miércoles, 20 de julio de 2016

5.1. Estándares a considerar en la adquisición de recursos informáticos (hardware, software).


Toda adquisición se basa en los estándares, es decir la arquitectura de grupo empresarial establecida por el Comité. Esta arquitectura tiene una permanencia mínima de dos a cinco años.
Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área.
ARTICULO 8°.- Toda adquisición de tecnología informática se efectúa a través del Comité, que está conformado por el personal de la Administración de Informática y Gerente Administrativo de la unidad solicitante de bienes o servicios informáticos.

ARTICULO 11°.- Para la adquisición de hardware se observará lo siguiente:
·     Todo proyecto de adquisición de bienes de informática, debe sujetarse al análisis, aprobación y autorización del Comité.
·        El equipo que se desee adquirir deberá estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estándares de la empresa.
·        Deberán tener un año de garantía como mínimo.
·  Deberán ser equipos integrados de fábrica o ensamblados con componentes previamente evaluados por el Comité.
·        La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional, así como con asistencia técnica y refaccionaria local.
·  Tratándose de equipos micro computadoras, a fin de mantener actualizado la arquitectura informático de la empresa, el Comité emitirá periódicamente las especificaciones técnicas mínimas para su adquisición.
·   Los dispositivos de almacenamiento, así como las interfaces de entrada/salida, deberán estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de datos, como en el ciclo del proceso.
·      Las impresoras deberán apegarse a los estándares de hardware y software vigentes en el mercado y la empresa, corroborando que los suministros (cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a un solo proveedor.
·  Conjuntamente con los equipos, se deberá adquirir el equipo complementario adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los fabricantes, y que esta adquisición se manifieste en el costo de la partida inicial.
·   Los equipos complementarios deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país.
·        Los equipos adquiridos deben contar, de preferencia con asistencia técnica durante la instalación de los mismos.
·  En lo que se refiere a los computadores denominados servidores, equipo de comunicaciones como enrutadores y concentradores de medios, y otros que se justifiquen por ser de operación crítica y/o de alto costo; al vencer su período de garantía, deben de contar con un programa de mantenimiento preventivo y correctivo que incluya el suministro de refacciones.
·        En lo que se refiere a los computadores denominados personales, al vencer su garantía por adquisición, deben de contar por lo menos con un programa de servicio de mantenimiento correctivo que incluya el suministro de refacciones.

ARTICULO 12°.- En la adquisición de Equipo de cómputo se deberá incluir el Software vigente precargado con su licencia correspondiente considerando las disposiciones del artículo siguiente.

ARTICULO 13°.- Para la adquisición de Software base y utilitarios, el Comité dará a conocer periódicamente las tendencias con tecnología de punta vigente, siendo la lista de productos autorizados la siguiente:

a.- Plataformas de Sistemas Operativos:
b.- Bases de Datos:
c.- Manejadores de bases de datos:
d.- Lenguajes de programación:
e.- Hojas de cálculo:
f.- Programas antivirus.

5.2. Estándares de operación de sistemas.


Así como la documentación de los sistemas y de los programas, la instalaciónpuede estar expuesta a un riesgo considerable debido a la ausencia de:
  •  Estándares adecuados para las actividades de operación, incluyendo, si corresponde, la preparación de datos.
  • Arreglos para el almacenamiento de la documentación duplicada.

En la mayoría de las instalaciones se acepta la necesidad de estándares de sistemas y programación. Esto no se aplica tan libremente en el caso de los estándares de operaciones, a pesar de que por lo general se acepta el mínimo de instrucciones de operaciones, a pesar de que por lo general se acepta el mínimo de instrucciones de operación.
Los estándares de operación deben incluir:
  • ·        Buenas prácticas de mantenimiento.
  • ·        Evitar las malas prácticas de operación del equipo y la programación.
  • ·        Procedimientos para el uso de las copias de seguridad de los programas, datos o archivos.
  • ·        Procedimientos de entrega para las aplicaciones nuevas.
  • ·        Etapas al establecer aplicaciones nuevas.

