miércoles, 20 de julio de 2016

5.1. Estándares a considerar en la adquisición de recursos informáticos (hardware, software).


Toda adquisición se basa en los estándares, es decir la arquitectura de grupo empresarial establecida por el Comité. Esta arquitectura tiene una permanencia mínima de dos a cinco años.
Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área.
ARTICULO 8°.- Toda adquisición de tecnología informática se efectúa a través del Comité, que está conformado por el personal de la Administración de Informática y Gerente Administrativo de la unidad solicitante de bienes o servicios informáticos.

ARTICULO 11°.- Para la adquisición de hardware se observará lo siguiente:
·     Todo proyecto de adquisición de bienes de informática, debe sujetarse al análisis, aprobación y autorización del Comité.
·        El equipo que se desee adquirir deberá estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estándares de la empresa.
·        Deberán tener un año de garantía como mínimo.
·  Deberán ser equipos integrados de fábrica o ensamblados con componentes previamente evaluados por el Comité.
·        La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional, así como con asistencia técnica y refaccionaria local.
·  Tratándose de equipos micro computadoras, a fin de mantener actualizado la arquitectura informático de la empresa, el Comité emitirá periódicamente las especificaciones técnicas mínimas para su adquisición.
·   Los dispositivos de almacenamiento, así como las interfaces de entrada/salida, deberán estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de datos, como en el ciclo del proceso.
·      Las impresoras deberán apegarse a los estándares de hardware y software vigentes en el mercado y la empresa, corroborando que los suministros (cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a un solo proveedor.
·  Conjuntamente con los equipos, se deberá adquirir el equipo complementario adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los fabricantes, y que esta adquisición se manifieste en el costo de la partida inicial.
·   Los equipos complementarios deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país.
·        Los equipos adquiridos deben contar, de preferencia con asistencia técnica durante la instalación de los mismos.
·  En lo que se refiere a los computadores denominados servidores, equipo de comunicaciones como enrutadores y concentradores de medios, y otros que se justifiquen por ser de operación crítica y/o de alto costo; al vencer su período de garantía, deben de contar con un programa de mantenimiento preventivo y correctivo que incluya el suministro de refacciones.
·        En lo que se refiere a los computadores denominados personales, al vencer su garantía por adquisición, deben de contar por lo menos con un programa de servicio de mantenimiento correctivo que incluya el suministro de refacciones.

ARTICULO 12°.- En la adquisición de Equipo de cómputo se deberá incluir el Software vigente precargado con su licencia correspondiente considerando las disposiciones del artículo siguiente.

ARTICULO 13°.- Para la adquisición de Software base y utilitarios, el Comité dará a conocer periódicamente las tendencias con tecnología de punta vigente, siendo la lista de productos autorizados la siguiente:

a.- Plataformas de Sistemas Operativos:
b.- Bases de Datos:
c.- Manejadores de bases de datos:
d.- Lenguajes de programación:
e.- Hojas de cálculo:
f.- Programas antivirus.

5.2. Estándares de operación de sistemas.


Así como la documentación de los sistemas y de los programas, la instalaciónpuede estar expuesta a un riesgo considerable debido a la ausencia de:
  •  Estándares adecuados para las actividades de operación, incluyendo, si corresponde, la preparación de datos.
  • Arreglos para el almacenamiento de la documentación duplicada.

En la mayoría de las instalaciones se acepta la necesidad de estándares de sistemas y programación. Esto no se aplica tan libremente en el caso de los estándares de operaciones, a pesar de que por lo general se acepta el mínimo de instrucciones de operaciones, a pesar de que por lo general se acepta el mínimo de instrucciones de operación.
Los estándares de operación deben incluir:
  • ·        Buenas prácticas de mantenimiento.
  • ·        Evitar las malas prácticas de operación del equipo y la programación.
  • ·        Procedimientos para el uso de las copias de seguridad de los programas, datos o archivos.
  • ·        Procedimientos de entrega para las aplicaciones nuevas.
  • ·        Etapas al establecer aplicaciones nuevas.

