciones de uploads/articulos_13/a26.pdf.
inteligencia de negocio en el resto de la organización.
Viviana Luque Salluco es Ingeniera de Sistemas por la Universidad Católica Boliviana “San Pablo” (La Paz 2008). Con estudios
en Business Intelligence Gerencial. Actualmente realiza la Maestría en Gerencia Estratégica de Sistemas de Información GETSI en
el Postgrado en Informática de la Universidad Mayor de San Andrés.
Ejerce profesionalmente como Analista de Innovación de Desarrollo de Software en el Banco Central de Bolivia.
Email: vls.luz.7@gmail.com.
205
Estrategias de Inbound Marketing Orientadas a la

Búsqueda y Captación de Turistas en Agencias de
Viaje dedicadas al Turismo Receptivo
Wendy Lizeth Montiel Espejo
La Paz - Bolivia
wendy.jaaziel@gmail.com
Resumen—La presente investigación se encuentra orientada a Actualmente, las páginas interactivas tampoco representan
identificar los atractivos para el destino turístico de la ciudad de la mejor opción para captar nuevos clientes, ante lo cual surge
Copacabana que pueden incluirse para la Optimización de el Inbound Marketing, como una alternativa de búsqueda y
Motores de Búsqueda SEO (Search Engine Optimization) en el captación de clientes. El marketing ha evolucionado en los
internet con Estrategias de Inbound Marketing. Se pretende últimos años a causa del desarrollo de Internet, las plataformas
identificar los atractivos para el destino turístico de la ciudad de tecnológicas, las redes sociales y, especialmente, por los
Copacabana y contactar con personas que se encuentran en el dispositivos móviles, que han cambiado la forma en la que los
inicio del proceso de compra de un producto determinado. A turistas buscan información, realizan una reserva y comparten
partir de aquí, se les acompaña, mediante el contenido apropiado
la experiencia de un viaje. A las empresas que ofrecen
para cada una de las fases del proceso de compra y su perfil,
hasta la transacción final, siempre de forma “amigable”. Y,
productos y servicios turísticos ya no les basta con tener un
posteriormente, se les fideliza. Es por ello, la importancia del sitio web, estar presentes en Facebook o en una aplicación de
Inbound Marketing, como estrategia en la presente investigación. terceros, es necesario realizar una búsqueda y captación de
turistas de acuerdo a las nuevas reglas de juego. El nuevo
Palabras clave—atractivo turístico, estrategia, inbound turista es cada vez más exigente, está hiperconectado y dispone
marketing, seo, sector turístico. de las últimas herramientas tecnológicas, por lo que es muy
importante estar atento a las tendencias y diseñar productos que
I. INTRODUCCIÓN se adapten a sus necesidades y exigencias, según Bernabeu [1].
Copacabana es una ciudad muy conocida en Bolivia, no Taleb Rifai [12], Secretario General de la Organización
solamente por sus fiestas religiosas, sino también cuenta con Mundial de Turismo (OMT), aseguró en el Primer Encuentro
una hermosa bahía que surge del lago Titicaca el cual está Internacional de Turismo Social y Comunitario de la
considerado como el lago navegable más alto del mundo; UNASUR, que Bolivia representa un futuro "promisorio" y
además de la presencia de varios atractivos turísticos en los "ascendente" en turismo en el "contexto de la Unión de
alrededores de la ciudad y en Comunidades aledañas las islas Naciones Suramericanas, la región y el mundo". El potencial
del Lago. Por ello, se la puede concebir como una de las zonas crecimiento de la industria turística en Bolivia es
turísticas de mayor potencial de Bolivia [2]. "impresionante" el que debe ser aprovechado al máximo
En esta zona operan una cantidad importante de agencias de tomando en cuenta que en el país existe "voluntad política" de
viaje que no desarrollan sus actividades de acuerdo a los flujos apoyar e impulsar el sector. La OMT, busca "empoderar" a las
turísticos que provienen ya sea de la ciudad de La Paz o comunidades a través del turismo, concepto que se plasma en
remanentes de la República de Perú. Es decir, sus actividades el eje de esa organización. "Este es un aspecto central, el cómo
están supeditadas a flujos turísticos sobre los cuales no ejercen se puede trabajar con la columna vertebral de un país tal como
ningún grado de influencia y tampoco desarrollan estrategias son las comunidades, de manera que se puedan crear empleos,
para atraer nuevos turistas. generar ingresos, crear servicios, crear infraestructura en el
lugar donde ellos viven" [9].
Esta investigación aplicará esta metodología a nivel
turístico, debido a que para Meijomil [7] el Inbound Marketing A. Planteamiento del problema
se ha empleado en la formulación de estrategias de inbound En este último tiempo, se ha demostrado que el
enfocadas a un aspecto concreto del marketing turístico: el conocimiento, la información y comunicación, son un
ciclo de compra o buyer's journey, que básicamente sería el componente fundamental para el crecimiento económico de
proceso (dividido en varias fases) por el que transita un una industria, micro, pequeña y mediana empresa, en el caso de
consumidor desde que es consciente de que tiene una necesidad esta investigación, desarrollar contenidos para generar la
o problema hasta que adquiere un producto o servicio que lo Optimización de Motores de Búsqueda—SEO, para destino
satisface o soluciona. turístico de la ciudad de Copacabana; Sin embargo, no se tiene

[N] W. Montiel, «Estrategias de Inbound Marketing Orientadas a la Búsqueda y Captación de Turistas en
Agencias de Viaje dedicadas al Turismo Receptivo», Revista PGI. Investigación, Ciencia y Tecnología
en Informática, nº 8, pp. 206-209, 2020.
206
una idea clara sobre la importancia de aplicar estrategias D. Variables

Inbound Marketing para las agencias de viaje dedicadas al Variable dependiente: Generar la Optimización de Motores
turismo receptivo. de Búsqueda SEO en el internet de los atractivos del destino
Es importante conocer las necesidades y preferencias de los turístico
turistas, en relación a los atractivos que se puede ofrecer en Variable independiente: Las estrategias de Inbound
Copacabana, para que se desarrollen productos y paquetes que Marketing.
puedan formar parte de la estrategia de generar la Optimización
de Motores de Búsqueda para destino turístico de la ciudad de Variables intervinientes: Destino turístico de la Ciudad de
Copacabana y captación de turistas de parte de las Agencias de Copacabana
Viaje, de manera que no solamente se dependa de los flujos
E. Justificación
provenientes de Perú y de La Paz.
Justificación Teórica
No se conoce la efectividad de las actividades de marketing
de las agencias de viaje en la búsqueda y consecución de La realización del presente trabajo se justifica con material
clientes. Por ello, no se puede determinar con exactitud si los bibliográfico actualizado, publicaciones, ensayos y otros
turistas que llegan a Copacabana son el producto de los documentos adicionales, sobre los diferentes conceptos
rebalses del turismo peruano y de las conexiones que se pueden teóricos relacionados con el desarrollo de Estrategias de
concretar a través de las oficinas de agencias turísticas en la Inbound Marketing. Tomando en cuenta las características del
ciudad de La Paz y otros departamentos, o son resultado del tema de estudio, se hará énfasis en el desarrollo conceptual de
acierto de las campañas de marketing desarrolladas por los los siguientes temas:
ejecutivos o propietarios de las agencias de viaje. • Estrategia
El problema de la presente investigación se puede expresar • Estratégico de búsqueda y captación de clientes
en forma de interrogante, de la siguiente manera: • Turismo
• Agencias de viaje.
¿Qué atractivos del destino turístico de la ciudad de
Copacabana pueden incluirse para la Optimización de Justificación Económica
Motores de Búsqueda SEO en el internet con Estrategias de
Inbound Marketing? La disponibilidad de una estrategia de Inbound Marketing
contribuirá a la búsqueda y captación de clientes, en el
B. Objetivos mediano y largo plazo, en caso de su implementación
Objetivo general favoreciera a las empresas directamente relacionadas con la
prestación de servicios al sector turístico como son las agencias
Desarrollar contenidos para generar la Optimización de de viaje y de manera directa también al sector hotelero y
Motores de Búsqueda SEO en el internet, para destino turístico gastronómico de la ciudad de Copacabana. Pero el efecto
de la ciudad de Copacabana a través de Estrategias de Inbound multiplicador del turismo, va más allá, porque los clientes
Marketing. también adquirirán souvenirs, paseos culturales y otras
Objetivos específicos actividades de entretenimiento. Estos aspectos justifican la
realización de la presente investigación.
• Mejorar la extensión y la calidad del contenido de los
Justificación Social
atractivos turísticos para el destino turístico de la
ciudad de Copacabana a través de Estrategias de El sector turístico tiene una base social amplia, en la que
Inbound Marketing. trabajan profesionales y técnicos de diferentes ramas, que al ser
• Sistematizar contenidos de Inbound Marketing para a favorecidas por una estrategia en la que se incrementan las
la búsqueda y captación de clientes en las agencias de operaciones turísticas, se ven fortalecidas por la creciente
viaje dedicadas al turismo receptivo de la ciudad de necesidad de nuevos profesionales y técnicos en diferentes
Copacabana. ramas que coadyuvan con el turismo.
• Programar el Rastreo, indexación y exhibición de Adicionalmente, la población de muchos atractivos
resultados, por medio de contenido con palabras clave, turísticos en Copacabana como son la Isla del Sol, Isla de la
para el destino turístico del municipio de Copacabana Luna y otras similares en las que las empresas que los
• Estructurar un sitio web, Adaptable y actualizado del administran son de carácter comunitario y los beneficios llegan
destino turístico de la ciudad de Copacabana. a toda la población, se verían más favorecidos por la presencia
de una mayor afluencia de turistas.
• Desarrollar estrategias para conocer al Buyer Persona a
profundidad y atraer a los turistas a través de un Justificación Técnica
marketing de contenidos estructurado para destino Mediante el presente trabajo se pretende demostrar que el
turístico de la ciudad de Copacabana. objeto de investigación, es real y existente, que tiene vigencia
C. Hipótesis planteada actual el hecho de que las estrategias de Inbound Marketing
pueden generar la Optimización de Motores de Búsqueda SEO
“Las estrategias de Inbound Marketing pueden generar la
en el internet de los atractivos del destino turístico de la ciudad
Optimización de Motores de Búsqueda SEO en el internet de
de Copacabana, de manera tal que se podrá dar una respuesta al
los atractivos del destino turístico de la Ciudad de
diagnóstico planteado.
Copacabana”.
207
Se busca demostrar que la investigación y estudio son de navegador, de repente, aparece lleno de pestañas, cada una de
suma importancia para el área del comercio electrónico, con la las cuales lleva a una aplicación con la que completa una
cual se está trabajando. función distinta. Pero esto supone un problema de eficiencia,
que se refleja en tres cuestiones [13]:
II. MÉTODOS
• La falta de agilidad a la hora de buscar las aplicaciones
En el presente estudio se utiliza el Método deductivo,
y utilizarlas.
debido a que se parte de las observaciones, análisis y datos
sobre las Estrategias de Inbound Marketing que se tiene como • La falta de integración de los datos que recopilan cada
unidad de análisis, para llegar a conclusiones generales. una de estas herramientas, que están separados en silos.
El método deductivo se basa en que la conclusión se halla • La dificultad para obtener inteligencia de estas
implícita dentro las premisas. Partimos de una premisa ya que herramientas, algo para lo que se requiere extraer la
las estrategias de Inbound Marketing pueden generar la información de cada aplicación, exportar los datos a un
Optimización de Motores de Búsqueda SEO en el internet de nuevo destino y allí cruzarlos.
los atractivos del destino turístico de la ciudad de Copacabana. No obstante, sería injusto atribuirle todo el mérito a
Esto quiere decir que las conclusiones son una consecuencia Halligan y Shah, ya que Scott ha sido otro de los grandes
necesaria de las premisas: cuando las premisas resultan influencers de la metodología. Un factor decisivo fue la
verdaderas y el razonamiento deductivo tiene validez, no hay publicación de su libro The New Rules of Marketing and PR,
forma de que la conclusión no sea verdadera. en el que expone cómo han evolucionado el marketing y las
A. Fundamento teórico relaciones públicas gracias al ecosistema que las herramientas
2.0 han ido creando en Internet durante la última década [13].
El concepto "Inbound Marketing” fue acuñado en 2005 por
Brian Halligan [3] sin embargo, no fue hasta el año 2009 En nuestra sociedad, cada vez más, diversos organismos
cuando el término comenzó a despegar junto a la publicación como gobiernos, empresas e instituciones económicas y
del libro “Inbound Marketing: Get Found Using Google, Social sociales demandan, para el desarrollo de sus actividades y
Media and Blogs”. Sus autores, Brian Halligan y Dharmesh planes de actuación, información sobre las preferencias,
Shah contaron con la colaboración de una tercera persona, necesidades y comportamiento de la población. En el caso del
David Meerman Scott, otro de los grandes difusores de la turismo, debido a su importancia como sector en alza y motor
metodología. de arrastre económico que genera economías de escala y
favorece el desarrollo económico y social de las regiones, se
De forma paralela, David Meerman Scott [3] apuntaba hace también necesario contar con un completo y eficiente
previamente con certeza en su best seller, “The New Rules of sistema de estadísticas de turismo, según Saralegui [11].
Marketing and PR”, el cambio que había supuesto la entrada de
herramientas 2.0 y cómo estas afectaban de manera directa al B. Marco metodológico
mundo del marketing y las relaciones públicas. En el que se La primera etapa de la investigación se desarrolla cuando se
describe una red en evolución compuesta por redes sociales y propone, explicita y sistemáticamente, construir conocimiento
blogs. científico para desarrollar contenidos para generar la
Brian Halligan y Dharmesh, se conocieron al finalizar su Optimización de Motores de Búsqueda SEO en el internet, para
post-grado el MIT, Massachusetts Institute of Technology. destino turístico de la ciudad de Copacabana a través de
Ambos coincidían en la obsolescencia de las tradicionales Estrategias de Inbound Marketing.
tácticas de marketing utilizadas por la totalidad de las Por ello se analizará el trinomio las necesidades de
compañías del momento. Pensaban, sencillamente que no eran Estrategias de Inbound Marketing; SEO, destino turístico de la
efectivas. ciudad de Copacabana. Ante una situación percibida como
El software nace poco después de que Shah y Halligan se problemática tratar de responder sobre los criterios de
conocieran cursando un MBA. Durante el máster, Brian contenidos para destino turístico de la ciudad de Copacabana a
detectó que el éxito del blog de Dharmesh (OnStartups), tenía través de Estrategias de Inbound Marketing.
que ver, no sólo con la naturalidad de las explicaciones, La presente investigación asume dos tipos de estudio, en
planteadas de forma muy cercana y basadas en la propia primera instancia Descriptiva, ya que la misma ¨busca
experiencia del autor, sino en la pasión que le ponía especificar las propiedades, las características y los perfiles de
(https://www.inboundcycle.com/inbound-marketing-que-es). personas, grupos, comunidades, procesos o cualquier otro
Dharmesh encontraba el tiempo para dedicarse al blog, fenómeno que se someta a un análisis¨ [5]. En segunda
incluso a pesar de que su actividad como emprendedor le instancia el tipo de estudio Correlaciona Causal, el cual
ocupaba todo el día. Y la popularidad de este espacio en ¨describe relaciones entre dos o más categorías, conceptos o
internet no dejaba de crecer [13]. variables (…) en función de la relación causa efecto, misma
que tendrá como propósito el describir variables y analizar su
Con el incremento del tráfico generado cada vez era incidencia e interrelación en el momento dado¨ [5]. En este
necesario invertir más tiempo y recursos en el blog y, llegados sentido, en la presente investigación, la variable a) Estrategias
a este punto, el background tecnológico de Dharmesh le llevó a de Inbound Marketing se la denominara como variable
buscar la manera de ser más eficiente en su día a día. independiente, con respecto a la variable b) Búsqueda y
captación de turistas en las agencias de viaje de la población de
Él utilizaba WordPress, también tenía una herramienta de
Copacabana se la denominara como variable dependiente.
creación de landingpages, otra de emailing, Google Analytics y
todas las demás que se necesitan para crear una comunidad. El
208
El método elegido para la realización de la presente REFERENCIAS

