Creación de recursos compartidos en una red

Para empezar definiremos los recursos compartidos, examinaremos los recursos que se pueden
compartir en una red y veremos quién puede definir los recursos compartidos.

Cómo compartir recursos en una red

Antes de que pueda compartir recursos con otro equipo, su equipo tiene que tener instalado un
software cliente y tiene que estar configurado como cliente de una red. Tendrá que configurar la
identidad del equipo en la red, permitir la compartición y definir privilegios de acceso para los
recursos que quiera compartir en un equipo. El procedimiento para instalar y configurar el
software del cliente depende del sistema operativo que esté utilizando y del sistema operativo de
red con el que esté tratando de compartir los recursos.

Cómo compartir ficheros y archivos

En su forma más sencilla, compartir recursos entre equipos no es más que el paso de archivos
de un equipo a otro mediante disquetes. Este método impone restricciones severas en el volumen
de los datos, en la velocidad y en la distancia entre los puntos que comparten los datos, pero no
obstante, este método suele ser útil.

Otra técnica para compartir recursos es conectar directamente dos equipos a través del puerto
de comunicaciones serie (COM) de cada equipo. Para conectar los equipos de esta forma se
requiere un cable de conexión directa y software de comunicaciones serie. (Un cable de conexión
directa conecta los pines de salida del puerto serie de un equipo con los pines de entrada del
puerto serie del otro.)

Para que se pueda utilizar la conexión física entre los dos equipos, es necesario que en cada
equipo esté instalado un software de comunicaciones. Tiene que configurar un equipo como host,
o servidor, y otro como cliente. De esta forma, el equipo cliente tendrá acceso a los datos del
host. Aunque esto no es realmente una red de área local (LAN), es una forma práctica de
proporcionar una conexión temporal entre equipos para la transferencia de archivos. Las
conexiones directas por cable se suelen utilizar para compartir archivos entre un equipo de
sobremesa y un ordenador portátil.

Compartir información de una forma eficiente no es tan sencillo como conectar con cables los
equipos. En un entorno de red, con muchos usuarios y requerimientos de trabajo, hay que definir
privilegios de acceso, o permisos. Esto permite a los usuarios de la red acceder a la información
correspondiente a las necesidades de su trabajo, mientras que se bloquea el acceso a accesos no
autorizados a datos confidenciales o de valor.

Compartir en un entorno  Trabajo en Grupo

La forma más sencilla y conveniente de trabajar en red es  Trabajo en Grupo. En este entorno
de red, los datos se comparten a nivel de unidad de disco o de carpeta. Se puede compartir
cualquier unidad de disco o cualquier carpeta de una unidad de disco. Cada equipo comparte su
unidad o sus carpetas en la red y cada usuario es responsable de configurar su forma de
compartir.

Software

Para compartir en una red  Trabajo en Grupo, independientemente del sistema operativo que se
esté utilizando, primero hay que habilitar en el equipo el compartir archivos e impresoras. Cada
sistema operativo tiene sus propios métodos para definir los recursos compartidos.

Cómo compartir impresoras, unidades de disco y carpetas

Una vez que se ha habilitado la compartición de recursos, puede decidir qué unidades de disco,
carpetas e impresoras están disponibles en la red. Las opciones de compartir incluyen discos
duros, unidades de CD-ROM, unidades de disquete y carpetas. Para definir una impresora o una
de estas unidades de disco como un recurso compartido, tiene que definir cada uno como un
recurso compartido y asignarle un nivel de acceso. (No se pueden compartir dispositivos como
escáneres o módems.) Recuerde que una vez que un recurso está compartido en una red Trabajo
en Grupo, estará disponible en toda la red.

Redes Microsoft Windows 95 y 98

Software

Microsoft Windows 95 y 98
incluyen varias opciones de
software de cliente. El más
habitual es Cliente para redes
Microsoft de Microsoft. Para
instalar el Cliente para redes
Microsoft, abra el Panel de control
y haga doble clic en el icono Red.
Haga clic en Agregar para que
aparezca el cuadro de diálogo
Seleccione Cliente de red. Como
está añadiendo un cliente de red
Microsoft, seleccione Cliente y, a
continuación, haga clic en
Agregar.

Seleccione Microsoft en la lista

Fabricantes y seleccione Clientes
para redes Microsoft en la lista
Clientes de red. Para añadir al
sistema el servicio de cliente
seleccione Aceptar.