Estos requisitos también se aplican en la captura de datos cuando esta forma parte de la función de operación. En general, los estándares son menos complejos, aunque la situación cambia debido a la existencia de la entrada de datos remota y en la línea.
Como en el caso de la documentación de sistemas y programación, las instrucciones de operación de la aplicación se deban copiar y ubicar en algún lugar distante.
En resumen los estándares de operación de sistemas, así como la documentación, tienen efectos de suma importancia en la seguridad en computación. Los requisitos de seguridad se deben revisar en forma periódica como parte del proceso de planeación computacional a largo plazo, así como también el desarrollo y la realización de las aplicaciones individuales.
La existencia de métodos de trabajo efectivos mejora la seguridad y ofrece la documentación adecuada como un derivado. Se debe considerar de manera cuidadosa al acceso a esta documentación, a fin de reforzar la división en las responsabilidades. Las copias auxiliares de toda la documentación se deben almacenar en algún lugar distante.

5.3. Estándares Sobre los Procedimientos de Entrada de Datos, Procesamiento de Información y Emisión de Resultados


De una forma panorámica los principales ámbitos de normalización son los relativos al sistema de gestión de seguridad de la información, a las técnicas y mecanismos, sean o no criptográficos, y a la evaluación de la seguridad de las tecnologías de la información y aspectos asociados, según se refleja en el gráfico siguiente (figura 1), que también recoge la presencia de ámbitos que, de forma creciente, demandan una atención especializada, como la gestión de identidad y privacidad y los servicios y controles de seguridad, aunque se apoyen, así mismo, en los tres ámbitos principales citados.




Panorámica general de ámbitos de normalización en ISO/IEC SC27



Normas de gestión de seguridad de la información

Perspectiva general:

En 2004 se crea la serie 27000, con el objetivo de contribuir a la mejor identificación y ordenación de las normas de gestión de seguridad de la información, y satisfacer cuestiones tales como las siguientes:

  • Proporcionar un marco homogéneo de normas y directrices.
  • Proporcionar requisitos, metodologías y técnicas de valoración.
  • Evitar el solapamiento de las normas y favorecer la armonización.
  • Alinearse con los principios generalmente aceptados relativos al gobierno de las organizaciones.
  • Ser consistente con las Directrices de Seguridad y de Privacidad de la OCDE.
  • Usar lenguaje y métodos comunes.
  • Facilitar la flexibilidad en la selección e implantación de controles.
  • Ser consistente con otras normas y directivas de ISO.



El estado de situación de la serie 27000 es el siguiente:



Informes y normas UNE

En el ámbito de la normalización nacional, la creación de un cuerpo de normas e informes UNE viene tratando principalmente, hasta la fecha, la gestión de la seguridad de la información:



Sistema de gestión de seguridad de la información

Diversas normas promueven la aplicación de un sistema de procesos encaminado a gestionar la seguridad. Tal enfoque enfatiza la importancia de aspectos tales como los siguientes:


  • La comprensión de los requisitos de seguridad de la información y la necesidad de establecer objetivos y una política para la seguridad de la información.
  • La implantación y explotación de controles para gestionar los riesgos relativos a la seguridad de la información en el contexto general de los riesgos globales de la organización.
  • El seguimiento del rendimiento del sistema.
  • La mejora continua basada en la medida de los objetivos.


Tales normas adoptan el ciclo conocido como “Plan-Do-Check-Act” para especificar los requisitos del denominado Sistema de Gestión de Seguridad de la Información. A la fecha se dispone de las siguientes normas:


  • UNE 71502:2004 Especificaciones para los sistemas de gestión de la seguridad de la información.
  • ISO/IEC 27001:2005 Information Technology – Security techniques – Information security management systems – Requirements.