Estos requisitos también se aplican en la captura de datos cuando esta forma parte de la función de operación. En general, los estándares son menos complejos, aunque la situación cambia debido a la existencia de la entrada de datos remota y en la línea.
Como en el caso de la documentación de sistemas y programación, las instrucciones de operación de la aplicación se deban copiar y ubicar en algún lugar distante.
En resumen los estándares de operación de sistemas, así como la documentación, tienen efectos de suma importancia en la seguridad en computación. Los requisitos de seguridad se deben revisar en forma periódica como parte del proceso de planeación computacional a largo plazo, así como también el desarrollo y la realización de las aplicaciones individuales.
La existencia de métodos de trabajo efectivos mejora la seguridad y ofrece la documentación adecuada como un derivado. Se debe considerar de manera cuidadosa al acceso a esta documentación, a fin de reforzar la división en las responsabilidades. Las copias auxiliares de toda la documentación se deben almacenar en algún lugar distante.

5.3. Estándares Sobre los Procedimientos de Entrada de Datos, Procesamiento de Información y Emisión de Resultados


De una forma panorámica los principales ámbitos de normalización son los relativos al sistema de gestión de seguridad de la información, a las técnicas y mecanismos, sean o no criptográficos, y a la evaluación de la seguridad de las tecnologías de la información y aspectos asociados, según se refleja en el gráfico siguiente (figura 1), que también recoge la presencia de ámbitos que, de forma creciente, demandan una atención especializada, como la gestión de identidad y privacidad y los servicios y controles de seguridad, aunque se apoyen, así mismo, en los tres ámbitos principales citados.




Panorámica general de ámbitos de normalización en ISO/IEC SC27



Normas de gestión de seguridad de la información

Perspectiva general:

En 2004 se crea la serie 27000, con el objetivo de contribuir a la mejor identificación y ordenación de las normas de gestión de seguridad de la información, y satisfacer cuestiones tales como las siguientes:

  • Proporcionar un marco homogéneo de normas y directrices.
  • Proporcionar requisitos, metodologías y técnicas de valoración.
  • Evitar el solapamiento de las normas y favorecer la armonización.
  • Alinearse con los principios generalmente aceptados relativos al gobierno de las organizaciones.
  • Ser consistente con las Directrices de Seguridad y de Privacidad de la OCDE.
  • Usar lenguaje y métodos comunes.
  • Facilitar la flexibilidad en la selección e implantación de controles.
  • Ser consistente con otras normas y directivas de ISO.



El estado de situación de la serie 27000 es el siguiente:



Informes y normas UNE

En el ámbito de la normalización nacional, la creación de un cuerpo de normas e informes UNE viene tratando principalmente, hasta la fecha, la gestión de la seguridad de la información:



Sistema de gestión de seguridad de la información

Diversas normas promueven la aplicación de un sistema de procesos encaminado a gestionar la seguridad. Tal enfoque enfatiza la importancia de aspectos tales como los siguientes:


  • La comprensión de los requisitos de seguridad de la información y la necesidad de establecer objetivos y una política para la seguridad de la información.
  • La implantación y explotación de controles para gestionar los riesgos relativos a la seguridad de la información en el contexto general de los riesgos globales de la organización.
  • El seguimiento del rendimiento del sistema.
  • La mejora continua basada en la medida de los objetivos.


Tales normas adoptan el ciclo conocido como “Plan-Do-Check-Act” para especificar los requisitos del denominado Sistema de Gestión de Seguridad de la Información. A la fecha se dispone de las siguientes normas:


  • UNE 71502:2004 Especificaciones para los sistemas de gestión de la seguridad de la información.
  • ISO/IEC 27001:2005 Information Technology – Security techniques – Information security management systems – Requirements.


Se encuentra en elaboración la norma UNE equivalente a ISO/IEC 27001:2005 con vistas a retirar a corto plazo la norma UNE 71502:2004.

La norma UNE 71502:2004 define un Sistema de Gestión de la Seguridad de la Información (SGSI) como aquel “sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. El sistema es la herramienta de que dispone la dirección de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad (integridad, confidencialidad y disponibilidad, asignación de responsabilidad, autenticación). Proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en concordancia con las políticas de seguridad y planes estratégicos de la organización.”

Mientras que la norma ISO/IEC 27001:2005 lo define como:

“Parte del sistema global de gestión, que sobre la base de un enfoque basado en los riesgos, se ocupa de establecer, implantar, operar, seguir, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye estructuras organizativas, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.”

La implantación de un SGSI permite a una organización lo siguiente:

  • Conocer los riesgos.
  • Prevenir, reducir, eliminar o controlar los riesgos mediante la adopción de los controles adecuados.
  • Asegurar el cumplimiento de la legislación en materias tales como la protección de los datos de carácter personal, los servicios de la sociedad de la información o la propiedad intelectual, entre otras.