investigación es el enfoque cualitativo y cuantitativo (Mixto), [1] Bernabeu, Arizal. «Estrategias de marketing on line para empresas
puesto que fue seleccionado por ser el más indicado para una turísticas» Blog Crecemos Contigo, 2017: 13-17.
investigación social o humana; el método cuali-cuantitativo [2] Bolivia Turística. Bolivia Turística. 2018. https://boliviaturistica.com/la-
¨representa un conjunto de procesos sistemáticos, empíricos y paz/copacabana/ (último acceso: 14 sept. 2019).
críticos de investigación e implica la recolección y el análisis [3] Connext. Blog Connext. 2016. CONNEXT (2016). ¿Qué es el Inbound
de datos cuantitativos y cualitativos (...) y así lograr un mayor Marketing? Su historia y cimientos. Disponible: https://blog.connext.es/
entendimiento del fenómeno bajo estudio¨ [5]. Cabe recalcar qu%C3%A9-es-el-inbound-marketing (último acceso: 20 agosto 2019).
que la recolección de datos será cuantificable puesto que [4] Copacabana, Dirección de Turismo de. «Encuesta de satisfacción del
turista, Informe 2018.» DTC, 2019: 1-49.
permitirá alcanzar los objetivos planteados, ya el camino
[5] Hernández, R, C. Fernández, y P. Baptista. Metodología de la
metodológico cuantitativo consiste en la recopilación de datos Investigación. México: McGraw-Hill, 2006.
al establecer contacto con un número limitado de personas por
[6] Instituto Nacional de Estadística. Encuesta de Gasto en Turismo (EGT).
medio de instrumentos. La Paz: INE, 2014.
[7] Meijomil, Susana. Inboundcycle. 2017. https://www.inboundcycle.com/
III. CONCLUSIONES blog-de-inbound-marketing/inbound-marketing-turistico-ciclo-compra
Esta investigación se orienta a establecer las condiciones (último acceso: 20 agosto 2019).
necesarias para que el destino turístico de la Ciudad de [8] Mercado, Iván (2012). "Diferencias entre las TIC Tradicionales Vs.
Copacabana este incorporado de manera efectiva en los NTICs". Disponible en: http://youtu.be/yJnw9hTb2t0
motores de búsqueda – SEO de la web y que el rastreo de datos [9] Moral, S., y F. Orgaz. Eumed. 2017.
http:/www.eumed.net/rev/turydes/22 /turismo-desarrollo.sostenible.html.
con la palabra Copacabana, identifiquen al Lago Titicaca, (Último acceso: 14 sept. 2019).
permitiendo que las paginas indexadas muestren los atractivos
[10] Programa de Apoyo a la Democracia Municipal - PADEM. Para un
turísticos en la consulta del usuario, logrando que la municipio moderno. Experiencias y Propuestas. La Paz: PADEM, 2012.
clasificación de páginas o sitios a través de Estrategias de [11] Saralegui, Jorge. Las estadísticas de turismo en el sistema estadístico. La
Inbound Marketing. Paz: INE, 2012.
La presente investigación permitirá, identificar, formular y [12] Taleb Rifai, 2014, Secretario General de la Organización Mundial de
Turismo (OMT), aseguró en el Primer Encuentro Internacional de
solucionar problemas prácticos, manifiestos, latentes, teóricos, Turismo Social y Comunitario de la UNASUR,
actuales, coyunturales y estructurales, a través de una compleja [13] Valdes, Pau. Inboundcycle. 2019. https://www.inboundcycle.com/
serie de decisiones fundamentalmente teóricas. inbound-marketing-que-es (último acceso: 05 marzo 2019).
La construcción de un problema de investigación será el WEB
proceso de delimitación de una situación problemática desde http://increnta.com/es/blog/que-es-el-inbound-marketing/
un punto de vista teórico, a través de una jerarquía de http://www.proyectosinformaticos.biz/?empresa=Information+Builders+Iberica
conocimientos que existe entre los distintos niveles implicados http://iese.edu/research/pdfs/OP-04-1.pdf
en la investigación para así determinar, de alguna manera, el http://www.w3.org/TR/2004/REC-webont-req-20040210/
diseño metodológico y las técnicas que se han de emplear. http://eprints.ucm.es/8064/1/T29976.pdf
De acuerdo al análisis realizado en las páginas anteriores, la http://www.redbooks.ibm.com/redbooks/pdfs/sg247210.pdf
propuesta de desarrollar estrategias Inbound Marketing, es http://www.ejournal.unam.mx/rca/190/RCA19007.pdf
factible en la medida en que se encuentra al alcance de las http://es.wikipedia.org/wiki
posibilidades financieras de las agencias de turismo y siempre http://www.microstrategy.com.ar/Solutions/5Styles/olap_analysis.asp
y cuando se cumplan todos los requerimientos para su http://www.gestiondelrendimiento.com/Articulos/010/gdr010.pdf
desarrollo y se realice un planteamiento apropiado en la http://jios.foi.hr/index.php/jios/article/view/107
identificación de necesidades y recursos para el desarrollo e http://copernico.mty.itesm.mx/phronesis/mty/tmp/ITESMMTY2002215.pdf
implementación de una estrategia de este tipo. http://www.gestiondelrendimiento.com/Articulos/010/gdr010.pdf
http://copernico.mty.itesm.mx/phronesis/mty/tmp/IESMMTY2005533.pdf
http://iese.edu/research/pdfs/OP-04-1.pdf
Wendy Lizeth Montiel Espejo es Licenciada en Economía por la Universidad Mayor de San Andrés. Diplomada en Docencia
Militar, Planificación Producción y Gerencia de Sistemas, Responsabilidad Social Empresarial y Gerencia de Empresas Turísticas.
Actualmente realiza la maestría en Alta Gerencia en TICs e Innovación para el desarrollo (MAG-TIC) en el Postgrado en
Informática de la UMSA.
Ejerce profesionalmente como Auditora Analista de Mercado en Kampo Bolivia. Anteriormente como capacitadora de talleres de
“Objetivos de Desarrollo Sostenible”, en el Programa de Voluntarios de Naciones Unidas (ONU); y como Especialista
Departamental de Capacitación en el Instituto Nacional de Estadística (INE).
Email: wendy.jaaziel@gmail.com.
209
Desarrollo de una Herramienta CASE para el Diseño

de Diagramas Entidad–Relación Extendido y su
mapeo al Modelo Relacional Orientado a Estudiantes
en el contexto
Zara Yujra Cama
La Paz - Bolivia
zarayujra@gmail.com
Resumen—En la presente Tesis se ha propuesto como objetivo ejemplo, estandarizar la documentación, facilitar la realización
el desarrollo una herramienta CASE que facilite el proceso de de prototipos y la reutilización de componentes software) con la
mapeo del Modelo ER y ER Extendido, al Modelo Relacional finalidad de ser competitivos en el mercado.
orientado a Estudiantes en el contexto, se pretende poner a
disposición de los mismos una herramienta que apoye su proceso Si bien existen programas que permiten generar diagramas
de aprendizaje durante su formación profesional ya sea a nivel de Entidad - Relación estos están en idioma inglés o tienen
técnico superior como a nivel licenciatura. La herramienta está interfaces poco amigables al usuario para realizar el análisis y
dentro de la categoría front–end ya que apoya las etapas iniciales diseño de sistemas. Por ello se propone implementar una
del desarrollo del sistema, ha sido aplicada con una muestra de herramienta CASE que facilite el proceso de mapeo a partir del
Estudiantes seleccionados de la población actual pertenecientes a Modelo ER, Modelo ER-Extendido al Modelo Relacional a
diferentes Universidades e Institutos tecnológicos. La herramienta partir del cual se podrá continuar con el desarrollo del software
está disponible en línea con la finalidad de beneficiar a la mayor en etapas subsecuentes.
cantidad posible de Estudiantes que requieran utilizar la
herramienta con un enfoque más práctico rompiéndose así las II. MÉTODOS
barreras tanto temporales como espaciales.
A. Métodos teóricos
Palabras clave—modelo de datos, modelo de datos conceptual, • Análisis y síntesis: Con el fin de sistematizar la
modelo entidad–relación, modelo entidad relación extendido, bibliografía general y especializada, así como para el
modelo relacional, atributo, entidad, relación, cardinalidad, estudio y comprensión de los datos aportados por
participación, herramienta case, mapeo. instrumentos aplicados en la investigación, lo que
I. INTRODUCCIÓN permitirá llegar a conclusiones y recomendaciones de la
investigación.
Las herramientas CASE (del inglés Computer Aided Software
Engineering, Ingeniería de Software Asistido por Computadora) son
• Método inductivo–deductivo: Con propósito de permitir
aplicaciones informáticas destinadas a aumentar la el estudio de elementos particulares obtenidos mediante
productividad y la calidad en el desarrollo del software los métodos de nivel empírico y arribar a
reduciendo los costos del mismo en términos de tiempo y dinero. generalizaciones en la fase del diagnóstico y de la
Estas herramientas permiten tener una mejor organización y validación. Será condición importante para lograr la
control del desarrollo de un sistema informático, en especial elaboración de conclusiones generales, durante el
aquellos sistemas que sean grandes o robustos y que impliquen proceso de estructuración de la propuesta.
tener muchos componentes software, así como recursos B. Método estadístico
humanos. El método estadístico consiste en una secuencia de
Es por ello, que en la actualidad muchas instituciones procedimientos para el manejo de los datos cualitativos y
utilizan herramientas CASE para automatizar las actividades cuantitativos de la investigación. Dicho manejo de datos tiene
involucradas en el proceso de desarrollo de los sistemas por propósito la comprobación, en una parte de la realidad, de
informáticos y así obtener grandes beneficios, tales como una o varias consecuencias verificables deducidas de la hipótesis
mejorar la gestión y dominio sobre el proyecto (planificación, general de la investigación.
ejecución y control); una mejor calidad del software Las características que adoptan los procedimientos propios
desarrollado así como también aumentar la productividad en las del método estadístico dependen del diseño de investigación
áreas de desarrollo y mantenimiento de dichos sistemas (por