Se encuentra en elaboración la norma UNE equivalente a ISO/IEC 27001:2005 con vistas a retirar a corto plazo la norma UNE 71502:2004.

La norma UNE 71502:2004 define un Sistema de Gestión de la Seguridad de la Información (SGSI) como aquel “sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. El sistema es la herramienta de que dispone la dirección de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad (integridad, confidencialidad y disponibilidad, asignación de responsabilidad, autenticación). Proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en concordancia con las políticas de seguridad y planes estratégicos de la organización.”

Mientras que la norma ISO/IEC 27001:2005 lo define como:

“Parte del sistema global de gestión, que sobre la base de un enfoque basado en los riesgos, se ocupa de establecer, implantar, operar, seguir, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye estructuras organizativas, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.”

La implantación de un SGSI permite a una organización lo siguiente:

  • Conocer los riesgos.
  • Prevenir, reducir, eliminar o controlar los riesgos mediante la adopción de los controles adecuados.
  • Asegurar el cumplimiento de la legislación en materias tales como la protección de los datos de carácter personal, los servicios de la sociedad de la información o la propiedad intelectual, entre otras.

5.4. Estándares en el sistema de teleinformática.


La teleinformática se refiere a la rama de la ciencia que estudia la transmisión y comunicación de información mediante vía de equipos informáticos. En palabras más simples, se encarga de estudiar como es el proceso por el cual se puede transmitir información de un equipo informático a otro. En el envío de esa información tenemos varios elementos que interviene. En primer lugar un ordenador que envía el mensaje, y otro que la reciba (llamados remotos).
Estándares
En el mundo de la teleinformática resulta muy frecuente la interconexión de máquinas de distintos fabricantes. Para ello es necesario que todos los computadores involucrados en la comunicación sean capaces de transmitir e interpretar la información utilizando los mismos protocolos. Para conseguir esto aparecen los estándares de comunicaciones.
Los primeros son conocidos como estándares de jure, mientras que los segundos son estándares de facto.
Los organismos emisores de estándares jure son los siguientes:

ü  ITU ( International Telecommunication Union): Es el organismo que agrupa a las compañías proveedoras de servicios telefónicos de multitud de países, entre ellas Telefónica. Sus normas son sobre todo relativas a DCE´s y su conexión con los DTE´s. Se denominan mediante una letra y un número. (p.e. X.25, X.500, V.22, V32, etc.)
ü  ISO ( International Standards Organization): La organización internacional de estandarización agrupa a los organismos nacionales de casi todos los países.
ü  IAB (Internet Arquitecture Board): Este organismo supervisa las normas empleadas en Internet. El mecanismo para la creación de las normas pasa por los RFC´s ( Request For Comments), un documento público al cual todo usuario de Internet puede hacer críticas. Tras varias fases, este documento pasará al estado STD, siendo considerado desde entonces un estándar establecido.


Estándares de facto

Los estándares de facto suelen ser propuestas por un fabricante y adoptadas por otros para sus productos. Responden a la falta de normativa en bastantes de los aspectos de la informática en los primeros tiempos. Ejemplos de estándares de este tipo son el lenguaje de comandos Hayes o el interfaz Centronics para impresoras. Estos estándares suelen acabar convertidos en estándares de jure cuando algún organismo de los anteriormente citados los adopta.

5.5. Estándares de Mantenimiento


De la definición de mantenimiento del estándar IEEE 1219 cabe distinguir tres causas fundamentales que desencadenan las actividades de mantenimiento.

Las causas u origen de las actividades de mantenimiento del software pertenecen a tres grupos principales:


  • Eliminación de defectos del producto software.

Las causas por tanto son todas ellas resultado de tener que modificar el software para que cumpla con los requisitos del usuario ya establecidos.

  • Adaptar el producto software a.

Para que siga cumpliéndolos cuando cambia su entorno.

  • Incluir mejoras en el diseño.

