UNIDAD V

NORMATIVIDAD DE LA FUNCIN INFORMTICA

OBJETIVO: El alumno identificar y aplicar los diversos tipos de estndares propios a un centro de
informtica.

Introduccin
Las normas son especificaciones tcnicas, de carcter voluntario, consensuadas, elaboradas con la
participacin de las partes interesadas (fabricantes, usuarios y consumidores, laboratorios,
administracin, centros de investigacin) y aprobadas por un organismo reconocido.
Estas normas tienen el carcter de acuerdos documentados y contienen las especificaciones tcnicas o
criterios precisos para ser usados consistentemente como reglas, guas, o definiciones de
caractersticas, asegurando de esta forma que los materiales, productos, procesos y servicios son
apropiados para lograr el fin para el que se concibieron.
La normalizacin contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y servicios
que utilizamos, as como a mejorar el bienestar de la sociedad y redunda en el beneficio comn.
Las normas son, por tanto, documentos de aplicacin voluntaria, elaborados por las partes interesadas,
por consenso y aprobados por un organismo reconocido.
En el mbito internacional ISO (Organizacin Internacional de Normalizacin) e IEC (Comisin
Electrotcnica Internacional) tienen por objeto favorecer el desarrollo de la normalizacin en el mundo,
con vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos
pases. Los trabajos desarrollados por ISO cubren prcticamente todos los sectores de la tcnica, con
excepcin del campo elctrico y electrotcnico, cuya responsabilidad recae en IEC. Los miembros de
ISO o IEC son los organismos que representan la normalizacin de un pas. Tan slo un organismo de
cada pas puede ser miembro de estas organizaciones. La participacin en los comits tcnicos de
ISO/IEC puede ser como miembro bien P (participante) o bien O (observador).

Los rganos de trabajo tcnicos de ISO son los siguientes:

Comits Tcnicos (CT): su funcin principal es el desarrollo de las normas internacionales y su

revisin, en caso de que fuera necesario. Cada CT puede, si as lo cree conveniente debido a la
amplitud de su campo de actuacin, establecer subcomits y/o bien grupos de trabajo para cubrir
temas especficos.

Subcomits (SC): tienen las mismas atribuciones que el CT y autonoma para realizar sus
trabajos, con la nica obligacin de mantener informado al CT de sus actividades.

Grupos de Trabajo (GT): se crean para trabajos especficos emprendidos por el

comit/subcomit.

Los documentos elaborados por ISO/IEC son, principalmente, de dos tipos:

Norma internacional (ISO/IEC): norma elaborada por los miembros participantes en un comit
tcnico, subcomit o grupo de trabajo y aprobada por votacin entre todos los participantes.

Informe Tcnico (TR): documento tcnico elaborado para informar sobre los progresos tcnicos
de un tema determinado, dar recomendaciones sobre la ejecucin de un trabajo y facilitar
informacin y datos distintos a los que generalmente estn contenidos en una norma.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

En el mbito europeo CEN (Comit Europeo de Normalizacin) contribuye a los objetivos de la Unin
Europea y del espacio econmico europeo con estndares tcnicos de uso voluntario para facilitar el
intercambio de bienes y servicios, eliminar barreras tcnicas, fomentar la competitividad de la industria
europea y ayudar a la creacin del mercado interior europeo.
As, CEN produce normas en materias tales como el comercio libre, la seguridad de trabajadores y
consumidores, la seguridad e interoperabilidad de las redes, la proteccin del medio ambiente, la
explotacin de los programas de investigacin y desarrollo y la administracin pblica.

CEN emite principalmente:

Normas europeas (EN, European Standards).

Especificaciones tcnicas (TS, Technical Specifications).

Informes tcnicos (TR, Technical Reports).

Una norma europea (EN) conlleva la obligacin de ser adoptada como una norma nacional idntica y de
anular las normas nacionales divergentes. Cuando se elaboran a solicitud de la Comisin Europea y/o
bien la Asociacin Europea de Libre Comercio se conoce como normas europeas mandatadas. Puede
tratarse de normas que apoyan directivas comunitarias o polticas comunitarias en diversas cuestiones,
como polticas industriales o de seguridad de los consumidores, por ejemplo.
Finalmente, una norma armonizada es una norma mandatada que ofrece soluciones tcnicas necesarias
para dar presuncin de conformidad con los requisitos esenciales de una o varias directivas, y sus
referencias se han de publicar en el Diario Oficial de la Unin Europea.
En 1997 se cre CEN/ISSS (Comit Europeen de Normalisation / Information Society Standardization
System) para centralizar las actividades de normalizacin europea en materia de tecnologas de la
informacin y las comunicaciones. En particular, los talleres de CEN/ISSS producen los CEN Workshop
Agreements (CWA).
En el mbito nacional AENOR, la Asociacin Espaola de Normalizacin y Certificacin, asumi la
responsabilidad internacional en ISO en 1987, en IEC en 1995 y es, por tanto, el comit miembro que
representa los intereses espaoles en el campo de la normalizacin ante dichas organizaciones y quien
distribuye los productos de ISO/IEC, CEN/CENELEC, as como las normas UNE.
De la normalizacin en materia de seguridad de las tecnologas de la informacin se ocupan
respectivamente, en el mbito internacional de ISO/IEC el subcomit ISO/IEC JTC 1/SC 27, en el mbito
europeo de CEN el rgano CEN/ISSS, en el mbito nacional de AENOR el subcomit espejo AEN/CTN
71/SC 27.
El derecho es aplicable a todos los individuos, tambin la normatividad aplicada al hardware, es
fundamentalmente necesaria para tener conocimiento y respeto al equipo de cmputo, es fundamental
para no cometer errores o quizs hasta delitos informticos como hackear o crackear, o falsificar
documentos, es esencialmente difcil no encontrar en la actualidad esta problemtica mundial que afecta
en trminos de integridad y laborales.

Ing. Ricardo Trejo R.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Ejemplos de normativas aplicadas al equipo:

Artculo 2: De la responsabilidad

De la Ley aplicable, se determina su adquisicin:

I.- Por cada equipo de cmputo, habr un servidor pblico responsable, quin deber observar las
disposiciones de esta normatividad, auxiliado por el administrador de la unidad informtica, quin a su
vez es responsable directo, de todos los bienes informticos que por funcin le corresponda administrar.
Tanto los responsables como los administradores de unidades informticas, debern verificar los equipos
de cmputo con objeto de constatar el cumplimiento escrupuloso de la normatividad establecida de
acuerdo a la legislacin aplicable.