[N] Z. Yujra, «Desarrollo de una Herramienta CASE para el Diseño de Diagramas Entidad–Relación
Extendido y su mapeo al Modelo Relacional Orientado a Estudiantes en el contexto», Revista PGI.
210
seleccionado para la comprobación de la consecuencia E. Objetivos

verificable en cuestión. Objetivo general
En la investigación propuesta se aplicará la estadística Desarrollar una herramienta CASE para el mapeo del Diseño
descriptiva inicialmente y luego la estadística inferencial para la Conceptual ER al Diseño Lógico basado en el Modelo
comprobación de la hipótesis propuesta en la presente Relacional orientado a Estudiantes en el contexto, aplicando
investigación. herramientas visuales.
C. Rational Unified Process (RUP) Objetivos específicos
RUP (Proceso Unificado de Rational) fue desarrollado por
la empresa Rational Software, actualmente propiedad de IBM. • Sistematizar los principales fundamentos teóricos
Éste es un proceso para el desarrollo de un proyecto de un relacionados con las Herramientas CASE orientadas al
software que define claramente quien, cómo, cuándo y qué debe análisis y diseño de sistemas de información.
hacerse en el proyecto. Está centrado en la arquitectura que • Analizar de manera crítica las actuales Herramientas
relaciona la toma de decisiones que indican cómo tiene que ser CASE disponibles en el mercado tanto comerciales
construido el sistema y en qué orden. Es iterativo e incremental como gratuitas, orientadas al análisis y diseño de
donde divide el proyecto en mini proyectos donde los casos de sistemas de información.
uso y la arquitectura cumplen sus objetivos de manera más • Implementar los componentes de la herramienta CASE
depurada. Se caracteriza por ser incremental, estar centrado en que permita realizar el diseño de Diagramas Entidad–
la arquitectura y guiado por los casos de uso. El ciclo de vida del Relación y el proceso de mapeo al Modelo Relacional
RUP es una implementación del Desarrollo en Espiral, fue para el análisis y diseño de sistemas.
creado ensamblando los elementos en secuencias semi-
ordenadas. • Determinar el grado de validez de la herramienta CASE
desarrollada.
Es un producto del proceso de ingeniería de software que
proporciona un enfoque disciplinado para asignar tareas y F. Preguntas científicas
responsabilidades dentro de una organización del desarrollo. Su Pregunta de investigación principal
meta es asegurar la producción del software de alta calidad que
¿De qué manera es posible realizar un proceso más eficiente
resuelve las necesidades de los usuarios dentro de un
de mapeo automatizado del Diseño Conceptual al Diseño
presupuesto y tiempo establecidos.
Lógico basado en el Modelo Relacional orientado a estudiantes
RUP divide el proceso en 4 fases, dentro de las cuales se en el contexto para el análisis y diseño de sistemas?
realizan varias iteraciones en número variable según el proyecto
Preguntas de investigación secundarias
y en las que se hace un mayor o menor hincapié en las distintas
actividades. • ¿Qué fundamentos teóricos relevantes existen
relacionados con las Herramientas CASE orientadas al
análisis y diseño de sistemas de información?
• ¿Cuáles son las actuales Herramientas CASE
disponibles en el mercado tanto comerciales como
gratuitas, orientadas al análisis y diseño de sistemas de
información?
• ¿Cuáles son los componentes de la herramienta CASE
que permita realizar el diseño de Diagramas Entidad –
Relación y el proceso de mapeo al Modelo Relacional
para el análisis y diseño de sistemas?
• ¿Qué grado de el grado de validez y viabilidad presenta
la Herramienta CASE propuesta?
III. RESULTADOS
Fig. 1. Fases del Método RUP Las funciones definidas para el prototipo en función de los
Fuente: (Jacobson, Booch & Rumbaugh 2000) requerimientos de los usuarios se describen en la Tabla 1.
D. Planteamiento de la hipótesis TABLA I. FUNCIONES DE LA HERRAMIENTA CASE
La Herramienta CASE implementada facilita el proceso Ref. Función Categoría
automatizado de mapeo del Diagrama ER al Modelo Relacional
R.1 Registrar datos del administrador del sistema Evidente
que está orientado a Estudiantes en el contexto.
R.2 Registrar datos de los usuarios Evidente
Variable independiente: Herramienta CASE implementada Los usuarios del sistema deben introducir una su nombre de
R.3 Evidente
usuario y su contraseña para iniciar la sesión en el sistema.
Variable interviniente: Estudiantes en el contexto R.4 Se modifica datos del administrador Evidente
Variable dependiente: Proceso de mapeo del Diagrama R.5 Se modifica datos de los usuarios Evidente
ER al Modelo Relacional. R.6 Lista de accesos históricos de usuarios al sistema Evidente
R.7 Actualizar Información de ayuda Evidente
211
R.8 Crear Diagrama ER - ERE Evidente

Realizar el mapeo del Diagrama ER – ERE al Modelo
R.9 Evidente
Relacional
R.10 Guardar Diagrama ER – ERE realizado Evidente
R.11 Imprimir Diagrama ER – ERE realizado Evidente
R.12 Consultar información de ayuda Evidente
R.13 Evaluar la Herramienta CASE Evidente
Fuente: Elaboración Propia
El Modelo de casos de uso del negocio se muestra en la figura 2

Fig. 6. Interface proceso de mapeo del Diagrama ER Extendido con una
Crear Usuario Agregación al modelo relacional. Fuente: Elaboración Propia
Administrador del Sistema

IV. DISCUSIÓN
Crear Diagrama ER-ERE
Se han tomado como referentes a las Carreras de Informática
Guardar Diagrama e Ingeniería de Sistemas tanto de Universidades públicas como
privadas que ofertan Carreras a nivel licenciatura, así como
Imprimir Diagrama
Usuario
también se han considerado Institutos Tecnológicos Superiores
que ofertan Carreras de Informática Industrial o Analista de
Usuario Realizar Mapeo al Sistemas a nivel técnico superior, de esta Población Estudiantil
Modelo Relacional
se ha tomado una muestra de Estudiantes (ver Tabla 2).
Imprimir Modelo
Relacional TABLA II. ESTUDIANTES MATRICULADOS
QUE CURSAN LA ASIGNATURA BASE DE DATOS
Consultar Ayuda Nro. Institución Nombre asignatura Cant.

Fig. 2. Modelo de Casos de Caso de Uso del Negocio
1 Universidad Pública de El Alto Base de Datos I 200
Fuente: Elaboración Propia Diseño y
2 Universidad Mayor de San Andrés Administración de 210
Base de Datos
3 Universidad Técnica de Oruro Base de Datos I 68
4 Universidad Tecnológica Boliviana Base de Datos I 20
5 Universidad Católica Boliviana Base de Datos I 30
Administración de
7 Escuela Militar de Ingeniería
Base de Datos I
60
7 Universidad Salesiana de Bolivia Base de Datos I 72
8 Universidad Franz Tamayo Ingeniería de Sistemas 15
Analista de Sistemas
9 Instituto Tecnológico Don Bosco 81
10 Instituto Jesús María II Sistemas Informáticos 36
Fig. 3. Interfaces del sistema – Editor de Diagrama 11
Inst. Téc. Escuela Industrial Base de Datos
50
Fuente: Elaboración Propia Superior Pedro D. Murillo y Laboratorio
Total de Estudiantes de la población considerada 751
Formulación de la Hipótesis Estadística:

H0: ц1- ц2 = 0 (1)
Con la aplicación de la herramienta CASE, no ha tenido
efecto en el aprendizaje de los Estudiantes, por lo cual no ha
mejorado significativamente.
H1: ц1- ц2 < 0 (2)
Con la aplicación de la herramienta CASE, se ha tenido un
Fig. 4. Interface proceso de mapeo del Diagrama ER al modelo relacional efecto en el aprendizaje de los Estudiantes, por lo cual ha
Fuente: Elaboración Propia mejorado significativamente. El esquema de prueba de hipótesis
se muestra en la figura 7:
Zona de Aceptación
0,475
α/2=0,025
Zona de Rechazo
Z1= -1,96 Z1= +1,96
Fig. 5. Interface proceso de mapeo del Diagrama ER Extendido con una Fig. 7. Esquema de prueba de Hipótesis
Generalización al modelo relacional. Fuente: Elaboración Propia Fuente: Elaboración Propia
212
A continuación, en la tabla 3 se muestran cálculos previos [6] Hernández, R., y otros (2014). Metodología de la Investigación. D.F.,
luego de hacerse uso de software estadístico de los valores de México: Mc Graw Hill, sexta edición.
los estadísticos a considerar en la prueba de hipótesis. [7] Jacobson, I., Booch G. & Rumbaugh, J. (2000). El Proceso Unificado de
Desarrollo de Software. Madrid, España: Addison Wesley, 1ra edición.
TABLA III. CÁLCULO DE ESTADÍSTICOS [8] Kendall, K.E. & Kendall, J.E. (1999). Análisis y Diseño de Sistemas,
D.F., México: Prentice Hall Hispanoamericana S.A., Tercera Edición.
Observación n x s1 [9] Pressman, R. (2010). Ingeniería de Software un Enfoque Práctico, DF,
México: McGraw-Hill Interamericana Ed., SA de C.V., Séptima edición.
Pretest 428 66,54 14,60
[10] Ricardo, K. (2004). Bases de Datos. México: Mc Graw Hill
Postest 428 83,93 9,56 Interamericana Edito-res, S.A. de C.V.
Fuente: Elaboración propia [11] Sabana, M. (2015). Modelado e Implementación de Base de Datos. (1ra.
Edición). Lima, Perú: Grupo Editorial Megabyte S.A.C.
Determinamos el estadístico de prueba para la muestra [12] Sommerville, I. (2005). Ingeniería de Software, D.F., México: Prentice
considerada (ver tabla 12), aplicamos la prueba de hipótesis de Hall Hispanoamericana S.A., Séptima Edición.
diferencia de medias obtenemos: [13] Ayala, J. (2015). Fundamentos de Base de Datos – Apuntes. México:
x1 − x2 s/Editorial. Disponible: http://ri.uaemex.mx/handle/ 20.500.11799/33944
Z= = -71,33 (3) Visitado [01/08/2019]
s1 − s2 [14] Cerca, J.I. (2014) et al. “Uso de herramientas CASE para la gestión de
proyectos de software”. Disponible: http://www.itcelaya.edu.mx/
n 1 ojs/index.php/pistas/article/view/1304/1114 Vist [01/08/2019]
El estadístico Z = -71,33 cae en la zona de rechazo, el cual [15] Chaverra, J. J. (2011). Generación Automática de Prototipos Funcionales
indica que se debe rechazar la hipótesis nula y aceptar la a partir de Esquemas Conceptuales (Tesis de Maestría) - Universidad
hipótesis alterna. Esto nos permite concluir que, para un nivel de Nacional de Colombia. Medellín, Colombia. Disponible:
confianza del 95% la aplicación de la herramienta CASE ha sido http://bdigital.unal.edu.co/5498/1/1017150179.2011.pdf.Vis 20/11/2018
efectiva como apoyo al aprendizaje de los Estudiantes en la [16] Chavarría, L. & Ocotitla, N. (2016). "Sobre el uso de herramientas CASE
para la enseñanza de bases de datos"; En, Revista Sistemas Cibernética e
asignatura Base de Datos o con denominaciones equivalentes de informática; Año 3 – Vol. 13 Disponible: http://www.iiisci.org/journal/
acuerdo al plan de estudios de las Unidades Académicas. CV$/risci/pdfs/CB321MR16.pdf Visitado [28/11/2018]
[17] Cubillo, J. (2014). ARLE: Una Herramienta de Autor para Entornos de
REFERENCIAS Aprendizaje de Realidad Aumentada. Universidad Nacional de Educación
[1] Barragán, R., Salman, T., Aillon, V., Sanjinez, J., Langer, E. D., Córdova, a Distancia (Tesis Doctoral). España. Visitado [20/11/2018]
J., y otros. (2007). Guía para la Formulación y Ejecución de Proyectos de [18] Morales, J. A. (2008). Herramienta de Modelado Visual orientado a
Investigación - PIEB. La Paz - Bolivia: s/Editorial. Objetos para la Generación Automática de Código en Java (Tesis de
[2] Bender, C. M. et. al. (2014). Tópicos avanzados de Bases de Datos. (1ra. Maestría) – Centro de Investigación y Desarrollo Tecnológico.
Edición). s/país: Iniciativa Latinoamericana de Libros de Texto Abiertos Cuernavaca Morelos, México. Disponible: http://www.cenidet.edu.mx/
(LATIn). McGraw-Hill/Interamericana de España, S.A.U. subplan/biblio/seleccion/Tesis/MC%20Jose%20Alberto%20Morales%2
[3] Caesar, L. G. (2002). Software quality and tools CASE. Research and 0Mancilla%202008.pdf Visitado [20/11/2018]
Development. SCORed 2002. Student Conference on. IEEE. pp.54. [19] Soler, J. (2010). Entorno Virtual para el Aprendizaje y Evaluación
[4] Elmasri, R. & Navathe, S.B. (2007). Fundamentos de Sistemas de Bases Automática en Bases de Datos (Tesis Doctoral) – Universitat de Girona.
de Datos. (5ta. Edición), Madrid – España: Pearson Education S.A. Cataluña, España. Disponible: https://www.tesisenred.net/
bitstream/handle/10803/7893/tjsm.pdf Visitado [20/11/2018]
[5] Carrasco, S. (2013). Metodología de la investigación científica – pautas
metodológicas para diseñar y elaborar el proyecto de investigación. Lima, [20] Sánchez, J. (2004). Principios sobre bases de datos relacionales. s/país:
Perú: Edito-rial San Marcos, 6ta. ed. s/Editorial. Disponible: http://www.it-docs.net/ddata/3798.pdf Visitado
[01/08/2019]
Zara Yujra Cama es Licenciada en Informática por la Universidad Mayor de San Andrés. Magister en Ciencias de la Computación
(Universidad Nacional Siglo XX). Actualmente realiza la Maestría en Ingeniería de Software en el Posgrado en Informática UMSA.
Es especialista en Administración de Redes Informáticas “CCNA–Cisco Networking Academy Program”.
Es docente universitaria y consultora en sistemas, fue Coordinadora de Programa de Postgrado, Coordinadora del Instituto de
Investigaciones de la Carrera Ingeniería de Sistemas (Universidad Pública de El Alto). Obtuvo reconocimiento por desempeño en
evaluación docente sobresaliente (Universidad Salesiana de Bolivia–La Paz), Pertenece al Colegio de Ciencias de la Computación
La Paz, Reg. Prof. 402.
Publicó el libro “Aprenda a Programar de Manera Fácil en TC++ y Java”; publicó artículo: “Medición y evaluación cuantitativa de
la calidad de entornos virtuales de enseñanza–aprendizaje (EVEA) en el postgrado basado en la norma Open ECBCheck”, Revista
PGI 2014. Sus intereses investigativos: la Seguridad informática, el Modelaje y simulación de sistemas, la Informática aplicada a la
educación y el Derecho informático.
Email: zarayujra@gmail.com. Página Web https://zarayujra.wixsite.com/investigacionciencia.
213
La educación y la tecnología
en tiempos de COVID-19
La Paz - Bolivia
aliciahec@gmail.com
Resumen—El coronavirus declarado pandemia mundial abastecimiento y distribución de alimentos2, que por su
obligó al mundo a utilizar tecnología para superar las restricciones importancia estratégica fueron los únicos que no pararon. Sin
impuestas para evitar su propagación. Las incidencias socio- embargo, la pandemia siguió avanzando y dejando secuelas
económicas redundaron en agravar la pobreza, con incidencia en relacionadas a la salud y calidad de vida de la población, sobre
salud y educación. El objetivo de la investigación fue mostrar como todo la más vulnerable3. En lo social, la educación no podía
la educación universitaria enfrentó el problema de aislamiento con quedar al margen de las decisiones, que, siguiendo
clases virtuales, volcándose a la teleeducación. La metodología recomendaciones internacionales, el Ministerio del Ramo
empleada fue deductiva yendo de la problemática socio-económica dispuso mediante RM No. 9950/2020 de fecha 31/07/2020, la
general a la educación universitaria en particular. Se describió la suspensión del año escolar, por no contar con los medios
normativa cuyos impactos se recogieron a través de 75 personas necesarios y las condiciones suficientes para continuar las
encuestadas entre docentes y estudiantes, en 5 universidades
actividades programadas y sobre todo a través de Teleeducación.
paceñas. Los resultados fueron analizados con el método FODA.
Al inicio toda la población se vio obligada a adaptarse a una nueva
Dicha medida, ante una acción popular presentada ante el
realidad, procediendo a utilizar tele-plataformas, sin embargo, fue Tribunal Departamental de Justicia (TDJ) de La Paz, en su Sala
difícil el ajuste en la educación universitaria como demuestra este Constitucional Primera, dejó sin efecto la medida, por
trabajo y aún quedan muchas tareas pendientes por realizar que considerar que se vulnera un derecho de niños y jóvenes a la
se enuncian en las conclusiones. educación, más aún al efectuar tal disposición sin una norma de
mayor rango como es una Ley. Se dispuso que en diez días de
Palabras clave—Pandemia mundial COVID-19, teleeducación, plazo se presente una política integral para garantizar el derecho
plataformas educativas digitales, conectividad y acceso, legislación y a la educación.
alfabetización digital.
Lo dispuesto parecería un contrasentido puesto que COVID-
I. INTRODUCCIÓN 19, si bien comenzó una marcha descendente en cuanto a
contagios, está aún distante de haberse superado o haber llegado
Ante la aparición del Coronavirus (COVID-19) declarada a una normalidad [2], sobre todo en el Departamento de La Paz
como pandemia mundial por la OMS/OPS el 11 de marzo de cuyo número de recuperados es bajo comparado con Santa Cruz
2020, el gobierno nacional mediante D.S. 4179 de fecha 12 de y Cochabamba, revelando además que Bolivia tiene limitaciones
marzo 2020 declaró situación de emergencia nacional por la en cuanto a nosocomios para atender enfermos COVID-19 así
presencia del virus. El gobierno boliviano fue endureciendo las como para realizar actividades de Teleeducación y Telemedicina
medidas a través de varios decretos [1] desde la cuarentena total en situaciones de distanciamiento social. Los aspectos
y obligatoria, el distanciamiento social, hasta la cuarentena mencionados, comparados con otras latitudes, marcan una
dinámica que recientemente se dio por finalizada1. La mayoría brecha digital que es necesario superar, demostrado en los
de los sectores productivos, de comercio y de servicios sufrieron índices de competitividad [3] presentados por el Foro
una desaceleración total, salvo el sector de salud (público y Económico Mundial4. La fuente citada muestra que no solo se
privado) para atender la salud integral de la población, así como deben ahondar los esfuerzos para allanar la problemática de
el sector productivo agropecuario, incluido su comercio para salud o telesalud, sino que se debe ahondar mucho más en

