III.3 Aplicación de RUP

Cuando se utiliza la metodología RUP (Rational Unified Process) en el desarrollo de un sistema se deben seguir los flujos de trabajo en los que se han agrupado las actividades, que se especifican en el capítulo anterior. En el Anexo 29 se muestra una guía de los pasos a seguir para aplicar eficientemente esta metodología.

III.3.1 Modelado del negocio

El modelado del negocio es una técnica que permite comprender los procesos de negocio de la organización y se desarrolla en dos pasos:[43]

1. Confección de un modelo de casos de uso del negocio que identifique los actores y casos de uso del negocio que utilicen los actores.

2. Desarrollo de un modelo de objetos del negocio compuesto por trabajadores y entidades del negocio que juntos realizan los casos de uso del negocio.

Modelo de casos de uso del negocio

El modelo de Casos de Uso del Negocio (CUN) describe los procesos de una empresa en términos de casos de uso y actores del negocio en correspondencia con los procesos del negocio y los clientes, respectivamente. El modelo de casos de uso presenta un sistema desde la perspectiva de su uso y esquematiza cómo proporciona valor a sus usuarios. Este modelo permite a los modeladores comprender mejor qué valor proporciona el negocio a sus actores. [43]

Este modelo es definido a través de tres elementos: el diagrama de casos de uso del negocio, la descripción de los casos de uso del negocio y el diagrama de actividades.

Un actor del negocio es cualquier individuo, grupo, entidad, organización, máquina o sistema de información externos; con los que el negocio interactúa. Lo que se modela como actor es el rol que se juega cuando se interactúa con el negocio para beneficiarse de sus resultados. [43]

Los actores del negocio se listan a continuación

Tabla 2: Actores del negocio

Actores Justificación

Directivo Solicita registros de los controles que se realizan en la entidad

Responsable de seguridad

informática general (RSIG) Solicita expedientes de equipos, registros de controles, registros de software instalados entre otros resultados de procesos en cuestión. Es el principal beneficiado con los resultados del negocio.

Diagramas de casos de uso del negocio

Para comprender los procesos de negocio se construye el diagrama de casos de uso del negocio en el que aparece cada proceso del negocio relacionado con su actor.

Figura 7: Diagrama de casos de uso del negocio

Trabajadores del negocio

Un trabajador del negocio es una abstracción de una persona (o grupo de personas), una máquina o un sistema automatizado; que actúa en el negocio realizando una o varias actividades, interactuando con otros trabajadores del negocio y manipulando entidades del negocio. Representa un rol. [43]

Los trabajadores del negocio se listan a continuación

Tabla 3: Trabajadores del negocio

Trabajadores Justificación

Responsable de seguridad informática del área (RSIA) Encargado de realizar los diferentes registros y controles que se llevan a cabo en el proceso del negocio

Informático General Encargado de actualizar el registro de incidencias

Usuario Es el responsable de las tecnologías, el responsable de realizar el control interno a la PC.

Realización de los casos de uso del negocio

Tabla 4: Descripción del Caso de Uso Solicitar reportes

Nombre del Caso de Uso Solicitar reportes

Actores Directivo (inicia) o RSIG(inicia)

Propósito Brindar a los directivos de la empresa y al RSIG la posibilidad de obtener los diferentes reportes

Resumen El caso de uso inicia cuando un directivo solicita al RSIG el estado de las tecnologías o el estado del control interno realizado en las áreas o en la entidad en general.

Curso Normal de los eventos

Acciones del Actor Respuesta del proceso de negocio

1. El directivo solicita el reporte del estado de las tecnologías o el estado del control interno 1.1 El RSIA busca el reporte y lo entrega

2. El directivo recibe el reporte

Prioridad Alta

Mejoras El proceso se realizará de forma más fácil, pues se podrán obtener los reportes más rápidamente y quedarán almacenados para posteriores revisiones de los mismos

Tabla 5: Descripción del Caso de Uso Revisar expedientes de equipo

Nombre del Caso de Uso Revisar expedientes de equipo

Actores RSIG(inicia)

Propósito Brindar al RSIG la posibilidad de inspeccionar el estado del equipo

Resumen El caso de uso inicia cuando el RSIG solicita al RSIA el expediente de equipo para su revisar el estado de las tecnologías y en caso de encontrar problemas lo refleja en el registro de incidencia y finaliza el caso de uso.

Curso Normal de los eventos

Acciones del Actor Respuesta del proceso de negocio

1.El RSIG solicita al RSIA el expediente de equipos 1.1 El RSIA interroga por los equipos objetos de la revisión

2. El RSIG especifica los equipos 2.1 El RSIA busca el expediente (los) y lo entrega

3. El RSIG revisa el expediente

Curso Alternativo de los eventos

Acción 3 Si el RSIG encuentra anomalías en el expediente de equipo las refleja en el registro de incidencia

Prioridad Alta

Mejoras El proceso se realizará de forma más fácil, pues se podrán obtener los expedientes de los equipos deforma automática y en menor tiempo

Tabla 6: Descripción del Caso de Uso Solicitar registro de control de acceso a usuarios

Nombre del Caso de Uso Solicitar registro de control de acceso a usuarios

Actores RSIG(inicia)

Propósito Brindar al RSIG la posibilidad de tener el control de los usuarios que tienen acceso a las distintas PCs

Resumen El caso de uso inicia cuando el RSIG solicita al usuario la inspección de las tecnologías, este hace la revisión y en caso de detectar más de un usuario por máquina se refleja en el registro de incidencia, se le comunica al administrador de la red y finaliza el caso de uso.