Artculo 3: Del respaldo, ambiente y limpieza

El equipo de cmputo deber mantenerse en un sitio apropiado, iluminado, ventilado, limpio y libre de
polvo, as mismo, los responsables a travs de los administradores de la unidad informtica, debern
solicitar, a la Direccin General de Modernizacin y Sistemas su inclusin en el programa permanente de
mantenimiento preventivo.
III.- Queda estrictamente prohibido el almacenamiento de archivos que contengan msica, pornografa,
videos, imgenes y de cualquier otro tipo que no estn relacionados con la actividad funcin, para la
cual se destin el equipo de cmputo.

Artculo 6: De los servicios institucionales

Es responsabilidad de los administradores de unidades informticas, instalar , en su caso, solicitar la

instalacin del software correspondiente a los servicios institucionales que le hayan sido autorizados al
equipo de cmputo de su rea de competencia a fin de mantenerlos vigentes.

Artculo 8: De las adquisiciones de equipo de cmputo y suministros

I.- La Direccin General de Modernizacin y Sistemas analizar y presentar el dictamen tcnico de las
requisiciones de equipo, software y suministros para equipo de cmputo a fin de asegurar que alcancen
la mayor utilidad y compatibilidad con los proyectos implementados.

5.1

Estndares para el manejo de datos e informacin

Un estndar establece un sistema comn de terminologa y de definiciones para documentar datos.

Idealmente las estructuras y definiciones de metadatos deben tener su referencia en un estndar. Hay
muchos y variados estndares de metadatos disponibles. La razn de que existan tantos estndares es
que los metadatos se emplean para diversas cosas.
Para qu estndares?
Los estndares permiten la localizacin rpida de cierto elemento. Si se utiliza un estndar, encontrar la
informacin especfica en un catlogo de metadatos ser mucho ms fcil que si no se utiliza ningn
estndar.

Ing. Ricardo Trejo R.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Los estndares permiten bsquedas automatizadas. Cuando se utilizan los estndares, las
computadoras se pueden programar permitiendo buscar y encontrar conjuntos de datos tiles.

Un beneficio de los estndares es que se han generado a travs de un proceso de consulta (con
otros "expertos") y ofrecen una base a partir de la cual pueden desarrollarse perfiles nacionales u
orientados de acuerdo con materias.

Ayudan a minimizar la duplicacin de esfuerzos en la elaboracin, recoleccin, procesamiento o

distribucin de la informacin.

La Divisin de Seguridad de EMC, present los resultados de una encuesta realizada a ms de 200
profesionales de TI Colombianos, en cuanto al uso de los estndares mundiales de TI, como parte los
programas de seguridad de la informacin y cumplimiento de normas de su organizacin.
La encuesta titulada Cumplimiento de TI Simplificado fue realizada por RSA en Septiembre de 2008 en
la conferencia Cisco Networkers en Cartagena, y en sta se demostr que las organizaciones
colombianas poseen una gran comprensin sobre cmo facilitar el cumplimiento de normas y
regulaciones, apoyndose en la implementacin de iniciativas basadas en estndares y/o mejores
practicas como ISO 27002 e ITIL.
La encuesta incluy resultados obtenidos de instituciones financieras reguladas por la Superintendencia
Financiera de Colombia, quien ha emitido normas mnimas obligatorias de calidad y seguridad para
manejo de la informacin confidencial de clientes.
Requisitos de calidad y seguridad de informacin como estos, surgen constantemente y los negocios de
todo el mundo se esfuerzan por establecer programas proactivos para la seguridad y el cumplimiento de
normas.
ISO 27002 es un estndar de la industria que se estableci para brindar lineamientos para iniciar,
implementar, mantener y mejorar los sistemas de administracin de seguridad y los procesos dentro de
una organizacin.
ITIL es un conjunto de conceptos y polticas que organiza el enfoque para administrar la tecnologa de la
informacin y adopta los cdigos de prcticas de ISO, para administracin de la seguridad de la
informacin.
La investigacin demuestra que las organizaciones que comprenden los puntos en comn entre ISO
27002 y los requisitos especficos de cada pas, como el emitido por la Superintendencia Financiera de
Colombia, estn mejor posicionadas para garantizar que sus soluciones tecnolgicas puedan ser
reutilizadas, lo que permite mayor eficacia, uniformidad y disminucin de costos.
Una metodologa basada en estndares puede satisfacer el cumplimiento de los requisitos u otras
regulaciones y tambin centralizar mltiples iniciativas de TI. El resultado: los negocios se benefician por
medio de la disminucin de controles redundantes y el aprovechamiento de las inversiones en
tecnologa.
En la actualidad, los negocios se enfrentan con el complejo desafo de demostrar y mantener el
cumplimiento de mltiples regulaciones, coment Jorge Corts, Gerente de Ventas de RSA en
Colombia. La encuesta revela que las organizaciones colombianas estn usando un enfoque sofisticado
para resolver estos problemas, mediante la implementacin de un solo estndar estratgico, basado en
las mejores prcticas mundiales. Este enfoque eliminar muchos ciclos repetitivos por los cambios y el
desarrollo constantemente de requisitos legales y regulatorios.

Ing. Ricardo Trejo R.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

De los principales beneficios obtenidos al aprovechar los estndares mundiales, los encuestados
afirmaron que el seguimiento de las normas ISO mejorar significativamente la seguridad de su
organizacin (23%) y simplificar y optimizar el cumplimiento de normas (21%).
Las ventajas de un enfoque integral, basado en estndares para la seguridad de TI, es que excede el
cumplimiento de cualquier regulacin establecida y contribuye con la seguridad integral y la eficacia
operacional. La adopcin de un estndar mundial tambin puede ayudar a la organizacin a adaptar la
seguridad de la informacin a la toma de decisiones estratgicas y a las polticas de administracin de
riesgos de manera ms especfica.

5.2

Estndares de anlisis, diseo e implementacin de sistemas

El valor creciente de la informacin y de los sistemas de tecnologas de la informacin que la soportan,