[N] A. Estrada, «La educación y la tecnología en tiempos de COVID-19», Revista PGI. Investigación,
1 mercados móviles o temporales habilitados zonalmente para evitar el
El presente trabajo consideró los estudios y normativa del Estado
Plurinacional de Bolivia, con base en datos epidemiológicos y experiencias desabastecimiento de alimentos.
3
referentes como la Gripe Española 1918-1920, en un escenario complejo, Los datos exactos de población vulnerable por la crisis sanitaria, varían con
variable e incierto (información incompleta), promulgó varios Decretos frecuencia. La volatilidad de los escenarios por la pandemia impide que datos
Supremos (D.S. N° 4196 promulgado el 17/03/2020, D.S. N° 4199 promulgado usados frecuentemente para identificar temas de pobreza urbana y rural tengan
el 21/03/2020 declarando Cuarentena Total en todo el territorio nacional, con total fiabilidad. A ello se sumó la recomendación de resguardar a la niñez como
suspensión de actividades públicas y privadas hasta el 4 abril, D.S. N° 4200 población vulnerable y evitar focos de contagio en universidades y otros centros
promulgado el 25/03/2020, con prohibiciones de circulación de vehículos y de presencia masiva.
personas, D.S N° 4214 promulgado el 14/04/2020 y otros hasta el D.S. N° 4314 4
Ver https://boliviaemprende.com/publicaciones/reporte-de-competitividad-
promulgado el 27/08/2020 que da por finalizada la cuarentena nacional, global-2019. Bolivia ocupa el puesto 107 de 141 economías el año 2019. El
dinámica y condicionada desde el 31/08/2020. puesto 89 de 141 economías en salud y educación, sin embargo, el puesto 124
2
Supermercados, mercados mayoristas, minoristas y tiendas de barrio, y de 141 economías en Capacidad de innovación vinculada al uso de tecnología.
214
innovación tecnológica que en materia educativa se vio obligada equipamiento obsoleto y desconocimiento del manejo de
a reinventarse a marchas forzadas. software y plataformas educativas (analfabetismo digital) que
ahondó los problemas de acceso a la teleeducación.
Los indicadores de pobreza y pobreza extrema en Bolivia,
publicados por la CEPAL el mes de julio de 2020 [4], registraron Como fuera mencionado en la parte introductoria, nos
ambos incrementos en 3.2% y 2,5% respectivamente. Al centramos en la educación superior universitaria, que pese a
considerar que en su cálculo, tanto la salud como la educación tener mejor infraestructura para adaptarse a la teleeducación
son componentes principales, luego de observar las fragilidades (muchas universidades ofrecían cursos a distancia), al igual que
estructurales existentes, agravado por la falta de tecnología y su en la educación escolar, al inicio tuvieron problemas que serán
uso, nos motivó a indagar con mayor profundidad en la materia, descritos en profundidad con base en un análisis FODA
partiendo de la premisa que es imperativo reforzar los sistemas parametrizado, cuyos resultados muestran la fragilidad
de salud y de educación, afianzándolos no solo con inversiones estructural de muchas universidades para la Teleeducación,
físicas, sino también con tecnología e innovación (I+D+i) que mismos que ameritaron correctivos rápidos en materia
deben adecuarse a nuestro medio, permitiendo que toda la tecnológica y el uso de TIC´s educativas, obligando a toda la
ciudadanía supere las brechas digitales existentes, mismas que comunidad universitaria y población en general a reinventarse,
durante la pandemia se vieron totalmente expuestas o se consultar tutoriales para autoeducación en YouTube y acceder a
ahondaron, iniciando una alfabetización digital. mejoras de equipamiento en términos de celulares más
avanzados, servicios con mayor ancho de banda, computadoras
Jorge Quiroga Canaviri en el taller internacional - Panel de con mayor capacidad y otros aspectos para continuar con las
Experiencias Educativas en Tiempo de Pandemia y Condiciones clases.
para la Educación Superior en Latinoamérica mencionó “una
mayoría de los actores involucrados en el ámbito educativo A. Planteamiento del Problema
(educadores y educandos), casi de manera forzosa tuvieron que El mundo entero se vio afectado por el COVID-19. Bolivia
adaptarse y reinventarse, en todos los niveles educativos desde no fue la excepción y en materia educativa, para prevenir el
los colegios hasta las universidades, pasando por institutos de contagio y con base en las normativas de aislamiento social y
formación técnica, para continuar con sus actividades”. También cuarentenas se ingresó a la Teleeducación sin estar complemente
señaló “actualmente prevalecen las restricciones en cuanto a habilitados o preparados para ello.
acceso y uso de medios tecnológicos apropiados, problemas de
conectividad en cuanto a costo y velocidad de las redes, falta de Dicho de otra manera, “El ingreso a la Teleeducación
pericia y destrezas de los individuos para el manejo de universitaria tuvo percances y limitaciones al no haber estado
plataformas y software disponibles para Teleeducación y completamente preparados y equipados para asumir el reto que
Telemedicina”. nos impuso la Pandemia COVID-19, para enseñar a los
universitarios vía plataformas a distancia”.
En este artículo científico, por la amplitud del tema, al
subsistir problemas en el acomodo de la educación escolar a la Al margen de la educación escolar (problema judicial) y
nueva realidad, luego del fallo constitucional antes mencionado, profesionalización en institutos superiores, la educación
no contando con suficiente evidencia sobre lo que harán en el universitaria es el núcleo de esta investigación analizando las
futuro, así como los avances realizados en Telesalud, pondremos fortalezas, oportunidades, debilidades y amenazas (FODA),
énfasis en la educación superior universitaria, tomando como derivadas de la obligada e inmediata migración a la
base de análisis las evidencias empíricas del estudio presentado Teleeducación Universitaria en Bolivia.
antes mencionado, elaborado por Jorge Quiroga Canaviri5. La encuesta y entrevistas a informantes claves realizadas por
II. PROBLEMÁTICA Jorge Quiroga [5], dan un mapa situacional del problema, que
nos sirven de base para reflexionar sobre aquellos aspectos que
Por efecto del COVID-19 y como medida sanitaria para impidieron o siguen presentes en la adopción de esta modalidad
evitar la propagación del virus, con base en las disposiciones de educativa en las universidades bolivianas (mientras dure la
aislamiento y cuarentena rígida adoptadas, las clases pandemia y en la nueva normalidad).
presenciales a todo nivel fueron suspendidas obligando al
empleo de plataformas virtuales para educación a distancia III. MÉTODOS
(Teleeducación) a fin de dar continuidad a las actividades En primera instancia se analizaron las decisiones adoptadas
académicas que al inicio se vieron truncadas. por las autoridades universitarias, resumidas a continuación,
Cabe resaltar que si bien, muchas universidades contaban sujetas a normativa gubernamental.
con plataformas virtuales, a nivel escolar y de institutos de
• Suspensión de actividades académicas presenciales
formación técnica profesional existían precariedades, generando
desde 13/03/2020 (cuarentena y distanciamiento social).
un elevado costo de adaptación tanto para estudiantes como para
docentes, razón por la que en ambos casos se vieron obligados a • Cada Universidad empleó diversos métodos y
duplicar esfuerzos en tiempo y conocimientos, para el uso de las herramientas para continuar las clases.
plataformas y herramientas tecnológicas, considerando además • Uso de plataformas educativas (moodle, classroom).
que debieron superar los problemas de conectividad,
5 Costa Rica, Chile y otros países. Fue entrevistado y con su anuencia se tomaron
Jorge León Quiroga Canaviri es Economista con maestrías en Economía
Agrícola, Macroeconomía Aplicada, Seguridad, Defensa y Desarrollo, los resultados de un sondeo rápido que realizó en 5 universidades bolivianas a
especializado en Programación Financiera, Proyectos, Políticas Públicas y docentes y alumnos de las mismas, presentado en fecha 17 de junio de 2020, en
Bioeconomía. Actualmente ejerce como Consultor Internacional de IICA- el citado cónclave internacional donde participaron expertos de Bolivia, Brasil,
Bolivia. Es Catedrático e Investigador en varias menciones y disciplinas a nivel Chile, Paraguay y Uruguay.
de postgrados y maestrías en Universidades públicas y privadas de Bolivia,
215
• Clases con cisco webex meetings, zoom, Skype, meet. a los 45 minutos se cortaba) y otros aspectos que
• Organizaron paralelamente grupos por WhatsApp, limitaron la continuidad de las clases y la atención de
Telegram. los participantes.
• Se modificaron los calendarios de actividades con lo cual • Los docentes no estaban preparados para colgar su
el tiempo de conclusión de los semestres fue ajustado y material en la plataforma y tuvieron que ocupar tiempo
en algunos casos fueron suspendidos los cursos (invierno extra en la conversión de los mismos a herramientas
/ verano). como power point u otras que les absorbió mucho
tiempo al hacerlo.
• Las actividades administrativas fueron suspendidas
afectando a los estudiantes en: i) Suspensión de defensas • Para superar este problema se recargaron los trabajos de
de tesis de grado, ii) tesis de maestría, iii) tesis de investigación y prácticas que no tuvieron el
doctorado, iv) Suspensión de colaciones, v) suspensión acompañamiento de los ejemplos que usualmente se
en casi todo trámite administrativo (convalidaciones, realizaban en pizarra, tornándose en muchos casos una
títulos en provisión nacional y otros). educación más autodidáctica, que lo que existente en las
clases convencionales.
Como segunda instancia, hasta el restablecimiento del • Ambos, docentes y alumnos, experimentaron un estrés
funcionamiento administrativo que fue gradual sujeto a la por la sobrecarga de trabajo; docente en la preparación
flexibilización de la cuarentena rígida, durante el período de de las clases (doble de tiempo) y alumnos (por la
ajuste y adaptación, tanto en la parte administrativa como en la sobrecarga de trabajos).
enseñanza, al haber detectado problemas en el uso de las
plataformas educativas se formuló una encuesta para ver cuáles • Para los docentes la mayor limitación fue que no
eran esos problemas consultando a los actores involucrados. tuvieron pleno dominio o control en las plataformas
utilizadas, sobre los exámenes que se colgaron en las
Mediante el Google Forms, se encuestaron docentes y mismas, al no poder controlar si los examinados, eran
alumnos en 5 universidades del departamento de La Paz los alumnos o ellos hacían responder a terceros las
(UMSA, EMI, UCB, UNIVALLE y Universidad Loyola), evaluaciones.
tomando como población objetivo 75 encuestados (15 personas
por universidad; 5 docentes y 10 alumnos). Como se puede observar, los problemas enunciados fruto de
la encuesta, parecían muy generales y dificultaba el poder
En una tercera instancia se contactó telefónicamente a 5 formular recomendaciones de solución efectiva, razón por la que
docentes, uno por cada universidad que respondieron las se recurrió a un grupo focal de docentes para validar las
encuestas, para ayudarnos a validar los hallazgos volcados en respuestas obtenidas, que fueron ordenadas matricialmente
una matriz FODA y luego valorar sus interrelaciones como debilidades según el método FODA, conjuntamente otras
(metodología ponderada) para obtener una ruta crítica de respuestas categorizadas como fortalezas, oportunidades y
acciones que permitan viabilizar la teleeducación universitaria a amenazas, que detallamos a continuación:
plenitud. Este ejercicio fue realizado vía zoom.
Fortalezas:
IV. RESULTADOS
F.1. Clases desde cualquier lugar vía celular, tablet o
Los resultados de la encuesta son los siguientes: computadora.
• 68 % de los encuestados están a favor y 32 % de los F.2. Se cumplen los calendarios, no hay ruptura de clases.
encuestados están en contra del uso de plataformas para
la educación universitaria. F.3. Enseñanza personalizada, interacción permanente
docente alumno.
De los problemas recogidos, los más sobresalientes fueron:
F.4. Interacción permanente entre alumnos.
• El mayor problema son las limitaciones en acceso al
servicio de internet (anchos de banda) tanto de la F.5. Ahorro en tiempo y pasajes para asistir a clases.
Universidad como de los usuarios que causó molestias
y problemas, además de repentinas caídas del servicio. Oportunidades:
• Limitación de las plataformas desarrolladas por las O.1. Tele pasantías. Plataformas bien utilizadas permiten
universidades: tanto para hacer fluida la clase (solo un el teletrabajo como paso siguiente al aprendizaje en
actor exponiendo que dificulta la interacción) e aula.
imposibilidad de realizar interacción experimental O.2. Inducción a Alfabetización Digital.
(pruebas de laboratorio) a través de la plataforma
desarrollada por las universidades (en su mayoría O.3. Nuevas opciones para virtualizar la educación a
moodle). través de Facebook y WhatsApp (resiliencia).
• Falla de los Sistemas Universitarios: No se generaron O.4. Terreno fértil para hackatones, start ups e
tutoriales para docentes y alumnos, quienes de manera incubadoras de empresas.
intuitiva tuvieron que ajustarse a las plataformas, con
muchas restricciones al inicio. O.5. Titulación virtual de refuerzo en plataformas
complementarias (complemento formativo).
• Los docentes que no pudieron acostumbrarse o
confrontaron dificultades con las plataformas de las Debilidades:
universidades quedaron en libertad de utilizar zoom u
D.1. Suplantación de identidades de los estudiantes para
otras plataformas con las restricciones de tiempo (zoom
evaluaciones.
216
D.2. Improvisación y material inadecuado de docentes TABLA II. ZONA DE LIMITACIONES