Curso Normal de los eventos

Acciones del Actor Respuesta del proceso de negocio

1. El RSIG solicita al responsable de la PC revisar los usuarios de la misma. 1.1 El usuario busca el registro de control de acceso a la PC

1.2 El usuario compara los usuarios existentes con el registro.

3.El RSIG revisa el registro y todos lo usuarios están autorizados

Curso Alternativo de los eventos

Acción 2 SI el RSIG encuentra usuarios que no aparecen autorizados en el registro de control de acceso lo refleja en el registro de incidencia

Prioridad Alta

Mejoras El proceso se llevará a cabo de forma automatizada pues desde su puesto de trabajo el RSIG tendrá acceso a los usuarios autorizados en las computadoras y a los que realmente tienen cuentas en ese momento

Tabla 7: Descripción del Caso de Uso Solicitar registro de software instalado

Nombre del Caso de Uso Solicitar registro de software instalado

Actores RSIG(inicia)

Propósito Brindar al RSIG la posibilidad de comparar los software instalados en las máquinas y los que están autorizados

Resumen El caso de uso inicia cuando el RSIG inspecciona los software instalados en las computadoras y le solicita al responsable del equipo el registro de software autorizados en caso de anomalía se procede a reflejarla en el registro de incidencia y se le comunica al administrador de la red.

Curso Normal de los eventos

Acciones del Actor Respuesta del proceso de negocio

1.El RSIG solicita al responsable de la PC la revisión de los sistemas del equipo 1.1 El usuario busca el registro de software

1.2 El usuario compara el registro con los software instalados

3.El RSIG revisa el registro y todos los sistemas están autorizados

Curso Alternativo de los eventos

Acción 2 Si el RSIG encuentra sistemas instalados que no se encuentran en el registro por lo que hace constar el problema en las incidencias e informa al administrador de red.

Prioridad Alta

Mejoras El proceso de revisión se llevará a cabo de forma automatizada disminuyendo el tiempo requerido para realizar la revisión

Tabla 8: Descripción del Caso de Uso Realizar controles internos

Nombre del Caso de Uso Realizar controles internos

Actores RSIG(inicia)

Propósito Brindar al RSIG la posibilidad de obtener el resultado del control interno de las PC y conocer el estado en que se encuentra la misma

Resumen El caso de uso inicia cuando el RSIG solicita al usuario realizar el control interno a la PC con los puntos que va a auditar clasificándolos en varios aspectos: seguridad física, seguridad lógica y seguridad de red, anotando en este registro las deficiencias encontradas en el control y obtiene al final una evaluación, finalizando así el caso de uso

Curso Normal de los eventos

Acciones del Actor Respuesta del proceso de negocio

1.El RSIG solicita al usuario la realización del control interno 1.1 El usuario recibe los puntos a auditar

1.2 El usuario realiza el control interno a la PC

1.3 El usuario obtiene el resultado y lo entrega al RSIG

3.El RSIG en caso de encontrar anomalías las refleja en el registro de control interno

4. El RSIG realiza la evaluación

Curso Alternativo de los eventos

Acción 3 El RSIG en caso de no encontrar problemas no refleja nada en el registro y pasa al paso 4

Prioridad Alta

Mejoras El proceso de revisión se llevará a cabo de forma automatizada disminuyendo el tiempo requerido para realizar la revisión

Tabla 9: Descripción del Caso de Uso Solicitar el registro de incidencias

Nombre del Caso de Uso Solicitar el registro de incidencias

Actores Directivo(inicia)

Propósito Brindar al directivo la posibilidad de revisar el historial de incidencias que han existido en la empresa

Resumen El caso de uso inicia cuando el directivo solicita al RSIG el registro de incidencias de la unidad

Curso Normal de los eventos

Acciones del Actor Respuesta del proceso de negocio

1.El directivo decide revisar el historial de incidencias

2. El directivo solicita el RSIG el registro de incidencias 2.1 El Informático General entrega el registro

Prioridad Media

Mejoras El directivo podrá revisar el historial de incidencia de forma automatizada

Diagramas de actividades

El diagrama de actividad es un grafo que contiene los estados en que puede hallarse la actividad a analizar. Cada estado de la actividad representa la ejecución de una sentencia de un procedimiento, o el funcionamiento de una actividad en un flujo de trabajo. En resumen describe un proceso que explora el orden de las actividades que logran los objetivos del negocio. [43]

En los Anexos del 3 al 8 se muestran los diagramas de actividades de los casos de uso del modelo del negocio.

Diagrama de clase del modelo de objetos

Un modelo de objetos del negocio es un modelo interno a un negocio. Describe como cada caso de uso del negocio es llevado a cabo por parte de un conjunto de trabajadores que utilizan un conjunto de entidades del negocio y unidades de trabajo. [43]

Una entidad del negocio representa algo, que los trabajadores toman, examinan, manipulan, crean o utilizan en un caso de uso del negocio. El diagrama de clases del modelo de objeto, es un artefacto que se construye para describir el modelo de objetos del negocio, que en este caso se muestra a continuación.

Figura 8: Diagrama de clases del modelo de objetos