su omnipresencia y su carcter de instrumento esencial para el desarrollo econmico y social de nuestra
sociedad, las dependencias que se dan, y los riesgos generados, conducen todos ellos a la necesidad de
adoptar polticas, procedimientos, prcticas y medidas organizativas y tcnicas capaces de proteger la
informacin y de gestionar la seguridad de los sistemas respondiendo a las amenazas existentes;
capaces de garantizar dimensiones esenciales de la seguridad como la confidencialidad, la integridad, la
disponibilidad y la autenticidad; de satisfacer la confianza depositada en los productos y sistemas, en la
informacin necesaria para la toma de decisiones y en las posibles expectativas en cuanto a
oportunidades de innovacin y adaptacin; as como de satisfacer los posibles requisitos legales, sean
stos de carcter horizontal o sectorial.
La dependencia de los sistemas de informacin preocupa cada vez ms a la sociedad ya que genera
riesgos debidos a la propia complejidad de los sistemas, a posibles accidentes, errores o ataques, a la
constante evolucin en un entorno cambiante, o a un posible uso irresponsable de los mismos. La
materializacin de estos riesgos puede afectar a la propia continuidad de los servicios (internos y
externos), a la proteccin de la informacin en general y, en particular, de los datos de carcter personal,
as como a la propia validez y eficacia de los actos que se apoyan en transacciones electrnicas, por
ejemplo de administracin o comercio electrnico.
Los diversos actores afectados, particulares, administraciones pblicas y empresas, reclaman seguridad
y, en definitiva, confianza en el uso de los sistemas de tecnologas de la informacin.
Los pasos a dar para garantizar la seguridad de los sistemas de tecnologas de la informacin se
orientan a la implantacin de una gestin continua de la seguridad, a la adopcin de controles y
salvaguardas organizativas y tcnicas que garanticen aspectos tales como la continuidad de su
funcionamiento, la proteccin de la informacin, la validez de las transacciones electrnicas, la
conformidad con el marco normativo y contractual correspondiente, con condiciones tecnolgicas
(estndares) determinadas, el aseguramiento en cuanto a un uso adecuado y optimizado de los
recursos, y, en general, la satisfaccin de aquellos requisitos que contribuyen al logro de los objetivos de
la organizacin.
Se pone de manifiesto, tambin, la necesidad o, en su caso, obligacin de demostrar en la propia
organizacin y ante terceros que se realiza una gestin competente, efectiva y continua de la seguridad
en el marco de los riesgos detectados y de que se han adoptado aquellas medidas adecuadas y
proporcionadas a los riesgos a los que est expuesta la organizacin.
Todo lo anterior demanda la existencia de un conjunto articulado, sistemtico, estructurado, coherente y
lo ms completo posible de normas que sirvan de vocabulario y lenguaje comn, de unificacin de
criterios, de modelo, especificacin y gua para su uso repetido que permitan satisfacer las necesidades
y expectativas de la sociedad en materia de construccin, mantenimiento y mejora de la seguridad de la
informacin y de los sistemas que la soportan, aportando a la vez racionalizacin, disminucin de costes,
mejoras en competitividad y calidad e incluso nuevas oportunidades.

Ing. Ricardo Trejo R.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

En los ltimos seis aos, se ha producido un incremento de la atencin a la seguridad de los sistemas de
informacin, atencin a la que no han sido ajenos los Organismos de normalizacin que estn ampliado
notablemente sus catlogos de normas disponibles en esta materia. As, se viene desarrollando una
coleccin significativa de normas en el campo de la seguridad de las tecnologas de la informacin, que
refleja tambin la evolucin de la normalizacin en general, en la medida en que, junto con el enfoque
tradicional de desarrollo de normas centradas en aspectos de la tecnologa, se viene produciendo el
desarrollo de normas relacionadas con prcticas de gestin, servicios y gestin de riesgos.
Este incremento de la atencin a la seguridad de la informacin y de las tecnologas asociadas,
correlativo con el desarrollo de la sociedad de la informacin en general, y de la administracin
electrnica en particular, viene teniendo reflejo tambin en actuaciones de la OCDE y la Unin Europea.
As, el documento Directrices de la OCDE para la Seguridad de Sistemas y Redes de Informacin: hacia
una cultura de Seguridad seala que los Gobiernos deberan desarrollar polticas que recojan las buenas
prcticas en la gestin de la seguridad y en la evaluacin de riesgos.
A este respecto, indica que pueden usarse normas de gestin de la seguridad de la informacin
reconocidos internacionalmente, tales como las normas ISO y normas especficas de la industria, para
establecer sistemas de gestin de la seguridad eficaces.
En la Unin Europea, la Comunicacin de la Comisin de las Comunidades Europeas sobre Seguridad
de las redes y de la informacin: Propuesta para un enfoque poltico europeo (COM(2001) 298 final),
propone una serie de medidas y acciones.
En particular, se refiere a cuestiones tales como las siguientes:

Los estados miembros debern fomentar el uso de mejores prcticas basadas en medidas
existentes como ISO/IEC 17799.

Se invita a las organizaciones de normalizacin europeas a que aceleren sus trabajos sobre
interoperabilidad, para el apoyo a la normalizacin y certificacin orientadas al mercado.

Se invita a los estados miembros a que fomenten el uso de procedimientos de certificacin y de

acreditacin de normas europeas e internacionales generalmente aceptadas que favorezcan el
reconocimiento mutuo de certificados.

Las administraciones pblicas no deben tan solo prever requisitos de seguridad para la
tecnologa de los sistemas de informacin y comunicacin, sino tambin desarrollar una cultura
de seguridad en el seno de la organizacin. Ello se puede conseguir a travs del establecimiento
de "polticas de seguridad de la organizacin" hechas a medida para la institucin de que se
trate.

Los estados miembros deberan incorporar soluciones eficaces e interoperables en materia de

seguridad de la informacin como requisito bsico para sus actividades en el campo de la
administracin y contratacin pblica electrnicas.

La administracin, en sus proyectos de seguridad, tiene presente la normalizacin en seguridad de las

tecnologas de la informacin, y expresa, adems, su inters en el avance y madurez de las normas.
Esta normalizacin se aplica, por ejemplo, en proyectos relativos al establecimiento de polticas de
seguridad, a la realizacin de planes directores de seguridad, y a la implantacin de sistemas de gestin
de seguridad de la informacin, entre otros.

Ing. Ricardo Trejo R.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Adems, en el mbito de la Administracin General del Estado las normas se vienen teniendo presentes
en instrumentos tales como los siguientes:
Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el
ejercicio de potestades (Criterios SNC), en los que se exponen entre otras cuestiones, las pautas
para la seguridad y normalizacin en lo servicios electrnicos prestados por los rganos y
entidades del mbito de la Administracin General del Estado.

En los Criterios SNC se recogen normas tales como:

UNE ISO/IEC 17799:2002, Tecnologas de la informacin Cdigo de buenas prcticas para la

gestin de la seguridad de la informacin.

ISO/IEC 13335:2004, Information technology - Security techniques - Management of information

and communications technology security.

ISO/IEC 15408:1999, Information technology - Security techniques - Evaluation criteria for IT

security.

Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin (MAGERIT v2).

En MAGERIT v2 se han tenido en cuenta normas tales como:

ISO/IEC 17799:2005, Information technology Security techniques Code of practice for

information security management.

UNE ISO/IEC 17799:2002 Tecnologas de la informacin Cdigo de buenas prcticas para

la gestin de la seguridad de la informacin.

ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in Standards.

ISO/IEC TR 15443:2005, Information technology -- Security techniques -- A framework for IT

security assurance.

Herramienta PILAR, que soporta la realizacin del anlisis y gestin de riesgos siguiendo la
metodologa MAGERIT v2.