tradicionalistas y no tecnológicos. DEBILIDADES/
AMENAZAS A.1 A.2 A.3. A.4 A.5 SUM
D.3. Falta de planificación y ruptura en la administración (D/A)
del tiempo acorde al cambio tecnológico. D.1. 1 0 2 0 1 4
DEBILIDADES
D.4. Estrés en estudiantes por saturación de prácticas y D.2. 2 0 0 0 0 2
evaluaciones sin explicaciones adecuadas. D.3. 3 0 2 0 0 5
D.4. 1 3 2 2 2 10
D.5. Plataformas no aptas para enseñanza experimental y
D.5. 1 3 3 2 1 10
trabajo de campo (los videos no alcanzan a suplir
estas actividades). SUMATORIA 8 6 9 4 4 31
Amenazas:
A.1. Excesiva información en la nube, no toda fidedigna. TABLA III. ZONA DE RIESGOS
A.2. Conexión a internet inestable y costoso (lugares FORTALEZAS/

difíciles). AMENAZAS A.1 A.2. A.3. A.4. A.5. SUM
(F/A)
A.3. Falta de protocolos o procedimientos para el uso de F.1. 2 2 2 2 2 10
plataformas (perjuicio a docentes y alumnos).
FORTALEZAS
F.2. 1 1 0 2 1 5
F.3. 0 1 1 0 1 3
A.4. Servicios sobresaturados (caídas) y alto tráfico de
virus. F.4. 0 1 2 1 1 5
F.5. 0 1 1 2 2 6
A.5. Seguridad insuficiente contra hackers y saboteadores de
clases y video conferencias. SUMATORIA 3 6 6 7 7 29
A. Análisis de resultados
Revisado el análisis FODA [6] tomando las respuestas de las TABLA IV. ZONA DE DESAFÍOS
5 universidades (UMSA, EMI, UCB, UNIVALLE y DEBILIDADES/
Universidad Loyola) a 50 alumnos y 25 docentes, sondeando sus OPORTUNIDADES O.1 O.2 O.3. O.4 O.5 SUM
opiniones respecto al uso de plataformas digitales para (D/O)
teleeducación por la imposibilidad de realizar clases físicas ante D.1. 2 1 0 0 2 5
DEBILIDADES
la presencia de la pandemia mundial COVID-19. Se procedió a D.2. 1 1 3 1 1 7

armar matrices simétricas 5x5, anidando las respuestas y D.3. 1 0 1 0 0 2
validando con un grupo de docentes, los cruces de las variables D.4. 1 0 1 0 0 2
según grado de correlación, para facilitar la construcción de D.5. 1 1 2 1 3 8
horizontales y verticales estratégicas que permitan definir una SUMATORIA 6 3 7 2 6 24
estructura mejorada que ayude al cumplimiento de objetivos
estratégicos emergentes mientras dure la pandemia y para la
nueva normalidad. Como se puede apreciar y por los resultados se colocaron las
matrices, sin embargo, el análisis va más allá al tener que
Tomando en cuenta el Análisis Interno que involucra considerar las horizontales y verticales estratégicas que están
fortalezas y debilidades y el Análisis Externo que involucra resaltados con los números en rojo.
oportunidades y amenazas, con base en las correlaciones: 3 =
correlación alta, 2 = correlación media; 1 = correlación baja y 0 La sumatoria del total de los cuadros de zonas estratégicas,
= ninguna correlación, se procedió a armar las matrices FO, DO, asciende a 130 puntos, distribuidos de la siguiente manera:
FA y DA para determinar impactos y zonas estratégicas que
prioricen acciones a ser tomadas6: Zona de potencialidades = 46 puntos,
Zona de desafíos = 24 puntos,
TABLA I. ZONA DE POTENCIALIDADES
Zona de riesgos = 29 puntos,
FORTALEZAS/
OPORTUNIDADES O.1 O.2 O.3. O.4 O.5 SUM Zona de limitaciones = 31 puntos.
(F/O)
F.1. 3 3 3 2 3 14 Con esta información procesada, se llegó a la siguiente
F.2. 0 1 3 2 1 7 distribución:
FORTALEZA
F.3. 1 3 2 2 2 10
F.4. 2 1 2 3 1 9
F.5. 1 0 3 1 1 6
SUMATORIA 7 8 13 10 8 46
6
Los escenarios de potencialidades (FO), de desafíos (DO), de amenazas (FA)
y de limitaciones (DA).
217
TABLA V. DISTRIBUCIÓN PORCENTUAL • Finalmente, la limitación de enseñanza de pruebas

experimentales vía plataforma obliga a explorar el uso
de otras plataformas incluso el propio Facebook y
WhatsApp que en sus versiones life podría ser muy útil
para superar esta limitación (desafíos).
C. Complementaciones de Informantes clave:
Complementando la parte instrumental descrita, las
opiniones de los docentes que integraron el grupo focal fueron
muy enriquecedoras y no deben quedar al margen.
• El sistema universitario boliviano podría colapsar
(debilidades y amenazas al usar plataformas) por:
• Falta de planificación académica y mala administración
B. Bases para perfilar acciones estratégicas:
del tiempo. Los docentes afirmaron que trabajan mucho
A raíz de los resultados observados, se infiere la primera más que antes preparando los cursos y dibujando o
prioridad el ajustar la zona ESTRATÉGICA DE realizando presentaciones para la plataforma.
POTENCIALIDADES, combinando fortalezas (internas) con
oportunidades (externas). Dicho de otra manera, el COVID-19 • Ahora el Trabajo se convirtió en 24/7. Los alumnos se
al margen de los trágicos sucesos de mortandad y recesión han sobresaturado y el nivel de trabajo y
económica observados, es una ventana de oportunidades que ha aprovechamiento no se ve reflejado en un mayor
obligado a explotar las fortalezas induciendo a la gente a conocimiento. Son grandes las amenazas que pueden
reinventarse y tomar con mayor seriedad al uso de la tecnología. desequilibrar el uso de las plataformas.
Es una realidad latente que debe ser aprovechada.
• En las universidades privadas existe la tentación de
Las limitaciones encontradas son una segunda prioridad a querer disminuir los emolumentos (salarios) al no tener
resolver, que amerita superar las debilidades encontradas para presencia física en las aulas, sin contar que el esfuerzo
amortiguar las amenazas existentes. Obviamente ello no es de intelectual es mucho mayor y el tiempo dedicado a las
inmediato porque amerita inversión física y en capital humano. actividades docentes casi se duplicó.
Las zonas de riesgos y de desafíos en la secuencia de • Según los informantes clave, la forma de hacer frente a
priorización van al último, sin embargo, hay que tomarlas en estas amenazas y debilidades es con una buena guía de
cuenta para su ajuste, que en términos de tiempo puedan ser manejo de las plataformas y comenzar un proceso de
ejecutadas cuando se haya alcanzado la nueva normalidad, Alfabetización digital, comenzando por los docentes,
revitalizando o incorporando las fortalezas existentes y nuevas hasta que se familiaricen y hagan de la docencia un
fortalezas para vencer las amenazas y eliminar o controlar las verdadero placer al transmitir sus conocimientos con
debilidades que permitan aprovechar las oportunidades futuras. todas las herramientas tecnológicas que tienen a
disposición y que están conociendo.
Tomando en cuenta los resultados de las horizontales y
verticales estratégicos, se deben considerar los siguientes
aspectos de acción inmediata: V. CONCLUSIONES
Es evidente que la pandemia COVID-19 obligó a docentes y
• Debe aprovecharse la fortaleza de poder hacer clases alumnos universitarios a ser resilientes y responder a las
desde cualquier sitio, considerando todos los aspectos exigencias que una adaptación tecnológica impone.
mencionados, sin embargo, conviene profundizar o
explorar más las alternativas de Facebook y WhatsApp La infraestructura y las experiencias resultaron insuficientes
como nuevas formas de virtualizar la educación según en la fase inicial, revelando la existencia de limitaciones que aun
las propuestas formuladas por los encuestados hoy subsisten respecto a las clases prácticas, sin embargo, existe
(potencialidades). el desafío de ir superando estas limitantes para encarar una
nueva normalidad cuando el COVID-19 haya cesado,
• Un aspecto crucial a superar la limitada posibilidad de aprovechando las potencialidades que se presentan a futuro.
enseñar la parte experimental o el trabajo de campo, que
deben ser resueltos. Una vez superado este aspecto Las potencialidades para incursionar en la Teleeducación ya
deben gestionarse protocolos y manuales con los fueron demostradas, sin embargo, debe acompañarse todo este
procedimientos para el uso de las plataformas (tanto proceso con la “denominada alfabetización digital” sobre todo
docentes como alumnos) para vencer esta limitación de docentes muy antiguos y alumnos renuentes al cambio,
(limitaciones). dotándoles de manuales, tutoriales y otras herramientas para que
aprovechen las plataformas y todas las herramientas disponibles
• Un riesgo latente es la caída de los servicios, anchos de que las propias universidades desarrollaron.
banda, limitados equipos de los estudiantes y otros
aspectos que deben ser subsanados para un mejor El costo de adaptación para todos (docentes y alumnos)
aprovechamiento de las clases, donde el estudiante y el provocó al inicio estrés, sin embargo, una vez que la
alumno pueden participar desde cualquier lugar teleeducación es aplicada a plenitud, muchas acciones y
(riesgos). preocupaciones pueden irse disipando, desde el temor que los
examinados no sean los alumnos inscritos en las materias.
218
REFERENCIAS
Para evitar cualquier tipo de contratiempos, caídas de redes
y otros, hace falta que Bolivia se inscriba en lo que
internacionalmente se llama “Red Clara” que es de alto tráfico y [1] G. O. d. Bolivia, Decretos Supremos y Resoluciones relativas al COVID-
que en definitiva fue concebida para teleeducación y 19 (varias normas)., La Paz, 2020.
telemedicina. [2] x-y.es, «Especial COVID-19.,» 01 09 2020. [En línea]. Available:
https://x-y.es/covid19/bolivia.pais. [Último acceso: 01 09 2020].
Los usuarios y las universidades deben modernizar sus [3] W. /. B. Emprende, «Reporte de Competitividad Global 2019.,» 20 11
equipos para facilitar el proceso de adaptación. En los casos de 2019. [En línea]. Available:
restricciones económicas para hacerlo, siempre se puede hallar https://boliviaemprende.com/publicaciones/reporte-de-competitividad-
una solución. global-2019 . [Último acceso: 29 8 2020].
[4] CEPAL, «Informe especial COVID-19 N 5,» 2020.
Con base en todo lo analizado y las respuestas de quienes
[5] J. L. Quiroga, Interviewee, Panel de Experiencias Educativas en Tiempo
participaron en la investigación, queda claro que la tecnología y de Pandemia y Condiciones para la Educación Superior en
la innovación llegaron para quedarse. Todos los actores de la Latinoamérica – El Caso de Bolivia. Sociedad Científica de
sociedad deben ingresar en la era digital donde predomina la Telecomunicaciones – UMSA. [Entrevista]. 29 08 2020.
gestión del conocimiento y donde las personas deben adaptarse [6] C. A. Valandia, «slideshare,» 7 10 2015. [En línea]. Available:
al manejo de plataformas y herramientas digitales que les https://es.slideshare.net/mobile/remington2009/foda-con-ejemplo .
facilitarán la vida. [Último acceso: 28 8 2020].
Alicia Heydy Estrada Cava es Licenciada en Informática, diplomada en Organización y Administración Pedagógica del aula en
Educación Superior (CEPIES), diplomada en Desarrollo de aplicaciones con software libre (EGPP). Actualmente realiza la Maestría
en Alta Gerencia en Tecnologías de la Información y las Comunicaciones e Innovación para el Desarrollo (PGI-UMSA).
Es miembro de la Asociación Boliviana de Videojuegos, Representante INETA Latinoamérica. Email: aliciahec@gmail.com.
ORCID ID: https://orcid.org/0000-0001-8756-2003.
219
Los sistemas de información y las TICs