Cuando se quiere mejorar la manera en que los cumple.
Por otro lado, la definición anterior implica que el mantenimiento debido a los defectos es a posteriori, es decir, se desencadena cuando el defecto tiene como resultado un fallo que se detecta.

En ocasiones, se realizan actividades de mantenimiento preventivo, que intentan detectar y corregir fallos latentes (que se supone pueden existir, aunque aún no se han “manifestado”).

Estas causas tienen su correlación directa con las denominadas “categorías de mantenimiento”, que en el estándar ISO/IEC 147641 incluye las siguientes categorías definidas por Lientz y Swanson 2(1978) que son:

  • Mantenimiento correctivo: modificaciones reactivas a un producto software hechas después de la entrega para corregir defectos descubiertos.
  • Mantenimiento adaptativo: modificación de un producto software realizada después de la entrega para permitir que un producto software siga pudiéndose utilizar en un entorno diferente.
  • Mantenimiento perfectivo: modificación de un producto software después de la entrega para mejorar el rendimiento o la mantenibilidad.

Una consecuencia importante de las definiciones anteriores es que no se considera mantenimiento a los cambios introducidos para incluir nuevos requisitos funcionales. No obstante, no hay un consenso unánime en este sentido, y de hecho, el concepto de evolución del software amplía el espectro del mantenimiento a cambios en un sentido amplio. De hecho, hay autores que consideran que el mantenimiento perfectivo sí incluye cambios en la funcionalidad.

Las categorías adaptativa y perfectiva son ambas mejoras, en contraposición el mantenimiento correctivo.

Por último, un estándar de mantenimiento del IEEE (1998) define una categoría adicional, la de mantenimiento de emergencia, cuando los cambios se deben hacer sin planificación previa, para mantener un sistema en operación. Todas las anteriores definiciones son las que se encuentran habitualmente en los libros. No obstante, la clasificación más exhaustiva se encuentra en el artículo de Chapin (2001).








FUENTE BIBLIOGRÁFICA

  • prezi.com/kk6sr2fuckg9/5estandarizacion-en-la-funcion-informatica/

  • https://prezi.com/ogk5jz_ss5-d/51-estandares-a-considerar-en-la-adquisicion-de-recursos-in/

jueves, 14 de julio de 2016

4.1. SELECCIÓN DEL ESPACIO FÍSICO.


Para comenzar este trabajo, hay que decir que, la selección del lugar de ubicación de una dirección de informática, es un factor determinante en sucorrecto funcionamiento, puesto que de esto depende la mayor protección y seguridad de una de las áreas más importantes de cualquier organización. En la selección del lugar se deben considerar: 

El Medio ambiente externo: es necesario realizar un adecuado estudio de la ubicación, ya que esto permite determinar el lugar más adecuado donde en donde factores como los naturales, de servicios y de seguridad sean los más favorables; Adecuar con lo que se tiene: cuando en la organización ya se tenga destinado el local o espacio físico y no hay otra alternativa, lo único que se puede realizar son los arreglos necesarios para la instalación. Las condiciones físicas del lugar en donde se ubique un "servidor" han de ser mucho más rigurosas que las del lugar donde se ubique una "micro-computadora.

4.2. Análisis De Riesgo




En el mundo debemos escoger entre: riesgos físicamente imposibles de corregir. Riesgos posibles, pero económicamente imposibles de corregir. Riesgos económica y físicamente corregible.

En un entorno informático existen una serie de recursos (humanos, técnicos, de infraestructura…) que están expuestos a diferentes tipos de riesgos: los `normales’, aquellos comunes a Cualquier entorno, y los excepcionales, originados por situaciones concretas que afectan o pueden afectar a parte de una organización o a toda la misma, como la inestabilidad política en un país o una región sensible a terremotos.  Para tratar de minimizar los efectos de un problema de seguridad se realiza lo que denominamos un análisis de riesgos, término que hace referencia al proceso necesario.