Se tienen presentes las mismas normas que para MAGERIT v2.

Esquema Nacional de Evaluacin y Certificacin de la Seguridad de las Tecnologas de la
Informacin.

ISO/IEC 15408, Evaluation criteria for IT security.

ISO/IEC 18045:2005, Methodology for IT security evaluation.

Ing. Ricardo Trejo R.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

5.3

Estndares de operacin de sistemas

La naturaleza especializada de la auditora de los sistemas de informacin y las habilidades necesarias

para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de Normas Generales
para la Auditora de los Sistemas de Informacin.
La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y
evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de
procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y
las interfaces correspondientes.
Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos
previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar,
sus sistemas, organizacin y equipo.
A continuacin, la descripcin de los dos principales objetivos de una auditora de sistemas, que son, las
evaluaciones de los procesos de datos y de los equipos de cmputo, con controles, tipos y seguridad.
En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el
punto de vista de los dos objetivos:

Evaluacin de los sistemas y procedimientos.

Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la
organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin
preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber
incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el
desarrollo de la misma.
Consta de:

Evaluacin de los sistemas y procedimientos

Evaluacin de los diferentes sistemas en operacin (flujo de informacin, procedimientos,

documentacin, redundancia, organizacin de archivos, estndares de programacin, controles,
utilizacin de los sistemas).

Evaluacin del avance de los sistemas en desarrollo y congruencia con el diseo general.

Evaluacin de prioridades y recursos asignados (humanos y equipos de cmputo).

Seguridad fsica y lgica de los sistemas, su confidencialidad y respaldos.

Ing. Ricardo Trejo R.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Evaluacin de los equipos de cmputo

Capacidades.

Utilizacin.

Nuevos proyectos.

Seguridad fsica y lgica.

Evaluacin fsica y lgica.

Controles administrativos en un ambiente de procesamiento de datos

La mxima autoridad del rea de Informtica de una empresa o institucin debe implantar los siguientes
controles que se agruparan de la siguiente forma:
o

Controles de preinstalacin

Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de

computacin y obviamente a la automatizacin de los sistemas existentes.
Objetivos:

Garantizar que el hardware y el software se adquieran siempre y cuando tengan la seguridad de

que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra
alternativa.

Garantizar la seleccin adecuada de equipos y sistemas de computacin.

Asegurar la elaboracin de un plan de actividades previo a la instalacin.

Acciones a seguir:

Elaboracin de un informe tcnico en el que se justifique la adquisicin del equipo, software y

servicios de computacin, incluyendo un estudio costo beneficio.

Formacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e

instalacin.

Elaborar un plan de instalacin de equipo y software (fechas, actividades, responsables) el

mismo que debe contar con la aprobacin de los proveedores del equipo.

Elaborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos,

programas y servicios computacionales. Este proceso debe enmarcarse en normas y
disposiciones legales.

Efectuar las acciones necesarias para una mayor participacin de proveedores.

Asegurar respaldo de mantenimiento y asistencia tcnica.

Ing. Ricardo Trejo R.

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Controles de organizacin y planificacin

Se refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes

unidades del rea PAD, en labores tales como:

Disear un sistema.

Elaborar los programas.

Operar el sistema.

Control de calidad.

Se debe evitar que una misma persona tenga el control de toda una operacin.

Acciones a seguir:

La unidad informtica debe estar al ms alto nivel de la pirmide administrativa de manera que
cumpla con sus objetivos, cuente con el apoyo necesario y la direccin efectiva.

Las funciones de operacin, programacin y diseo de sistemas deben estar claramente

delimitadas.

Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no
tengan acceso a la operacin del computador y los operadores a su vez, no conozcan la
documentacin de programas y sistemas.

Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados
del procesamiento.

El manejo y custodia de dispositivos y archivos magnticos deben estar expresamente definidos

por escrito.

Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos
a evaluacin y ajustes peridicos "Plan Maestro de Informtica".

Debe existir una participacin efectiva de directivos, usuarios y personal del PAD en la
planificacin y evaluacin del cumplimiento del plan.

Las instrucciones deben impartirse por escrito.

Controles de sistemas en desarrollo y produccin

Se debe justificar que los sistemas han sido la mejor opcin para la empresa, bajo una relacin costo
beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se han desarrollado bajo
un proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:

Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan
conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio.

El personal de auditora interna / control debe formar parte del grupo de diseo para sugerir y
solicitar la implantacin de rutinas de control.

Ing. Ricardo Trejo R.

10

ADMINISTRACIN DE LA FUNCIN INFORMTICA

El desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos, metodologas,

estndares, procedimientos y en general a normatividad escrita y aprobada.

Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u
otros mecanismos a fin de evitar reclamos posteriores.

Los programas antes de pasar a produccin deben ser probados con datos que agoten todas las
excepciones posibles.

Todos los sistemas deben estar debidamente documentados y actualizados. La documentacin

deber contener:

Informe de factibilidad.

Diagrama de bloque.

Diagrama de lgica del programa.

Objetivos del programa.

Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes
de pedido y aprobacin de modificaciones.

Formatos de salida.

Resultados de pruebas realizadas.

Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos

de los sistemas en desarrollo.

El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los

manuales de operacin respectivos.

Controles de procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la
salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para:

Asegurar que todos los datos sean procesados.

Garantizar la exactitud de los datos procesados.

Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora.

Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores
condiciones.

Acciones a seguir:

Validacin de datos de entrada previo procesamiento debe ser realizada en forma automtica:
clave, dgito auto verificador, totales de lotes.

Preparacin de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su

correccin.

Ing. Ricardo Trejo R.

11

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Recepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un

horario elaborado en coordinacin con el usuario, realizando un debido control de calidad.

Adoptar acciones necesarias para correcciones de errores.

Analizar conveniencia costo beneficio de estandarizacin de formularios, fuente para agilizar la

captura de datos y minimizar errores.

Los procesos interactivos deben garantizar una adecuada interrelacin entre usuario y sistema.

Planificar el mantenimiento del hardware y software, tomando todas las seguridades para
garantizar la integridad de la informacin y el buen servicio a usuarios.

Controles de operacin

Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de

almacenamiento, la administracin de la Cintoteca y la operacin de terminales y equipos de
comunicacin por parte de los usuarios de sistemas on line.
Los controles tienen como fin:

Prevenir o detectar errores accidentales que puedan ocurrir en el centro de cmputo durante un
proceso.

Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD.

Garantizar la integridad de los recursos informticos.

Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.

Acciones a seguir:

El acceso al centro de cmputo debe contar con las seguridades necesarias para reservar el
ingreso al personal autorizado.

Implantar claves o passwords para garantizar operacin de consola y equipo central

(mainframe), a personal autorizado.

Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de

procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de
violacin y como responder ante esos eventos.

Mantener un registro permanente (bitcora) de todos los procesos realizados, dejando

constancia de suspensiones o cancelaciones de procesos.

Los operadores del equipo central deben estar entrenados para recuperar o restaurar
informacin en caso de destruccin de archivos.

Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares
seguros y adecuados, preferentemente en bvedas de bancos.

Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso.

Ing. Ricardo Trejo R.

12

ADMINISTRACIN DE LA FUNCIN INFORMTICA

5.4

Todas las actividades del centro de cmputo deben normarse mediante manuales, instructivos,
normas y reglamentos.

Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, as como
extintores de incendio, conexiones elctricas seguras, entre otras.

Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje
como: reguladores de voltaje, supresores pico, UPS, generadores de energa.

Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que
se produzca por casos fortuitos o mala operacin.

Estndares sobre los procedimientos de entrada de datos, procesamiento de informacin y

emisin de resultados

De una forma panormica los principales mbitos de normalizacin son los relativos al sistema de
gestin de seguridad de la informacin, a las tcnicas y mecanismos, sean o no criptogrficos, y a la
evaluacin de la seguridad de las tecnologas de la informacin y aspectos asociados, segn se refleja
en el grfico siguiente (figura 1), que tambin recoge la presencia de mbitos que, de forma creciente,
demandan una atencin especializada, como la gestin de identidad y privacidad y los servicios y
controles de seguridad, aunque se apoyen, as mismo, en los tres mbitos principales citados.

Figura 1: Panormica general de mbitos de normalizacin en ISO/IEC SC27

Ing. Ricardo Trejo R.

13

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Normas de gestin de seguridad de la informacin

Perspectiva general:
En 2004 se crea la serie 27000, con el objetivo de contribuir a la mejor identificacin y ordenacin de las
normas de gestin de seguridad de la informacin, y satisfacer cuestiones tales como las siguientes:

Proporcionar un marco homogneo de normas y directrices.

Proporcionar requisitos, metodologas y tcnicas de valoracin.

Evitar el solapamiento de las normas y favorecer la armonizacin.

Alinearse con los principios generalmente aceptados relativos al gobierno de las organizaciones.

Ser consistente con las Directrices de Seguridad y de Privacidad de la OCDE.

Usar lenguaje y mtodos comunes.

Facilitar la flexibilidad en la seleccin e implantacin de controles.

Ser consistente con otras normas y directivas de ISO.

El estado de situacin de la serie 27000 es el siguiente:

Numeracin Estado de situacin
27000

En proyecto: Information security management fundamentals and vocabulary.

27001

ISO/IEC IS 27001:2005 Information technology Security techniques - Information

security management systems. Norma disponible desde el 14 de octubre de
2005.

27002

ISO/IEC IS 17799:2005Information technology Security techniques Code of

practice for information security management.
Norma disponible desde el 10 de junio de 2005. Est previsto que la numeracin
'27002' entre en vigor en 2007.

27003

En proyecto: Information security management system implementation guidance.

27004

En proyecto: Information technology Security techniques - Information security

management measurements.

27005

En proyecto: Information Security Risk Management.

27006

ISO/IEC IS 27006:2007Requirements for the accreditation of bodies providing

certification of information security management systems.
Norma disponible desde el 13 de febrero de 2007.

27007

En proyecto: Auditing Information Security Management Systems against ISO

27001

27008

En reserva.

27009

En reserva.

27011

En proyecto. Information security management guidelines for telecommunications

Ing. Ricardo Trejo R.

14

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Informes y normas UNE

En el mbito de la normalizacin nacional, la creacin de un cuerpo de normas e informes UNE viene
tratando principalmente, hasta la fecha, la gestin de la seguridad de la informacin:
Informes y normas UNE
Informe UNE
71501-1:2001

Gua para la gestin de la seguridad de la tecnologa de la informacin.

Conceptos y modelos para la seguridad de la tecnologa de la informacin.

Informe UNE
71501-2:2001

Gua para la gestin de la seguridad de la tecnologa de la informacin.

Gestin y planificacin de la seguridad de la tecnologa de la informacin.

Informe UNE
71501-3:2001

Gua para la gestin de la seguridad de la tecnologa de la informacin.

Tcnicas para la gestin de la seguridad de la tecnologa de la
informacin.

UNE 71502:2004

Especificaciones de un sistema de gestin de la seguridad de la

informacin.

UNE ISO/IEC
17799:2002

Cdigo de buenas prcticas para la gestin de la seguridad de la

informacin.

Sistema de gestin de seguridad de la informacin

Diversas normas promueven la aplicacin de un sistema de procesos encaminado a gestionar la
seguridad. Tal enfoque enfatiza la importancia de aspectos tales como los siguientes:

La comprensin de los requisitos de seguridad de la informacin y la necesidad de establecer

objetivos y una poltica para la seguridad de la informacin.

La implantacin y explotacin de controles para gestionar los riesgos relativos a la seguridad de

la informacin en el contexto general de los riesgos globales de la organizacin.

El seguimiento del rendimiento del sistema.

La mejora continua basada en la medida de los objetivos.

Tales normas adoptan el ciclo conocido como Plan-Do-Check-Act para especificar los requisitos del
denominado Sistema de Gestin de Seguridad de la Informacin. A la fecha se dispone de las siguientes
normas:
o

UNE 71502:2004 Especificaciones para los sistemas de gestin de la seguridad de la

informacin.

ISO/IEC 27001:2005 Information Technology Security techniques Information security

management systems Requirements.

Se encuentra en elaboracin la norma UNE equivalente a ISO/IEC 27001:2005 con vistas a retirar a
corto plazo la norma UNE 71502:2004.

Ing. Ricardo Trejo R.

15

ADMINISTRACIN DE LA FUNCIN INFORMTICA

La norma UNE 71502:2004 define un Sistema de Gestin de la Seguridad de la Informacin (SGSI)

como aquel sistema de gestin que comprende la poltica, la estructura organizativa, los procedimientos,
los procesos y los recursos necesarios para implantar la gestin de la seguridad de la informacin. El
sistema es la herramienta de que dispone la direccin de las organizaciones para llevar a cabo las
polticas y los objetivos de seguridad (integridad, confidencialidad y disponibilidad, asignacin de
responsabilidad, autenticacin). Proporciona mecanismos para la salvaguarda de los activos de
informacin y de los sistemas que los procesan, en concordancia con las polticas de seguridad y planes
estratgicos de la organizacin.
Mientras que la norma ISO/IEC 27001:2005 lo define como:
Parte del sistema global de gestin, que sobre la base de un enfoque basado en los riesgos, se ocupa
de establecer, implantar, operar, seguir, revisar, mantener y mejorar la seguridad de la informacin. El
sistema de gestin incluye estructuras organizativas, polticas, actividades de planificacin,
responsabilidades, prcticas, procedimientos, procesos y recursos.
La implantacin de un SGSI permite a una organizacin lo siguiente:

5.5

Conocer los riesgos.