en el sistema universitario
La Paz – Bolivia
edgarenriquezralde@hotmail.com
Resumen—En la era de los ejes semánticos y de la sociedad de A. Sociedad de la información

la información, los paradigmas de administración de
organizaciones cambiaron radicalmente para aprovechar las
distintas ventajas que ofrecen las tecnologías de la información.
Esta necesidad tiene más énfasis en organizaciones como nuestro
sistema universitario donde existe una responsabilidad social bien
definida, no solo en aspectos administrativos sino también en
procesos de enseñanza y aprendizaje. Los sistemas de información,
con una adecuada tecnología de comunicación, cobran especial
relevancia tanto para la elaboración del conocimiento como para
su adquisición y transmisión del mismo. El gran reto se encuentra
Fig. 1. Sociedad con acceso ilimitado a la información
en el cambio de paradigmas tanto en los departamentos
administrativos, como en la conducción de asociaciones de La Sociedad de la Información es aquella donde las
docentes, en centros de estudiantes, así como en el rol del docente
personas tienen un acceso ilimitado a la información generada
respecto al proceso de enseñanza, dándole la oportunidad de
adoptar métodos pedagógicos más innovadores, más interactivos
por otros y caracterizada por considerar al conocimiento como
y adecuados a la diversidad de estudiantes. un valor agregado de la economía. En esta sociedad, el
conocimiento se multiplica exponencialmente debido a las
Palabras clave—sistemas de información, proceso de enseñanza herramientas tecnológicas disponibles, que son imposibles de
y aprendizaje, tecnologías de información comunicacional abarcar en su totalidad.
I. INTRODUCCIÓN B. Sistemas de información

El objetivo de este artículo es analizar la importancia de los Los sistemas de información son un conjunto de elementos
sistemas de información asociados con las tecnologías de compuestos por hardware, software, recursos humanos,
información y comunicación dentro de las organizaciones, como tecnologías de información y datos como la materia prima que
una alternativa para aumentar los niveles de productividad y permiten recolectar, almacenar, procesar, tomar decisiones,
competitividad en las organizaciones, en especial de nuestro realizar predicciones, realizar procesos de control y brindar
sistema universitario. información en forma de reportes.
El estudio se fundamenta en resaltar el papel de los sistemas

de información y las TICs como herramientas de gestión
administrativa para mejorar la efectividad, dando un impacto
significativo sobre la línea de gestión y producción pedagógica
de las universidades, dentro de todas sus esferas de trabajo.
II. MÉTODOS
Este artículo se desarrolla con base en una investigación
descriptiva y estudio del arte, donde se resalta más el análisis
aplicado de herramientas pedagógicas en las universidades, para Fig. 2. Sistema de información
la mejora del desempeño docente como también del estudiante.
Se toman los conceptos de TICs, sistema universitario, proceso Estos tipos de sistemas informáticos crean una ventaja
enseñanza - aprendizaje, tecnología, productividad cognitiva y competitiva en cualquier ámbito pudiéndose clasificar en
los sistemas de información y su impacto en la pedagogía, para sistemas de información domóticos, ofimáticos, de tiempo real,
así obtener ciertas conclusiones con respecto a los TICs y los telemáticos, educativos, entretenimiento, de aplicación, etc.
sistemas de información.
Se desarrollan y enfocan a cubrir necesidades como los
sistemas de información transaccional, sistemas de información

[N] E. Enriquez, «Los sistemas de información y las TICs en el sistema universitario», Revista PGI.
220
administrativa o sistemas de información de tomas de decisiones proporcionan la informática, las telecomunicaciones y las
basados en inteligencia artificial [1]. tecnologías audiovisuales, que comprenden los desarrollos
relacionados con las computadoras, Internet, la ingeniería de
C. Tecnología software, la telefonía, las aplicaciones multimedia y la realidad
Aplicación de conocimiento innovador para facilitar la virtual. Estas tecnologías básicamente nos proporcionan
realización de las actividades humanas y cubrir necesidades, información, herramientas para su proceso y los distintos
manifestándose como productos, instrumentos, lenguajes y canales de comunicación.
métodos al servicio de las personas.
III. RESULTADOS
D. Información
Haciendo un estudio del arte, como se ve en la figura 4
Dato procesado que tiene relevancia para la toma de podemos llegar a los siguientes resultados:
decisiones. La información resulta fundamental para las
personas ya que a partir de este proceso cognitivo de la
LOS DOCENTES ELABORAN SUS MATERIALES CON
información que obtenemos continuamente, con nuestros ALGUNA HERRAMIENTA TECNOLOGICA
sentidos vamos tomando ciertas decisiones que dan lugar a todas ESPECIALIZADA
nuestras acciones.
E. Comunicación NUNCA
Transmisión de mensajes entre personas. Como seres ALGUNAS VECES
sociales las personas, además de recibir información de los FRECUENTE
demás, necesitamos comunicarnos, expresar nuestros SIEMPRE
pensamientos, sentimientos y deseos, coordinar los 0 10 20 30 40 50
comportamientos de los grupos en convivencia, etc.
F. Sistema Universitario CON EL USO DE HERRAMIENTAS TECNOLOGICAS
Organización formal que tiene el objetivo de formar, EDUCATIVAS POR PARTE DE DOCENTES SE MEJORA
capacitar personas para que puedan prestar servicios, solucionar EL AVANCE DE LOS CONTENIDOS
problemas dentro de una determinada área específica con los
más altos niveles de conocimiento científico. NUNCA
G. Tecnologías de la Información y la Comunicación (TIC) ALGUNAS VECES
FRECUENTE
Son un conjunto de servicios, redes, software y dispositivos
SIEMPRE
que tienen como fin la mejora de la calidad de vida de las
personas dentro de un entorno; que se integran a un sistema de 0 20 40 60
información interconectado y complementario.
Incluimos en el concepto TIC no solamente la informática y SE DEBE CREAR ESTRUCTURAS PEDAGOGICAS
sus tecnologías asociadas, telemática y multimedia, sino (AULAS ESPECIALIZADAS, BIBLIOTECAS
también los medios de comunicación de todo tipo como ser: los VIRTUALES,LABORATORIOS,ETC
medios de comunicación social y los medios de comunicación
interpersonales tradicionales, con soporte tecnológico como el NEGATIVO
teléfono, fax y otros.
POSITIVO
0 50 100
ES MAS FACTIBLE EL AVANCE DE CLASES CON

METODOS TRADICIONALES O CON HERRAMIENTAS
TECNOLOGICAS PEDAGOGICAS
Tics pedagogicos
Metodos tradicionales
0 20 40 60
Fig. 4. Encuesta a actores del proceso enseñanza aprendizaje

Fuente: elaboración propia
• No existe infraestructura adecuada para la simbiosis de

sistemas de información y TICs [2] en las
Fig. 3. Manifestación de las TICs universidades.
Realizando la asociación de estos términos hacemos • Si bien es cierto que aparecen instituciones como la
referencia al conjunto de avances tecnológicos que nos AGETIC que tiene como visión promover el uso de las
221
TICs [3] pero en las instituciones educativas no existe • Facilitaron las comunicaciones en los distintos
políticas bien definidas para el uso y explotación de estamentos universitarios como son el estamento
TICs. estudiantil y docente.
• Existe necesidad del uso de tecnologías pedagógicas • Favorecieron en la cooperación y colaboración entre
para mejorar el proceso de enseñanza y aprendizaje. distintas entidades desde un punto interno.
• Existe una brecha digital universitaria. • Aumentaron la producción de bienes y servicios de
valor agregado, como ser los contenidos digitales,
• Existe temor al uso de los nuevos paradigmas de gestión bibliotecas virtuales, etc.
académica como también conciencia de que los
sistemas informáticos pueden mejorar los procesos que • Redujeron los procesos burocráticos a través del
conlleva una administración universitaria. procesamiento en línea.
• Las mallas curriculares no están adaptadas a los nuevos • Motivaron a la adecuación de las nuevas tecnologías a
paradigmas educativos. los diferentes actores del sistema universitario.
• No existe una conciencia de la importancia del uso de • Democratizaron el acceso a la información y al
los sistemas de información con tecnologías de conocimiento.
comunicación para lograr una ventaja competitiva y así
lograr los objetivos definidos [4]. • Aumentaron las respuestas innovadoras a los retos del
futuro.
• No existe un departamento de tecnología educativa que
puedan capacitar tanto a docentes, auxiliares como REFERENCIAS
estudiantes en relación a las TICs.
IV. DISCUSIÓN [1] L. &. Laudon, Sistemas de Información Gerencial, México: Pearson,
Sistemas Universitarios latinos [5] tomaron conciencia de la 2012.
aplicación efectiva de los sistemas de información con entornos [2] A. Sierra, «Tendencias Digitales,» 2016. [En línea]. Available:
comunicacionales bien definidos y lograron aplicar políticas https://www.smdigital.com.co/blog/entendiendo-la-web-3-0/. [Último
acceso: 2018].
organizacionales en el uso de sistemas de información y uso
adecuado de las tecnologías de comunicación aportando a sus [3] AGETIC, Encuesta Nacional de Opinión sobre Tecnologías de
Información y comunicación, La Paz, Bolivia, 2017.
sistemas en los siguientes aspectos:
[4] A. &. UNFPA, Juventudes Tic, La Paz Bolivia: Quatro Hermanos, 2019.
• Mejoraron la transparencia en la gestión universitaria. [5] UNESCO, «UNESDOC Revista Digital,» 2011. [En línea]. Available:
https://unesdoc.unesco.org/ark:/48223/pf0000226159. [Último acceso:
• Mejoraron sus procesos de gestión administrativa como octubre 2019].
de seguimiento pedagógico.
Breve CV del autor

Edgar Rufo Enriquez Ralde es Licenciado en Informática por la Universidad Mayor de San Andrés. Maestría en Ingeniería
Informática (USACH) Santiago de Chile; Maestría en Educación Superior (UDABOL); Maestría Alta gerencia en tecnologías de la
información las comunicaciones e innovación para el desarrollo (UMSA); Diplomado en Tecnología Educacional (U Católica de
Brasilia); Diplomado en Planificación y Gerencia Estratégica (UMSA); Diplomado en Ingeniería Informática (UDABOL).
Publicaciones: Libro “software Productivo”; Libro “Sistemas de Información”; Artículo “Sistemas inteligentes en un gobierno
digital”; artículo “Simbiosis de los sistemas de información y las TICs en el sistema universitario”.
Labor ocupacional: Consultor Programador, Coordinador y Jefe de carrera, Docente de la UMSA.
Línea de investigación: Tecnologías de Información y Comunicación. Email: edgarenriquezralde@hotmail.com.
222
Modelo de Business Intelligence orientado a