En este momento, necesitará

añadir un protocolo de red. El
cliente para redes Microsoft se
puede utilizar con los protocolos
IPX/SPX, NetBEUI y TCP/IP.
Seleccione el protocolo apropiado
para su entorno de red.

Una vez que haya instalado el

software del Cliente para redes
Microsoft podrá compartir
recursos que utilice el protocolo SMB (Bloque de mensajes del servidor) para compartir archivos.
Esto incluye a cualquier equipo que utilice Windows 95 o 98, Windows NT Workstation, Windows
para trabajo en grupo o LAN Manager.

Cómo compartir impresoras, unidades de disco y carpetas

Una vez que ha definido la red en su equipo, puede compartir en la red directorios, carpetas e
impresoras. Para compartir estos recursos tiene que activar Compartir impresoras y archivos.
 Haga clic con el
botónderecho sobre
el icono Entorno de
red y seleccione
Propiedades del
menú para abrir el
cuadro de diálogo
Red. A continuación,
haga clic en el botón
Compartir
impresoras  y archivo
s.

El cuadro de
diálogo Compartir
impresoras  yarchivos
contiene dos casillas
de verificación:

 Permitir que
otros usuarios
tengan acceso a mis
archivos. 
 Permitir que otros usuarios impriman en mis impresoras.

Puede seleccionar cualquiera de las dos casillas de verificación, o incluso las dos. Una vez que
haya activado las casillas de verificación deseadas, puede comenzar a compartir los recursos de su
equipo.

Aunque haya activado la compartición de recursos en su equipo, sus recursos no estarán

disponibles en la red hasta que no haya indicado qué recursos desea compartir. Para compartir
una unidad de disco o una carpeta, abra el Explorador de Windows, haga clic con el botón derecho
sobre el icono de la unidad de disco o sobre el de la carpeta y seleccione Compartir en el menú.
Esto muestra la ficha Compartir en el cuadro de diálogo Propiedades correspondiente a la unidad
de disco o a la carpeta.

Si selecciona el
botón de opción
Compartido como
puede definir el
nombre y añadir una
breve descripción al
recurso compartido.
(El botón de opción es
un pequeño círculo
que aparece en el
cuadro de diálogo al
lado de cada opción;
cuando se
seleccionan, aparece
dentro de ellos un
pequeño círculo
negro.) En el área
Tipo de acceso del
cuadro de diálogo
puede seleccionar el
botón de opción
correspondiente a
cualquiera de los tres
tipos de acceso. La
selección de Sólo de
lectura restringe el
acceso a una carpeta
de forma que su
contenido pueda ser
leído y copiado, pero nunca puede ser modificado. Si selecciona Total se permite el acceso
completo al contenido de la carpeta; y si selecciona Depende de la contraseña obliga a que el
usuario tenga que introducir una contraseña para acceder al recurso.

Nota: Cuando se comparte un dispositivo o un recurso, verá que en Mi PC o en el Explorador de Windows

aparece una mano como parte del icono.

En el entorno de Windows NT, puede incorporar las características de seguridad que

proporciona el sistema de archivos NTFS. Este sistema de archivos es una base de datos relacional
en que todo es considerado como un archivo.

Software

Para instalar el software de red, hay disponibles varios protocolos:

 Cliente para redes NetWare.

 Cliente para redes Microsoft.
 NWLink NetBIOS.
 Protocolo compatible con NWLink IPX/SPX/NetBIOS.
 Protocolo Internet (TCP/IP).

Para poder definir recursos compartidos en Windows NT Server, tiene que tener derechos de
administrador.

Cómo compartir directorios y archivos

Para compartir una carpeta

localmente (tiene una sesión
en una estación de trabajo),
haga clic con el botón derecho
en el icono de la carpeta y
seleccione la opción
Compartir. Esto abrirá el
cuadro de diálogo
Propiedades. Aparecerá
seleccionada la ficha
Compartir.

El número máximo de
conexiones que se pueden
definir en Windows NT
Workstation es 10. La
configuración de este valor es
opcional.

Asigne permisos a la
carpeta compartida. A través
de los cuadros de diálogo,
puede limitar el número de
personas que pueden acceder
a su carpeta o dar permiso a
todos. Si hace clic en el botón
Nuevo recurso puede
configurar varios recursos
compartidos utilizando
distintos nombres y
asignando diferentes niveles
de permisos.