5.4. Estándares en el sistema de teleinformática.


La teleinformática se refiere a la rama de la ciencia que estudia la transmisión y comunicación de información mediante vía de equipos informáticos. En palabras más simples, se encarga de estudiar como es el proceso por el cual se puede transmitir información de un equipo informático a otro. En el envío de esa información tenemos varios elementos que interviene. En primer lugar un ordenador que envía el mensaje, y otro que la reciba (llamados remotos).
Estándares
En el mundo de la teleinformática resulta muy frecuente la interconexión de máquinas de distintos fabricantes. Para ello es necesario que todos los computadores involucrados en la comunicación sean capaces de transmitir e interpretar la información utilizando los mismos protocolos. Para conseguir esto aparecen los estándares de comunicaciones.
Los primeros son conocidos como estándares de jure, mientras que los segundos son estándares de facto.
Los organismos emisores de estándares jure son los siguientes:

ü  ITU ( International Telecommunication Union): Es el organismo que agrupa a las compañías proveedoras de servicios telefónicos de multitud de países, entre ellas Telefónica. Sus normas son sobre todo relativas a DCE´s y su conexión con los DTE´s. Se denominan mediante una letra y un número. (p.e. X.25, X.500, V.22, V32, etc.)
ü  ISO ( International Standards Organization): La organización internacional de estandarización agrupa a los organismos nacionales de casi todos los países.
ü  IAB (Internet Arquitecture Board): Este organismo supervisa las normas empleadas en Internet. El mecanismo para la creación de las normas pasa por los RFC´s ( Request For Comments), un documento público al cual todo usuario de Internet puede hacer críticas. Tras varias fases, este documento pasará al estado STD, siendo considerado desde entonces un estándar establecido.


Estándares de facto

Los estándares de facto suelen ser propuestas por un fabricante y adoptadas por otros para sus productos. Responden a la falta de normativa en bastantes de los aspectos de la informática en los primeros tiempos. Ejemplos de estándares de este tipo son el lenguaje de comandos Hayes o el interfaz Centronics para impresoras. Estos estándares suelen acabar convertidos en estándares de jure cuando algún organismo de los anteriormente citados los adopta.

5.5. Estándares de Mantenimiento


De la definición de mantenimiento del estándar IEEE 1219 cabe distinguir tres causas fundamentales que desencadenan las actividades de mantenimiento.

Las causas u origen de las actividades de mantenimiento del software pertenecen a tres grupos principales:


  • Eliminación de defectos del producto software.

Las causas por tanto son todas ellas resultado de tener que modificar el software para que cumpla con los requisitos del usuario ya establecidos.

  • Adaptar el producto software a.

Para que siga cumpliéndolos cuando cambia su entorno.

  • Incluir mejoras en el diseño.

Cuando se quiere mejorar la manera en que los cumple.
Por otro lado, la definición anterior implica que el mantenimiento debido a los defectos es a posteriori, es decir, se desencadena cuando el defecto tiene como resultado un fallo que se detecta.

En ocasiones, se realizan actividades de mantenimiento preventivo, que intentan detectar y corregir fallos latentes (que se supone pueden existir, aunque aún no se han “manifestado”).

Estas causas tienen su correlación directa con las denominadas “categorías de mantenimiento”, que en el estándar ISO/IEC 147641 incluye las siguientes categorías definidas por Lientz y Swanson 2(1978) que son:

  • Mantenimiento correctivo: modificaciones reactivas a un producto software hechas después de la entrega para corregir defectos descubiertos.
  • Mantenimiento adaptativo: modificación de un producto software realizada después de la entrega para permitir que un producto software siga pudiéndose utilizar en un entorno diferente.
  • Mantenimiento perfectivo: modificación de un producto software después de la entrega para mejorar el rendimiento o la mantenibilidad.

Una consecuencia importante de las definiciones anteriores es que no se considera mantenimiento a los cambios introducidos para incluir nuevos requisitos funcionales. No obstante, no hay un consenso unánime en este sentido, y de hecho, el concepto de evolución del software amplía el espectro del mantenimiento a cambios en un sentido amplio. De hecho, hay autores que consideran que el mantenimiento perfectivo sí incluye cambios en la funcionalidad.

Las categorías adaptativa y perfectiva son ambas mejoras, en contraposición el mantenimiento correctivo.