Prevenir, reducir, eliminar o controlar los riesgos mediante la adopcin de los controles
adecuados.

Asegurar el cumplimiento de la legislacin en materias tales como la proteccin de los datos de

carcter personal, los servicios de la sociedad de la informacin o la propiedad intelectual, entre
otras.

Estndares en el sistema de teleinformtica

Introduccin
Entendemos como teleinformtica como el conjunto de elementos y tcnicas que permiten la transmisin
automtica de datos.
El inconveniente principal de las redes de computadoras propietarias consiste en su dependencia de la
tecnologa. As, cada fabricante recurre a unas soluciones hardware distinto a la hora de implementar su
red, haciendo casi imposible la conexin a la red de computadoras de otros fabricantes. Es por ello que,
tras varios aos de lucha entre fabricantes, se llegue a la conclusin de que el problema debe
solucionarse a ms alto nivel. En ese momento surge la problemtica de la interconexin de redes.
Este modelo de funcionamiento consiste en que redes diferentes utilicen a alto nivel protocolos comunes,
que permitan ignorar en el mbito de usuario las diferentes implementaciones a bajo nivel.
Para ello resulta imprescindible establecer de forma estndar los protocolos de comunicaciones
utilizados para la interconexin de redes. Gracias a ellos se da el siguiente paso, llegando a la
interconexin de redes, o Internet.
Nomenclaturas
La teleinformtica no se ha desarrollado como una disciplina terica, sino que ha ido evolucionando
gracias, en gran medida, a implementaciones realizadas por laboratorios de investigacin, universidades
y la empresa privada. Adems, la aproximacin al problema ha sido enfocada de forma distinta por
diferentes organismos, por lo que los conceptos utilizados son distintos.

Ing. Ricardo Trejo R.

16

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Por todo ello, no existe una terminologa nica que permita denominar de forma inequvoca a los
componentes de estos sistemas.
En el campo de las nomenclaturas, hay dos de las ms empleadas:

Nomenclatura ARPA

A comienzos de los 60s en Estados Unidos se puso en marcha el proyecto ARPANET, patrocinado por
ARPA (Advanced Research Proyect Agency), dependiente del Departamento de Defensa. Este proyecto
militar persegua la creacin de una red de interconexin entre centros militares y universidades. Con el
tiempo, esta red se convirti en Internet.
El modelo ARPA especifica la existencia de computadoras terminales (Hosts) dispuestos para ejecutar
tareas de usuario, y que son los usuarios de la comunicacin. Para interconectar estas computadoras se
utiliza una sub-red de comunicaciones, que une a los Hosts entre s. Esta sub-red se encuentra formada
por dos tipos de elementos: Las lneas y los procesadores de comunicaciones.
Es necesario destacar que para ARPA son igualmente partes del Host los posibles elementos de
comunicaciones integrados en el sistema, como pueden ser tarjetas de red o dispositivos MDEM, e
incluso los denominados procesadores frontales de comunicaciones ( front-end processors) cuya nica
misin consiste en descargar de las tareas de comunicaciones al resto del sistema.
Los procesadores de comunicaciones, tambin conocidos como nodos, computadoras de
comunicaciones e I.M.Ps ( Interface Message Processors), son los encargados de que la informacin
transmitida por los Host llegue a su destino. Para ello realizan tareas de encaminamiento de la
informacin a travs de la sub-red. Cada IMP se encuentra permanentemente preparado para la
recepcin por cualquiera de sus lneas. Cuando llega una unidad de informacin por alguna de sus
entradas, evala en funcin de la direccin destino de la misma y el conocimiento del IMP sobre la red
cul debe ser la lnea de salida. A cada uno de estos procesos de recepcin, evaluacin y transmisin se
le denomina salto hop. Eventualmente, y tras un nmero finito de hops, la informacin ser entregada
por el IMP correspondiente al host destino.
Las lneas de comunicaciones interconectan entre s a los procesadores de comunicaciones y a stos
con los Hosts. Pueden ser de dos tipos: lneas punto a punto o multipunto.
Las lneas punto a punto unen entre s dos extremos fijos. Habitualmente existir un emisor y un
receptor. Son, por tanto, eminentemente unidireccionales, aunque con una gestin adecuada es posible
utilizarlas en ambos sentidos no simultneamente.
Cuando en una lnea de comunicaciones existe un emisor y un receptor fijos, es decir, la informacin
viaja en un slo sentido, se dice que la lnea es simple (simplex). Por el contrario, cuando el papel de
emisor puede ser adoptado por ambos equipos, pero no simultneamente se dice que la lnea es
semiduplex (half-duplex).
Para permitir la comunicacin bidireccional simultnea entre dos equipos seran necesarias dos
comunicaciones simples. Este tipo de lneas se denomina duplex (full-duplex).
Uno de los aspectos ms importantes de las redes con lneas punto a punto es la topologa, es decir,
cmo se interconectan entre s todos los nodos. De la topologa dependern en gran medida las
prestaciones de la red, su coste, su facilidad de ampliacin, sus posibilidades de congestin.
Las lneas multipunto comunican varios nodos, siendo posible que cualquiera de ellos utilice la lnea
tanto como emisor como receptor. Esto permite reducir el nmero de lneas de comunicaciones, y
permitir que todos los nodos se encuentren a una distancia de un nico hop. Sin embargo, resulta
imposible que una nica lnea sea utilizada simultneamente por ms de un nodo, por lo que es
Ing. Ricardo Trejo R.

17

ADMINISTRACIN DE LA FUNCIN INFORMTICA

necesario establecer algunas reglas. El mecanismo de acceso al medio, es decir, qu acciones debe
seguir un nodo para utilizar una lnea multipunto, ser el factor determinante de la velocidad de la red. La
fiabilidad del sistema, por el contrario, ser muy elevada con respecto a fallos en los nodos pero nula en
cuanto a fallos en la lnea comn.

Nomenclatura ITU

ITU (International Telecommunications Union) es un organismo internacional que agrupa a las

compaas de telecomunicaciones, tales como Telefnica, British Telecomm, ATT.
Esta organizacin procede de la antigua CCITT (Comit Consultivo Internacional de Telfonos y
Telgrafos), con las mismas funciones y mltiples estndares. Sus trabajos, respaldados por la ONU,
establecieron una nomenclatura segn la cual se distinguen los siguientes elementos:
o

Sub-red: Se trata de un elemento gestionado por los denominados proveedores del servicio, es
decir, las compaas telefnicas. Por ello, no se describen los elementos que forman parte de
ella.