Tecnología Mobile basado en SAP para PYMEs
La Paz - Bolivia
dpatriciatrino@gmail.com
Resumen—El presente artículo tiene como objetivo definir la utilizando SAP BusinessObjects que permita la mejora de toma
implementación de un modelo tecnológico de Business Intelligence de decisiones empresariales en Pymes.
(BI) orientado a tecnología Mobile con el fin de evidenciar los
beneficios de acceder a información que permita tomar decisiones Este artículo muestra el estado del arte de diversos casos de
inteligentes y mantener competitivas a las pymes en su entorno de estudio de Business Intelligence aplicados a Pymes.
negocio. Este modelo estará basado en toda la suite SAP Business
A. Casos de Estudio de BI aplicado a Pymes
Objects (SAP BO) desde el SAP Data Services (SAP DS) hasta SAP
Business Objects Mobile. Para llevar a cabo el proyecto se realizó 1) BI en Pymes de Macedonia Occidental
una investigación de la tecnología BI de SAP y se analizó de qué La motivación de Antoniadis et al. es investigar los factores
manera apoya a los procesos de negocio de las pymes, así como el críticos que afectan la adopción exitosa y la implementación de
impacto que trae su implementación. Se elaboró un análisis sistemas ERP y de Business Intelligence en pymes en la región
cuantitativo y cualitativo de las herramientas utilizadas para de Macedonia Occidental y las ventajas de su uso en periodos de
demostrar el valor de estas soluciones al negocio. Posteriormente, crisis. Así como también, investigar las actitudes y percepciones
se propuso un modelo de implementación que va desde la fase de de las pymes que utilizan estos sistemas en sus operaciones
planificación de actividades hasta el despliegue de los elementos diarias. Por ello, el autor busca identificar las ventajas que
necesarios para una exitosa implementación. derivan del uso de sistemas ERP y las capacidades de BI que
ofrecen los mismos [9].
Palabras clave—business intelligence, sap business objects, sap
data services, mobile technology 2) BI en Pymes de Sudáfrica
El uso de BI en pymes con el fin de dar una idea de la
I. INTRODUCCIÓN situación del uso de esta tecnología en el sur de África. Así como
Las empresas consideran a la información como su más también, buscaron entender cómo se utiliza la información en
preciado activo; sin embargo, esta información, que las pymes y si se utiliza o no BI para convertir está información
generalmente es almacenada por sistemas transaccionales, no en conocimiento [9].
genera beneficios a la empresa si no es tratada adecuadamente
mediante una herramienta que permita explotarla y analizarla. Soluciones de BI para Pymes
Para lograr explotar esta información es necesario definir Business Intelligence en la actividad de las pymes e
indicadores de gestión o KPI (Key Performance Indicator), los identificar su nivel de uso propuso rastrear y analizar las
cuales permiten medir el desempeño de una empresa y de esta soluciones de BI ofrecidas por los principales proveedores como
manera basar sus decisiones en indicadores reales. Por esta demos de los respectivos sitios web y seleccionó la información
razón, se busca analizar el impacto cuantitativo y cualitativo que ofrecida por empresas especializadas en el análisis de las
genera utilizar una suite de herramientas de Business plataformas de BI [10].
Intelligence en una Pyme.
II. MÉTODOS
La suite de herramientas que se utilizó en el proyecto
pertenece a la compañía multinacional alemana SAP AG, la cual A. Metodología Forrester
está dedicada al diseño de productos informáticos de gestión Forrester es una de las organizaciones de investigación y de
empresarial siguiendo las tendencias de la tecnología asesoramiento más influyentes en el mundo. Trabaja en conjunto
Específicamente se usó la suite de Business Intelligence de SAP, con los líderes mundiales en tecnología y negocios para
SAP Business Objects BI Platform, SAP Data Services y SAP desarrollar estrategias enfocadas en las necesidades de los
Business Objects Mobile. La información para elaborar el clientes. Según Forrester entre sus principales estrategias está el
modelo tecnológico de BI fue brindada por una pyme del sector realizar más de 500.000 encuestas anuales a consumidores y
rural y se tomó como base de información el área Comercial de líderes empresariales de todo el mundo con rigurosas y objetivas
dicha empresa. metodologías [11].
El objetivo de esta investigación es implementar un modelo Forrester desarrolló la metodología Total Economic Impact
de Business Intelligence orientado a tecnología Mobile (TEI) para apoyar las decisiones de TI de las empresas, esta

[N] P. Trino, «Modelo de Business Intelligence orientado a Tecnología Mobile basado en SAP para
PYMEs», Revista PGI. Investigación, Ciencia y Tecnología en Informática, nº 8, pp. 223-226, 2020.
223
metodología proporciona un framework para un análisis • El riesgo legal o legislativo: El riesgo de que las "reglas"
riguroso de costos y beneficios de soluciones tecnológicas. pueden cambiar, forzando modificaciones al plan de
tecnología inicial.
TEI se compone de cuatro elementos principales asociados
con herramientas y metodologías para la cuantificación. Los E. Metodología Gartner
cuatro componentes de TEI son [11]: Gartner es una organización que se dedica a la consultoría y
• Impacto en TI o costo del proyecto la investigación de tecnologías de información, la cual fue
• Impacto en los beneficios empresariales o de negocios fundada en 1979 y está ubicada en Stamford, EEUU. Es una de
• Opciones futuras crean o flexibilidad en el futuro las empresas de investigación y asesoría más importantes del
• Riesgo o incertidumbre mundo. Se encarga de entregar conocimiento relacionado a
tecnología para sus clientes, el cual sirve como referente para la
B. Impacto en TI (Costos) toma de decisiones. Según Gartner su objetivo principal es
Las estimaciones de costos deben incluir lo siguiente: ofrecer una visión relacionada con la tecnología para que sus
clientes tomen las decisiones correctas, en el ámbito de su
• Los costos de capital de hardware y software, negocio y considerando la actual evolución y el cada vez más
incluyendo el precio de compra inicial del hardware y complejo panorama de las tecnologías de información [11].
software y sus actualizaciones.
• El mantenimiento y las operaciones de la tecnología, Las metodologías de Gartner se basan en resúmenes gráficos
incluyendo el personal de TI y los servicios que se tardó que aceleran los ciclos de decisión y simplifican la toma de
en implementar, mantener y apoyar a los usuarios de la decisiones. Gartner cuenta con nueve metodologías de
tecnología durante el período de evaluación continua. investigación: Magic Quadrant, Critical Capabilities, Hype
Cycle, IT Market Clock, Market Guide, Vendor Rating, ITScore,
• Los costos administrativos para la adquisición y el
Market Share, Market Forecast.
seguimiento de los activos de tecnología por el
departamento de TI. F. Cuadrante Mágico
C. Impacto en el negocio (Beneficios) El Cuadrante Mágico de Gartner –Cuadrante de Gartner–
refleja los resultados de las investigaciones y análisis de la
TEI indica que se debe alinear las TI con los objetivos del
empresa conocida como el Grupo Gartner. Esta empresa se
negocio.
enfoca en los análisis aplicados a las nuevas tendencias del
La cuantificación de los beneficios derivados de una mercado tecnológico.
decisión de TI debe ser tomada de manera individual por cada
El objeto del Cuadrante de Gartner es ayudarte a determinar
objetivo de la organización. Dicho esto, la contribución de TI se
rápidamente qué tan bien los proveedores de tecnología ejecutan
puede medir en los siguientes términos:
sus visiones establecidas; y qué tan bien se desempeñan frente a
• La productividad de un usuario, medida por el aumento la visión del mercado de Gartner. Por esta razón, las empresas
de la capacidad de tomar o cumplir órdenes. dedicadas a la creación y comercialización de tecnología la
• La efectividad del programa hacia el crecimiento del emplean como guía comparativa.
mercado. Comprender sus especificaciones e interpretar sus resultados
• La eficiencia de la organización en cuanto a la rotación es una tarea que requiere de discernimiento, y cumplir con sus
del inventario. estándares demanda de mayor dedicación. Veamos de cerca qué
• La satisfacción del cliente, en términos de ventas se requiere para ser reconocido y premiado por el Cuadrante de
adicionales a los clientes actuales o disminuciones en Gartner, y cuáles son las ventajas de aparecer en su listado.
cuenta el volumen de negocios.
1) Cómo se interpreta el Cuadrante de Gartner
D. Riesgos El Cuadrante de Gartner se presenta de forma gráfica en dos
TEI considera los principales factores de riesgo que pueden ejes que coinciden en un punto central. Por una parte, el eje
afectar las estimaciones de costos a las siguientes: vertical representa el conocimiento del mercado que deriva en
beneficio para proveedores y clientes.
• Tamaño del proyecto: Las organizaciones son menos
precisas con sus estimaciones de costos para proyectos Por otra parte, el eje horizontal refleja y mide la habilidad de
más grandes que para los más pequeños. Cuanto mayor ejecución de los proveedores con su visión de mercado. En estos
sea el proyecto, mayor es el rango de riesgo. ejes, se forman fragmentos que representan a las empresas según
• Riesgo de Tecnología: El riesgo de que un producto o su tipo y productos ofrecidos de esta manera:
tecnología no realmente ofrezca la funcionalidad
esperada, lo que resulta en mayores costos de lo
esperado.
• Riesgo de Vendedor: El riesgo de que tenga que ser
reemplazado en algún momento en el proyecto, lo que
eleva los costos del proveedor de un producto o
tecnología.
• Disponibilidad de recursos: El riesgo de que los
recursos con conocimientos para poner en práctica el
proyecto no están disponibles, lo que resulta en altos que
los costos esperados. Fig. 1. Cuadrante Gartner
Fuente: www//cuadrante-de-gartner.com/
224
2) Las empresas según el cuadrante de Gartner Integration, Data Quality, Information Stewardship, y Text
a) Líderes: Analytics.
Se compone de proveedores de soluciones y servicios de B. Características
Tecnología de Información con mayor puntuación. Dicha Las principales características que tiene SAP Data Service
puntuación se logra al llenar una lista de cotejo específica que son las siguientes: SAP DS ayuda a mover, mejorar, gobernar, y
reúne la visión del mercado; y la habilidad de ejecución. desbloquear los datos empresariales:
Las empresas líderes según Gartner, son empresas que • Mover, extraer, transformar y cargar datos (ETL) desde
ofrecen un portafolio extenso y completo de productos, con casi cualquier fuente de datos.
capacidad de adaptarse a los cambios del mercado.
• Mejorar, limpiar, enriquecer, comparar y consolidar
b) Retadores o aspirantes datos de cualquier dominio.
Son empresas que ofrecen buenos productos, pero que, al • Gobernar, comprender y medir la calidad de los datos
enfocarse en un determinado aspecto de la demanda, no ofrecen en apoyo de Información de Administración.
mayor variedad en las soluciones que ofrecen. • Desbloquear, desbloquea insights de datos de texto
estructurados y no estructurados.
Esto no es necesariamente negativo o desventajoso,
simplemente reúne y llena un tope distinto al cuadrante anterior. SAP BusinessObjects Data Services soporta el
procesamiento de datos en tiempo real, así como los trabajos por
c) Visionarios lotes programados (Batch Jobs).
Estos muestran aspectos similares a los líderes ubicados en
el cuadrante superior derecho. Es decir, tienen la capacidad de Batch Jobs: El software ayuda a extraer los datos desde
predecir las necesidades del mercado; sin embargo, no presentan prácticamente cualquier fuente de datos, aplicar técnicas de
una plataforma sólida para responder a estas necesidades a nivel transformación y limpieza de datos complejos y cargar los datos
global. de sistema en lotes horario objetivo.
d) Jugadores de nicho Real-time Jobs: El software es compatible con la

transformación de datos en tiempo real por lo tanto ayuda a
En este cuadrante se reúnen los grupos interesados o hacer frente a situaciones típicas en tiempo real. El software
“stakeholders” cuyas calificaciones no cumplen con la lista de puede recibir solicitudes de mensajes XML de aplicaciones web,
cotejo necesaria para alcanzar las otras categorías. nos permite definir el procesamiento de mensajes en tiempo real
III. Resultados esperados y enviar respuestas inmediatamente con un trabajo a tiempo real.
A. SAP BusinessObjects Data Services IV. CONCLUSIONES