Para compartir las carpetas y las unidades de disco en Windows 2000, tiene que estar
conectado como un miembro del grupo Administradores, Operadores de servidor o Usuarios
avanzados.
 Para compartir una carpeta o una unidad de disco en Windows 2000, abra el Explorador de
Windows y localice la carpeta o unidad de disco que desee compartir. (Para abrir el Explorador de
Windows, haga clic en Inicio, señale Programas, señale Accesorios y, a continuación, haga clic en
el Explorador de Windows.) Haga clic con el botón derecho y luego haga clic en Compartir. Haga
clic en Compartir esta carpeta de la ficha Compartir.

Para cambiar el nombre de la unidad de disco o de la carpeta compartida, introduzca un nombre

nuevo en Nombre del recurso compartido. El nombre nuevo es el que verán los usuarios cuando se
conecten a esta carpeta o unidad de disco compartida. El nombre actual de la carpeta o de la
unidad de disco no cambia.

Para añadir un
comentario a la carpeta o
unidad de disco
compartida, introduzca el
texto deseado en
Comentario. Para limitar el
número de usuarios que
pueden conectarse a la vez
a una carpeta o a una
unidad de disco
compartida, haga clic en
Permitir debajo de Límite
de usuarios, e introduzca a
continuación el número de
usuarios.

Cómo compartir
impresoras

Para compartir una

impresora Windows
NT/Windows 2000 en una
red Windows NT, haga clic
en Inicio, seleccione
Configuración y haga clic
en Impresoras. Haga clic
con el botón derecho en la
impresora que va a
compartir y seleccione
Compartir en el menú.
Haga clic en el botón
Compartir como e
introduzca un nombre que
pueda identificar
claramente a la impresora en la red. Una vez que haya compartido e identificado la impresora,
puede configurar la seguridad de la impresora.

Redes AppleShare

Software

El software de servidor de archivos de Apple se denomina AppleTalk. Para compartir recursos

con AppleTalk hay que seguir estos pasos:

 Para seleccionar un puerto de red. Seleccione el submenú AppleTalk del Panel de

control y poder abrir el cuadro de diálogo AppleTalk. Ahí puede seleccionar el puerto de conexión
de red apropiado.
 Para activar AppleTalk. Para activar AppleTalk en un equipo, el equipo tiene que estar
conectado a una red AppleTalk. Para hacer eso, abra Apple Chooser y active el botón de opción
Apple Talk.
 Para compartir recursos. Defina su identidad en la red asignando un nombre al equipo.
Luego active el modo de compartir en el cuadro de diálogo File Sharing del Panel de control de
Apple.
Cómo compartir unidades de disco y carpetas

Al igual que en las redes  Trabajo en Grupo, AppleShare proporciona una forma de compartir a
nivel de carpeta, pero no a nivel de archivo. Si el propietario del equipo que comparte un recurso
ha definido algún archivo o carpeta para que se pueda compartir, estarán disponibles a cualquiera
que se conecte.

El propietario de una carpeta configura el modo de compartir una carpeta abriendo la ventana
de compartir carpeta. Desde el menú Choose File, seleccione Get Info y haga clic en Sharing. Para
cada usuario o grupo listado, el propietario establece uno de los privilegios siguientes para
trabajar con la carpeta:

 Lectura y escritura.
 Sólo lectura.
 Sólo escritura (cuadro desplegable).
 Ninguno.

Las restricciones también se pueden definir para las carpetas compartidas de forma que no
puedan ser modificadas por otras personas distintas al propietario. Para establecer esta
restricción, abra el cuadro de diálogo Sharing Info y active la casilla de verificación Can’t move,
rename, or delete this item (locked).

Cómo compartir impresoras

Para compartir una impresora que esté conectada directamente a un equipo Apple, abra el
cuadro de diálogo Apple Chooser y seleccione la impresora que desea compartir. A continuación,
haga clic en el botón Setup para abrir el cuadro de diálogo Sharing Setup. En este cuadro de
diálogo, puede activar la casilla de-verificación Share this Printer e introducir un nombre y una
contraseña (opcional) para la impresora. También puede activar la casilla de verificación Keep Log
of Printer Usage si desea guardar información sobre la utilización de la impresora.

UNIX

El sistema operativo UNIX existe en un gran número de configuraciones y está disponible a

través de varios fabricantes, o en el caso de Linux, desde una entidad que no se corresponde de
ninguna manera con una compañía. El soporte de UNIX para la interoperabilidad con otros
sistemas operativos de red depende del fabricante. Por ejemplo, Solaris Easy Access Server de
Sun, incluye un soporte nativo para muchos servicios de red Windows NT, como la autenticación,
servicios de archivos e impresoras y servicios de directorio. Las distribuciones de Linux incluyen
módulos de acceso Apple para el acceso AppleTalk, software de terceros como Samba, que hace
que los sistemas de archivos UNIX estén disponibles para cualquier equipo de la red que utilice el
protocolo para compartir archivos SMB y módulos para acceder a los sistemas de archivos NTFS y
MS-DOS.