Equipos terminales de Datos (ETDs): Son los elementos que desean comunicarse, tpicamente
computadores que ejecutan procesos de usuario, aunque existen otras opciones (terminales
tonitos, equipos de videotexto). Tambin se denominan DTE ( Data Terminal Equipement)
Equipos terminales del circuito de Datos ( ETCD) DCE (Data Circuit Terminal Equipement).
Son los elementos que permiten la interconexin entre el DTE y la sub-red. Un ejemplo de esto
son los MDEM telefnicos.

Estndares
En el mundo de la teleinformtica resulta muy frecuente la interconexin de mquinas de distintos
fabricantes. Para ello es necesario que todos los computadores involucrados en la comunicacin sean
capaces de transmitir e interpretar la informacin utilizando los mismos protocolos. Para conseguir esto
aparecen los estndares de comunicaciones.
Podemos definir un estndar como una normativa comnmente aceptada por fabricantes y usuarios. As,
podremos distinguir dos tipos de estndares:
Estndares que han sido promovidos por algn organismo, tanto nacional como internacional.
Estndares que proceden de fabricantes y que, sin ser obra de ningn organismo, se imponen
por motivos tcnicos o de marketing.
Los primeros son los conocidos como estndares de jure, mientras que los segundos son los estndares
de facto.
Los organismos emisores de estndares de jure son los siguientes:
o

ITU ( International Telecommunication Union): Es el organismo que agrupa a las compaas

proveedoras de servicios telefnicos de multitud de pases, entre ellas Telefnica. Procede del
antiguo CCITT (Comit Consultivo Internacional de Telfonos y Telgrafos). Sus normas son
sobre todo relativas a DCEs y su conexin con los DTEs. Se denominan mediante una letra y
un nmero. (p.e. X.25, X.500, V.22, V32).

Ing. Ricardo Trejo R.

18

ADMINISTRACIN DE LA FUNCIN INFORMTICA

IEEE (Institute of Electrical and Electronics Engineers): A pesar de no ser un organismo

internacional.

ISO ( International Standards Organization): La organizacin internacional de estandarizacin

agrupa a los organismos nacionales de casi todos los pases, entre los que destacan
ANSI (American National Standards Institute), DIN (Alemania), AFNOR (Francia) , BSI (Gran
Bretaa).

IAB (Internet Arquitecture Board): Este organismo supervisa las normas empleadas en Internet.
Consta bsicamente de dos organismos: IRTF (Internet Research Task Force) e IETF (Internet
Engineering Task Force), encargadas respectivamente de la investigacin y el desarrollo de
estndares en Internet.

El mecanismo para la creacin de las normas pasa por los RFCs (Request For Comments), un
documento pblico al cual todo usuario de Internet puede hacer crticas. Tras varias fases, este
documento pasar al estado STD, siendo considerado desde entonces un estndar establecido.
Los estndares de facto suelen ser propuestas por un fabricante y adoptadas por otros para sus
productos. Responden a la falta de normativa en bastantes de los aspectos de la informtica en los
primeros tiempos. Ejemplos de estndares de este tipo son el lenguaje de comandos Hayes o el interfaz
Centronics para impresoras. Estos estndares suelen acabar convertidos en estndares de jure cuando
algn organismo de los anteriormente citados los adopta.

5.6

Estndares de documentacin

Open Document?
El Formato de Documento Abierto para Aplicaciones Ofimticas de OASIS (en ingls, OASIS Open
Document Format for Office Applications), tambin referido como Open Document u ODF, es un formato
de fichero estndar para el almacenamiento de documentos ofimticos tales como hojas de clculo,
memorandos, grficas y presentaciones.
Su desarrollo ha sido encomendado a la organizacin OASIS (acrnimo de Organization for the
Advancement of Structured Information Standards) y est basado en un esquema XML inicialmente
creado por Open Office?.org.
Open Document fue aprobado como un estndar OASIS el 1 de mayo de 2005. Asimismo fue publicado
el 30 de noviembre de 2006 como estndar ISO 26300, alcanzando la fase 60.60 del proceso de
estandarizacin.
Por otra parte la versin 1.1 de la especificacin fue aprobada el 25 de octubre de 2006 por el comit de
estandarizacin de OASIS. El estndar fue desarrollado pblicamente por un grupo de organizaciones,
es de acceso libre, y puede ser implementado por cualquiera sin restriccin. El formato Open Document
pretende ofrecer una alternativa abierta a los formatos de documentos propiedad de Microsoft cuyos
requisitos de licencia impiden su empleo a diversos competidores.
La motivacin principal para usar formatos estndar reside en que las organizaciones e individuos que lo
hacen evitan la dependencia de un nico proveedor de software, permitindoles cambiar de entorno
informtico si su proveedor actual es expulsado del mercado o cambia su modelo de licencia en trminos
menos favorables para el cliente.
Open Document es el primer estndar para documentos ofimticos implementado por distintos
competidores, visado por organismos de estandarizacin independientes y susceptibles de ser
implementado por cualquier proveedor.

Ing. Ricardo Trejo R.

19

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Estandarizacin y licencia
La versin 1.0 de la especificacin de Open Document fue aprobada como estndar OASIS en mayo de
2005 y est disponible para descarga y uso libres. La especificacin se puede licenciar en trminos
recprocos por cualquier parte siempre que no estn sometidos a cuotas. Los trminos de la licencia son
equivalentes a los promovidos por otras organizaciones de normalizacin, tales como el W3C, y
pretenden evitar el conflicto entre las cuestiones relativas a la propiedad intelectual y la promocin de la
innovacin tecnolgica.
El proceso de estandarizacin incluy a desarrolladores de muchas aplicaciones de oficina o
relacionadas con sistemas de documentacin, incluyendo (en orden alfabtico):

Adobe (Framemaker, Distiller).

Arbortext (Arbortext Enterprise Publishing System).

Corel (Word Perfect) IBM (Lotus 123, Workplace).

KDE (K Office?).

Speed Legal? (Smart Precedent? enterprise document assembly system); producto y compaa
despus cambiaron de nombre a Exari.

Sun Microsystems / Open Office.org (Open Office?).

El proceso de la estandarizacin de Open Document tambin incluy a muchos usuarios, especialmente

algunos con necesidad de manejar documentos complejos, o de poder recuperarlos bastante tiempo
despus de haber sido creados.
Algunos usuarios implicados en el proceso de la estandarizacin fueron (alfabticamente):

Boeing (documentos grandes y complejos).

Intel (documentos grandes y complejos; desarrollan textos de prueba).

National Archive of Australia (acceso a documentos mucho tiempo despus de su composicin).

New York State Office of the Attorney General (documentos grandes y complejos que requieren
acceso mucho tiempo despus de su composicin).