Por último, un estándar de mantenimiento del IEEE (1998) define una categoría adicional, la de mantenimiento de emergencia, cuando los cambios se deben hacer sin planificación previa, para mantener un sistema en operación. Todas las anteriores definiciones son las que se encuentran habitualmente en los libros. No obstante, la clasificación más exhaustiva se encuentra en el artículo de Chapin (2001).








FUENTE BIBLIOGRÁFICA

  • prezi.com/kk6sr2fuckg9/5estandarizacion-en-la-funcion-informatica/

  • https://prezi.com/ogk5jz_ss5-d/51-estandares-a-considerar-en-la-adquisicion-de-recursos-in/

jueves, 14 de julio de 2016

4.1. SELECCIÓN DEL ESPACIO FÍSICO.


Para comenzar este trabajo, hay que decir que, la selección del lugar de ubicación de una dirección de informática, es un factor determinante en sucorrecto funcionamiento, puesto que de esto depende la mayor protección y seguridad de una de las áreas más importantes de cualquier organización. En la selección del lugar se deben considerar: 

El Medio ambiente externo: es necesario realizar un adecuado estudio de la ubicación, ya que esto permite determinar el lugar más adecuado donde en donde factores como los naturales, de servicios y de seguridad sean los más favorables; Adecuar con lo que se tiene: cuando en la organización ya se tenga destinado el local o espacio físico y no hay otra alternativa, lo único que se puede realizar son los arreglos necesarios para la instalación. Las condiciones físicas del lugar en donde se ubique un "servidor" han de ser mucho más rigurosas que las del lugar donde se ubique una "micro-computadora.

4.2. Análisis De Riesgo




En el mundo debemos escoger entre: riesgos físicamente imposibles de corregir. Riesgos posibles, pero económicamente imposibles de corregir. Riesgos económica y físicamente corregible.

En un entorno informático existen una serie de recursos (humanos, técnicos, de infraestructura…) que están expuestos a diferentes tipos de riesgos: los `normales’, aquellos comunes a Cualquier entorno, y los excepcionales, originados por situaciones concretas que afectan o pueden afectar a parte de una organización o a toda la misma, como la inestabilidad política en un país o una región sensible a terremotos.  Para tratar de minimizar los efectos de un problema de seguridad se realiza lo que denominamos un análisis de riesgos, término que hace referencia al proceso necesario.

4.3. Condiciones Físicas de Ubicación


Selección en un lugar  se deben considerar: Medio ambiente externo: es necesario realizar un adecuado estudio de la ubicación, ya que esto permite determinar el lugar más adecuado donde en donde factores como los naturales, de servicios y de seguridad sean los más favorables.



  • Cuando en la organización ya se tenga destinado el local o espacio físico y no hay otra alternativa, lo único que se puede realizar son los arreglos necesarios para la instalación.
  • La preparación o acondicionamiento del local tiene como finalidad proporcionar los servicios y accesorios necesarios para el buen funcionamiento y lograr la máxima eficiencia operativa.

4.4. Condiciones De Construcción


Una vez seleccionada el área más segura del edificio para el centro de cómputo:
Debe ubicarse las rutas de acceso al personal, cuidando que no haya en esas rutas cables, alguna rampa, etc. que pueda estorbar en el camino.
La puerta de acceso debe tener entre unos 95 cm de ancho mínimo y abrir  hacia afuera.
Usar  el material de construcción no deben ser combustibles y que sean resistentes al fuego. La construcción del piso debe soportar el peso de los equipos. La pintura de las paredes debe ser lavable, esto es con el objetivo de que no se desprenda polvo y sea fácil su limpieza. Construir el mínimo de ventanas para evitar interferencias.

Tomas de corriente suficiente y localizado (esto es caso de que haya algún incendio dentro o fuera del edificio) 
Espacio adecuado para mobiliario, equipo y material Área para alimentos
Espacio para unidad de aire acondicionado y equipo telefónico.

4.5. DISPONIBILIDAD Y REQUERIMIENTOS DE SISTEMA ELÉCTRICO



¢  Todo circuito eléctrico está formado por una fuente de energía (toma corriente), conductores (cables), y un receptor que transforma la electricidad en luz (lámparas).
¢  Para que se produzca la transformación, es necesario que circule corriente por el circuito.
¢  Este debe estar compuesto por elementos conductores, conectados a una fuente de tensión o voltaje y cerrado.
¢   Los dispositivos que permiten abrir o cerrar circuitos se llaman interruptores o llaves.
¢  Punto en el que una fuente de energía distribuida (FED)
¢  SISTEMA ELÉCTRICO NACIONAL (SEN)
¢  tensión de suministro del SEN  salga de lo requerido por la CFE
¢  - Sincronía
¢  La FED entrará en paralelo con el SEN sin causar fluctuación de tensión mayor a +/- 5 % de los niveles de
¢  tensión del SEN en el punto de interconexión y deberá cumplir con los requerimientos de disturbios que
¢  establezca CFE.
¢  - Energización del Sistema Eléctrico Nacional
¢  La FED no debe energizar el SEN cuando el SEN esté desenrizado.