SAP BO Data Services es un software de explotación de El Modelo tecnológico propuesto se alinea con las
datos de Business Intelligence que proporciona un entorno para necesidades de las Pymes, que requieren información en el
los procesos de integración y calidad de datos en un solo momento oportuno y considerando la infraestructura con la que
ambiente de ejecución. en la actualidad trabajan. Con el modelo implementado se puede
obtener información útil para la toma de decisiones en las
Esta plataforma ofrece un rendimiento empresarial Pymes, como indicadores de ventas, gastos y compras.
escalable. Asimismo, la herramienta permite explotar, extraer,
transformar y entregar cualquier tipo de datos en cualquier lugar. Cuantificar los beneficios financieros de una solución de BI
El proceso de calidad de datos permite a las organizaciones no es una tarea fácil debido a que la mayoría de estos son
estandarizar, limpiar y consolidar datos lo que garantiza intangibles. Sin embargo, en la presente investigación se
información disponible precisa y confiable. obtuvieron indicadores financieros como el ROI que tuvo como
resultado un 90% lo cual significa que la organización al
El software unifica las soluciones de SAP de calidad de datos implementar esta solución va obtener una ganancia del 90% del
e integración, ayudando a las organizaciones a mover, capital invertido. Otro indicador que se analizó fue el Periodo de
transformar y mejorar casi cualquier tipo de datos en cualquier Recuperación, el cual tuvo un valor de 13.1, lo cual significa que
lugar, en cualquier frecuencia. la empresa va recuperar el dinero invertido en 13.1 meses.
Por otro lado, SAP BO DS proporciona una interfaz de No existen barreras para la adquisición de soluciones de BI,
usuario de desarrollo, repositorio de metadatos, una capa de ya que existen versiones exclusivas para Pymes. Asimismo, las
conectividad de datos, el entorno de tiempo de ejecución y la brechas para la adquisición de dispositivos móviles se han
consola de gestión que permite a las organizaciones de TI a acortado gracias a la globalización y al constante avance
reducir costos y maximizar el valor. tecnológico.
Con SAP BusinessObjects Data Services, las organizaciones La disponibilidad de la información reduce la incertidumbre
de TI pueden maximizar la eficiencia operativa con una única en la toma de decisiones empresariales.
solución para mejorar la calidad de los datos y tener acceso a las
fuentes y aplicaciones heterogéneas. Data Services puede ser En resumen, el uso de una herramienta de BI en Pymes
usado como una herramienta de aplicación de ETL en la rurales tiene beneficios como la mejor toma de decisiones que
integración de datos, migración de datos, Data Warehouse, tienen como consecuencias tangibles el incremento de ingresos
gestión de calidad de datos o proyectos de gestión de datos y reducción de costos.
maestros. DS es una solución todo en uno, la cual incluye Data Para un correcto uso de las herramientas de SAP BO, es
necesario contar con un amplio conocimiento del manejo y la
225
funcionalidad de las mismas. Consecuentemente, se debe [6] Rina, F. y Eriyatno, T. Progress in Business Intelligence System research:
programar el tiempo de aprendizaje y pruebas dentro del A literature Review. International Journal of Basic & Applied Sciences
IJBAS-IJENS. (2011)
cronograma de trabajo.
[7] DWBI 2015 SAP Data Services (http://dwbi.org/etl/sap-data-services)
(Consulta: 21 de mayo de 2019
REFERENCIAS
[8] Eckerson, Wayne 2005 Enterprise Business Intelligence: Strategies and
[1] Arnott, D. y Pervan, G. Eight key issues for the decision support systems Technologies for Deploying BI on an Enterprise Scale 267
discipline. Decision Support Systems (2008). (https://tdwi.org/articles/2005/10/13/enterprise-business-intelligence-
[2] ASUG SAP “BusinessObjects BI Suite: Picking the Right BI Tool for the strategies-andtechnologies-For-deploying-bi-on-an-enterprise-
Job. Florida” ASUG Bergeron, F. y Raymond, I. (2012) scale.aspx) Consulta:(14 de febrero de 2019)
[3] Dekoulou, P. y Trivellas PG. “Learning Organization in Greek [9] AT&T 2011 Rely on Mobile (Consulta: 14 de febrero de 2019)
Advertising and Media Industry: A way to face crisis and gain sustainable (http://usmentor.qbcontent.com/wpcontent/blogs.dir/1/uploads/1
competitive advantage, Procedia - Social and Behavioral Sciences” 10601_QB_SmallBusinesses_Mobile.png)
(2014) [10] Oxford Economics 2013: SMEs: Equipped to Compete (Consulta: 14 de
[4] Hassabelnaby, H. y Hwang, W. y Vonderembse, M.A. The impact of ERP febrero de 2019) (https://www.oxfordeconomics.com/recent-
implementation on organizational capabilities and firm performance. releases/smes-equipped-to-compete)
Benchmarking an International Journal. (2012) [11] Forrester 2015 About Forrester (Consulta: 7 de marzo de 2019)
[5] Project Management Institute, Inc. Guía de fundamentos para la dirección (https://www.forrester.com/marketing/about/about-us.html)
de proyectos (Guía del PMBOK®). Newtown Square, Pennsylvania: [12] Gartner 2013c Research Methodologies (Consulta: 21 de mayo de 2015)
Project Management Institute, Inc. (2013) (http://www.gartner.com/technology/research/methodologies/methodolo
gy.jsp)
Patricia Sonia Trino Camacho es Licenciada en Informática por la Universidad Mayor de San Andrés (La Paz 1998). Especialista
en Análisis Demográfico; Diplomada en metodología la investigación, Software libre y en Organización y Administración
Pedagógica del Aula en Educación Superior. Actualmente realiza la Maestría en Alta Gerencia en Tecnologías de la Información y
las Comunicaciones e Innovación para el Desarrollo en el Postgrado en Informática UMSA.
Experiencia laboral: Consultora en Auditoría de Sistemas en Orionntics SRL, docente universitaria informática UMSA. Anteriores
Entel SA, Pro Crédito y Caja Los Andes.
Publicó “Sistemas Inteligentes Educativos” en la revista Triple III Carrera de Informática; "Guía de Metodología de la Investigación
para Ingeniería” DL Nº 4-1-90-14. Expositora en 1er Congreso Internacional del Posgrado en Informática. “Método de Evaluación
de proyectos Intervención social con DW”; Expositora “Sistemas Decisionales Bajo el Enfoque de Datawarehouse, Datamining y
Textmining” Instituto de Investigaciones en Informática; “R Software Libre Estadístico”. Sus intereses investigativos: Dashboards,
Data Warehouse, Data Mart. Email: dpatriciatrino@gmail.com.
226
LINEAMIENTOS EDITORIALES
La revista PGI de Investigación, Ciencia y Tecnología en • Palabras clave, se deben enunciar términos que faciliten
Informática adscrita al Postgrado en Informática de la Universidad comprender el eje temático del documento y su búsqueda en
Mayor de San Andrés, es un órgano de difusión al cual desde el año diferentes sistemas de información.
2014 se le ha encomendado la labor de divulgación de los resultados
correspondientes a los procesos de investigación de los maestrantes de • Introducción
los programas de postgrado, con la finalidad de fomentar e impulsar la • Métodos
vocación científica en la comunidad académica, así como socializar el
conocimiento que se genera mediante la reflexión, el análisis y el • Resultados
pensamiento crítico, respondiendo a las necesidades y tendencias que
se presentan en los entornos: social, productivo, científico y tecnológico • Discusión/Conclusiones
que se enmarcan dentro del contexto de la realidad boliviana. • Referencias, representan las diferentes fuentes de información
En la revista PGI se publica diverso conocimiento especializado secundaria que sustentan los argumentos y teorías del cuerpo del
referente a los programas de Maestrías y Diplomados en Informática, artículo, debe existir debida correspondencia entre las referencias
producción que se hace visible en publicaciones inéditas y originales, y las citas.
que han sido sometidas a un proceso de evaluación por parte del comité
científico-editorial de la revista, garantizando el rigor metodológico de Recomendaciones
los artículos que son publicados. • Salvaguarde la ortografía y los tiempos gramaticales.
La revista PGI, presenta una periodicidad anual, se publica en formato • Utilice un lenguaje apropiado, emplee términos adecuados, evite
impreso y electrónico de acceso abierto, estos pueden ser adquiridos y ideas superfluas y opte por una redacción clara y sintética. El
consultados desde: https://pgi.edu.bo lector agradecerá que Ud. sea breve.
Directrices para autores • La primera vez que haga alusión a siglas, abreviaturas o
• Los artículos postulados a la revista PGI, deberán ser originales, acrónimos, defínalas. Posteriormente puede utilizar su
resultado de investigaciones, de tesis y de proyectos en las contracción, ej.: Universidad Mayor de San Andrés (UMSA).
diferentes líneas de investigación que sean materia de los • En el uso de anglicismos/extranjerismos, es preferible aplicarles
programas académicos del Postgrado en Informática, la cursiva; igualmente para otros aspectos que considere relevante
caracterizados por un alto nivel de reflexión, análisis e para el lector, evite subrayar texto, usar mayúsculas o usar las
interpretación de los datos expuestos. negrillas en estos casos.
• Todo artículo que se postule a la revista deberá transitar por una • Las figuras y tablas no deben duplicar la información en el
revisión dirigida por el comité editorial, con el objeto de artículo. Recuerde enumerarlas y agregar un título a cada una, así
garantizar la legitimidad, calidad científica y editorial de cada como la fuente.
escrito, así como la imparcialidad de las evaluaciones.
• Acoger los lineamientos de la norma IEEE para la presentación
Estructura de los artículos de manuscritos en: formato, estilo, citación y referenciación.
El siguiente esquema busca la comprensión del supuesto que los Criterios de evaluación
artículos de la revista PGI se organizan y estructuran bajo lineamientos
de la norma internacional del Instituto de Ingeniería Eléctrica y • Estructura documental de preferencia IMRD, puntualizada en:
Electrónica (IEEE). buen nivel de redacción, apropiación de normas IEEE, formato y
ortografía.
• Título del artículo, debe dar cuenta de la línea de investigación,
del propósito de la investigación y en su caso, del lugar y • Profundidad de la investigación mediante elementos como:
población, debe ser claro y especifico de tal manera que lleve al adecuado número de referencias, nivel de discusión y análisis,
lector a la temática que concierne a la investigación. entre otros.
• Información del autor o autores, especificar nombre completo y Bienvenidos a este importante y dinámico grupo de
correo electrónico. investigadores
• Resumen, condensa las diferentes secciones que se trabajarán en Los autores que hayan logrado aprobación de su escrito para
el texto del artículo, integrando la problemática principal, publicación, están automáticamente habilitados para ejercer como
objetivo del artículo, teorías analizadas, métodos, resultados y evaluadores de nuevos artículos bajo la dirección del Comité Editorial-
conclusiones, no debe superar las 150 palabras. Científico de la revista PGI. De esto depende la calidad de la producción
científica y una larga vida de nuestra revista.
227

Revista PGI 8 2021

Cargado por

Copyright:

Formatos disponibles

Revista PGI 8 2021

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Revista PGI 8 2021

Cargado por

Copyright:

Formatos disponibles

Rector

Mgr. Oscar Arnaldo Heredia Vargas

Director de Carrera de Informática

Mgs. Lic. Edwing López Flores

La Unidad de Postgrado en Informática (PGI) de la Carrera de Informática de la Facultad de

Mgs.Lic. Edwing Lopez Flores

Magister en “Educación Virtual” por la Universidad Andina Simón Bolívar

M.Sc. Lic. Jorge León Quiroga Canaviri

M.Sc. Lic. Marcial Flores Guerrero

M.Sc. Ing. Luis Alejandro Macuaga Estrada

M.Sc. Ing. Marcelo Pinto Macedo

M.Sc. Ing. Elizabeth Patricia Pommier Gallo

M.Sc. Ing. Edson Vallejos

Lic. Alicia Heydy Estrada Cava

Ing. Bismark Francachs Castro

Ing. Edson Ildefonso Machicado Aruquipa

Cultura tecnológica en las empresas .................................................................................................. 18

Modelo Para Tratamiento Forense de Incidentes Informáticos en la Nube .................................. 22

Modelo de clasificación de nódulos tiroides a través de imágenes de centellografía utilizando

COBIT como herramienta para la implementación de la Norma Internacional Electoral ISO

Redes Neuronales para la identificación de competencias legisladas ........................................... 41

Proyecto de Sistema de Recomendación de Filtrado Colaborativo basado en Machine

Modelo Blockchain para el aseguramiento de la Información en Certificados de Notas SSA-

Gestión de servicios TI en la Documentación Clínica basado en Estándares de Seguridad

Honeypots dinámicos basados en Blockchain.................................................................................. 65

Modelos de Social Media Marketing en los Sistemas Educativos .................................................. 68

Monitoreo del Sentimiento de la Sociedad Boliviana en Redes Sociales: Aplicación Twitter .. 71

El Arte de la Seguridad de la Información en la Globalización ...................................................... 77

Modelo de Gestión de Incidentes Informáticos para Equipos de Respuesta - CSIRT ............... 82

Modelo de Calificación de Datos Difusos para Datawarehousing Financiero ............................ 86

Cloud Computing en el Mercado de Valores cumpliendo el Reglamento para la Gestión de

Cómo solicitar la no objeción para el uso de servicios de computación en la Nube ante la

Inteligencia Artificial en la Seguridad de TI .................................................................................... 99

Procesos basados en ISTQB aplicados en la etapa de pruebas de integración .......................... 102

Modelo de gestión de monitoreo y control de TI para procesos de envío de información

Modelo de Ciberseguridad Corporativa en el Sistema Bancario ................................................. 110

Modelo médico-paciente para toma de decisiones en salud utilizando herramientas de

Sistema de seguridad de las proyectoras EPSON .......................................................................... 118

Transformación Digital en Empresas Editoriales bolivianas ....................................................... 121

Propuesta de investigación: Modelo de análisis forense digital para el sistema de

Metodología de Administración e Implementación de Repositorios Digitales para la

Modelo para Evaluar la Efectividad de los Planes Estratégicos de Tecnologías de la

Modelo de Pruebas de Regresión Automatizadas en Procesos de Integración Continua en

Modelo de seguridad de la información en redes inalámbricas de tecnologías de la

Metodología de Investigación de Mercado que coadyuve la Toma de Decisiones en

Sistema de Seguridad electrónica basada en la norma ISO 27001 .............................................. 156

Implementación de estándares HL7 para la interoperabilidad de aplicaciones de salud y

Diseño de la Infraestructura del Centro de Procesamiento de Datos del Centro de Datos en

Grado de madurez en Bolivia sobre la Seguridad de la Información .......................................... 173

Modelo predictivo de producción de minerales de plata mediante redes neuronales

Modelo de transformación digital para mejorar los procesos educativos en Educación

Análisis y Proceso de Hardening de Servidor Virtual Web, Facultad de Ingeniería (IngeTic)

Modelo para identificar defectos en Control de Calidad, basado en Oráculos de pruebas y

Modelo de Computación en Streaming para Reducir la Complejidad Computacional del

Modelo de Inteligencia de Negocio en la Administración Pública ............................................. 201

Estrategias de Inbound Marketing Orientadas a la Búsqueda y Captación de Turistas en

Desarrollo de una Herramienta CASE para el Diseño de Diagramas Entidad–Relación

La educación y la tecnología en tiempos de COVID-19 .............................................................. 214

Los sistemas de información y las TICs en el sistema universitario ........................................... 220

Modelo de Business Intelligence orientado a Tecnología Mobile basado en SAP para