Society of Biblical Literature (grandes documentos polglotas, con capacidad de acceso despus
de largo tiempo).

Microsoft tambin impone condiciones adicionales de licencia para usuarios de su formato; muchos
creen que estas condiciones adicionales inhiben la competencia, y forman parte del intento de Microsoft
de proteger su virtual monopolio en aplicaciones para oficina; otros esperan que los hechos obligarn a
Microsoft a desistir del intento de imponer su propio formato, del mismo modo que se vio obligado en la
dcada de 1990 a abandonar sus estndares de Internet para adoptar estndares abiertos.
Finalmente, en mayo de 2008, Microsoft anunci que, en algn momento del primer semestre de 2009,
lanzar el Service Pack 2 (SP2) para Microsoft Office 2007, el cual incluir, entre otros cambios,
compatibilidad directa, relativamente integrada y completa, con los estndares ODF y PDF, permitiendo
incluso configurar ODF como formato por defecto en las principales aplicaciones de su paquete
ofimtico.

Ing. Ricardo Trejo R.

20

ADMINISTRACIN DE LA FUNCIN INFORMTICA

Las iniciativas de estandarizacin no slo aseguran un mercado limpio y competitivo, sino que aseguran
la interoperabilidad de las soluciones, preservando la competencia y la innovacin.
Las recomendaciones incluyen:

Los actores de la industria no involucrados an en el Open Document Format de OASIS deben

considerar participar en el proceso de estandarizacin a fin de alentar un amplio consenso de la
industria en torno al formato.

Microsoft debe considerar la publicacin de un compromiso en el sentido de publicar y facilitar un

acceso no discriminatorio a las versiones futuras de su especificacin XML para Word.

Microsoft debe considerar la conveniencia de remitir los formatos XML a un organismo

internacional de estandarizacin de su eleccin.

Se recomienda al sector pblico a proporcionar su informacin a travs de varios formatos.

Cuando por circunstancias o por eleccin se proporcione slo un formato editable, ste debera
ser uno en torno al que exista un consenso en la industria, como se demuestra por la adopcin
del formato como estndar. (TAC, 25 de mayo de 2004).

Open Document es ya un estndar reconocido por un organismo independiente (OASIS), y ha sido

remitido a la ISO, sin que exista evidencia de que los formatos XML de Microsoft, o los antiguos
DOC/PPT/XLS vayan a sufrir un proceso anlogo.
Tal y como muchos esperaban ISO ha aceptado y aprobado Open Document por el procedimiento
rpido, y ahora slo queda que la Unin Europea establezca este formato como estndar ofimtico ya
que ha sido ratificado dicho estndar por ISO.
En noviembre de 2007 Holanda estableci, por ley, una fecha lmite para las administraciones pblicas
para la adopcin de estndares abiertos. Massachusetts A principios de 2005, Eric Kriss, Secretario de
Administraciones Pblicas y Hacienda de Massachusetts, estableci como uno de los principios de su
administracin el compromiso de utilizar formatos abiertos en la siguiente declaracin:
Es absolutamente imperativo para el sistema democrtico de los EEUU que perdamos la prctica de
tener nuestros documentos pblicos cautivos en un formato exclusivo, sea ste el que sea,
arriesgndonos a que en el futuro el documento sea quizs ilegible o est sujeto a un sistema de
licencias exclusivo que restrinja su acceso.
El 21 de septiembre de 2005, Massachusetts se convirti en el primer estado norteamericano en aprobar
formalmente los diferentes formatos Open Document para su uso en los registros pblicos, a la vez que
se rechazaba el formato basado en XML propuesto por Microsoft, su principal proveedor actual, por no
ser considerado abierto. Si Microsoft decide no dar soporte a Open Document para 2007, fecha lmite
definida por el Estado, se descalificar de consideracin futura por el Estado de Massachusetts.
El objetivo principal es que las aplicaciones basadas en software ofimtico cumplan estas
especificaciones (tanto si es software licenciado, como si es de fuente abierta, o libre) y que de este
modo muchos desarrolladores puedan hacer aportaciones al mercado de las TIC educacionales.

Ing. Ricardo Trejo R.

21

ADMINISTRACIN DE LA FUNCIN INFORMTICA

5.7

Estndares de mantenimiento

De la definicin de mantenimiento del estndar IEEE 1219 cabe distinguir tres causas fundamentales
que desencadenan las actividades de mantenimiento.
Las causas u origen de las actividades de mantenimiento del software pertenecen a tres grupos
principales:
Eliminacin de defectos del producto software.
Las causas por tanto son todas ellas resultado de tener que modificar el software para que cumpla con
los requisitos del usuario ya establecidos.
Adaptar el producto software a.
Para que siga cumplindolos cuando cambia su entorno.
Incluir mejoras en el diseo.
Cuando se quiere mejorar la manera en que los cumple.
Por otro lado, la definicin anterior implica que el mantenimiento debido a los defectos es a posteriori, es
decir, se desencadena cuando el defecto tiene como resultado un fallo que se detecta.
En ocasiones, se realizan actividades de mantenimiento preventivo, que intentan detectar y corregir
fallos latentes (que se supone pueden existir, aunque an no se han manifestado).
Estas causas tienen su correlacin directa con las denominadas categoras de mantenimiento, que en
el estndar ISO/IEC 147641 incluye las siguientes categoras definidas por Lientz y Swanson 2(1978)
que son:

Mantenimiento correctivo: modificaciones reactivas a un producto software hechas despus de la

entrega para corregir defectos descubiertos.

Mantenimiento adaptativo: modificacin de un producto software realizada despus de la entrega

para permitir que un producto software siga pudindose utilizar en un entorno diferente.

Mantenimiento perfectivo: modificacin de un producto software despus de la entrega para

mejorar el rendimiento o la mantenibilidad.

Una consecuencia importante de las definiciones anteriores es que no se considera mantenimiento a los
cambios introducidos para incluir nuevos requisitos funcionales. No obstante, no hay un consenso
unnime en este sentido, y de hecho, el concepto de evolucin del software ampla el espectro del
mantenimiento a cambios en un sentido amplio. De hecho, hay autores que consideran que el
mantenimiento perfectivo s incluye cambios en la funcionalidad.
Las categoras adaptativa y perfectiva son ambas mejoras, en contraposicin el mantenimiento
correctivo.
Por ltimo, un estndar de mantenimiento del IEEE (1998) define una categora adicional, la de
mantenimiento de emergencia, cuando los cambios se deben hacer sin planificacin previa, para
mantener un sistema en operacin. Todas las anteriores definiciones son las que se encuentran
habitualmente en los libros. No obstante, la clasificacin ms exhaustiva se encuentra en el artculo de
Chapin (2001).

Ing. Ricardo Trejo R.

22