Dispositivo de Desconexión
Se deberá contar con un dispositivo de desconexión accesible, con dispositivos de bloqueo.
-Condiciones Anormales de Operación

El FED deberá contar con los dispositivos de protección adecuados para desconectarse del SEN en caso
de fallas en el propio SEN al cual se encuentra conectado

4.6. Temperatura y Humedad


Los fabricantes de los equipos de cómputo presentan en su manuales los requerimientos ambientales para la operación de los mismos, aunque estos soportan variación de temperatura, los efectos recaen en sus componentes electrónicos cuando empiezan a degradarse y ocasionan fallas frecuentes que reduce la vida útil  de los equipos.


  • Para calor Sensible: se determinan por vidrio, paredes, particiones, techo, piso, iluminación, puertas abiertas, calor disipado por las máquinas, etc.
  • Para calor Latente: se determina el número de personas y la ventilación.




4.7. AMENAZAS Y MEDIDAS DE SEGURIDAD.


Amenazas:


Amenazas de Hardware Mal Diseño: Es cuando los componentes de hardware del Sistema, no son apropiados no cumplen los requerimientos necesarios.

Error de Fabricación: Es cuando las piezas de hardware son adquiridas con desperfectos de fábrica y fallan al momento de intentar usarla.

Suministro de Energía: Las variaciones de voltaje dañan los dispositivos, por ello es necesario verificar que la instalación de suministro de energía funcione dentro de los parámetros requeridos.

Desgaste: El uso constante del hardware produce un desgaste, que con el tiempo reduce el funcionamiento óptimo del dispositivo hasta dejarlo inutilizable.

Amenazas Humanas Curiosos: Se tratan de personas que entran a sistemas a los que no están autorizados, por curiosidad, desafíos personales, etc.

Intrusos Remunerados: Este tipo de atacante se encarga de penetrar a los Sistema. A cambio de un pago. Personal Enterado: Son personas que tienen acceso autorizado o conocen la estructura del Sistemas.

Red Las redes pueden llegar a ser un sitio muy vulnerable, al tratarse de una serie de equipos conectados entre si compartiendo recursos. En una red la prioridad es la transmisión de la información, así que todas las vulnerabilidades están relacionadas directamente con la posible intercepción de la información por personas no autorizadas y con fallas en la disponibilidad del servicio.


Medidas de seguridad: 

La seguridad en un centro de cómputo no solo se refiere a la protección del hardware, si no también del software. Algunas medidas de seguridad de un centro de cómputo son:

Impartir instrucciones a los asociados o responsables de no suministrar información.
2.- Revisar los planes de seguridad de la organización.
3.- Establecer simples y efectivos sistemas de señales.
4.- Contar con resguardo de la información que se maneja.
5.- Establecer contraseñas para proteger información confidencial y privada.
6.- Evitar introducir alimentos, tales como refrescos, para impedir que puedan derramarse sobre las maquinas.
7.- No fumar.
8.- Cada equipo de cómputo debe contar con un regulador de corriente para evitar problemas o daños en caso de falla eléctrica.
9.- Escanear un disquete antes de introducirlo a la computadora para así evitar infectarlas con algún virus.

En los últimos años la seguridad en las redes de computadores se ha tornado en un asunto de primera importancia dado el incremento de prestaciones de las mismas, así¬ como la imparable ola de ataques o violaciones a las barreras de acceso a los sistemas implementados en aquellas. Los "incidentes de seguridad" reportados continúan creciendo cada vez a un ritmo más acelerado, a la par de la masificación del Internet y de la complejidad del software desarrollado.

· Efectuar un análisis de riesgos  
Esto se suele mencionar en la literatura como el primer paso a realizarse cuando se plantea la seguridad en un sistema. La idea es muy sencilla: trazar todos los elementos que conforman nuestro sistema (hardware y software) y observar cuales involucran más o menos riesgo. Esto desembocara en un plan de seguridad cuyo objetivo es disminuir el riesgo total del sistema.