Compartir en una red cliente/servidor

Compartir carpetas en una red basada en un servidor es similar a compartir en una red  Trabajo
en Grupo. La principal diferencia está en el nivel de seguridad disponible, que se consigue con los
servicios de directorio del servidor. Microsoft Windows NT Server y Novell NetWare proporcionan
permisos a nivel de archivo, además de permisos a nivel de impresora, unidad de disco y
directorio.

Novell

A diferencia de otros sistemas operativos de red, NetWare no necesita activar el modo de

compartición para hacer que estén disponibles los recursos del servidor. Esta activación
automática es un parámetro predeterminado de una red NetWare.

Una segunda diferencia es que el acceso a los recursos compartidos se realiza a través de los
privilegios de cuenta de usuario y de grupo. En otras palabras, las impresoras, directorios y
archivos no están propiamente restringidos.
 Definición y gestión de cuentas de red
A medida que aumenta el tamaño de la red, el hecho de compartir recursos en ésta puede
comenzar a presentar problemas. Por ejemplo, en las redes Trabajo en Grupo, se sacrifica un
grado de seguridad para ofrecer sencillez. Pero imagine las consecuencias de compartir un
directorio de su departamento de contabilidad (o del departamento de personal) en toda la red y
quizá en todo el mundo a través de una conexión Internet. Por estas razones, entre otras, las
redes de gran tamaño utilizan redes basadas en servidor. En un entorno cliente/servidor, los
recursos compartidos se gestionan mediante cuentas. La creación de cuentas y la agrupación de
cuentas, son una herramienta necesaria para que el administrador proporcione un mayor nivel de
seguridad.

Cuentas de red

Las cuentas son la forma con la que los usuarios tienen acceso a impresoras, archivos y
directorios compartidos. Estas cuentas son creadas y gestionadas por el administrador de la red.

Una cuenta está compuesta de un nombre de usuario y de unos parámetros de inicio de sesión
establecidos para ese usuario. Estos parámetros pueden incluir desde qué equipos se puede
acceder, durante qué días y qué horas está permitido el acceso, contraseñas y demás. Esta
información es introducida por el administrador y se guarda en la red por el sistema operativo. La
red utiliza este nombre de cuenta para comprobar la cuenta cuando un usuario intente iniciar una
sesión.

Planificación de grupos

Las cuentas de grupo no tienen privilegios de forma predeterminada. Todas las cuentas de
usuario obtienen sus derechos a través de la pertenencia a un grupo Todas las cuentas de usuario
de un grupo podrán tener ciertos privilegios de acceso y actividades en común, de acuerdo con el
grupo en el que estén. Si el administrador asigna derechos y permisos a un grupo, puede tratar al
grupo como una cuenta.

Los derechos de acceso que se aplican a todo el sistema autorizan a un usuario a req lizar
ciertas acciones sobre el sistema. Por ejemplo, un usuario, como miembro de up grupo, puede
tener el derecho de realizar una copia de seguridad del sistema.

Los grupos se utilizan para:

 Dar acceso a los recursos como archivos, directorios e impresoras. Los permisos que se
asignan a un grupo, se asignan automáticamente a sus miembros.
 Dar derechos para realizar tareas del sistema, como realizar y restablecer copias de
seguridad o cambiar la hora del sistema.
 Reducir la comunicación reduciendo el número de mensajes que se necesitan crear y
enviar.

Creación de cuentas de grupo

Las redes pueden soportar cientos de cuentas. Hay ocasiones en las que el administrador tiene
que realizar operaciones sobre algunas o todas las cuentas. Por ejemplo, a veces el administrador
necesita enviar mensajes a un número elevado de usuarios para avisarles de algún evento o de
una directiva de red. El administrador podría necesitar identificar cada cuenta que realiza un
acceso determinado. Si hay que cambiar el acceso a 100 usuarios, el administrador tendrá que
cambiar 100 cuentas.

En cambio, si las 100 cuentas estuviesen colocadas en un grupo, bastaría con que el
administrador enviase un mensaje a la cuenta del grupo, y cada miembro del grupo recibiría
automáticamente el mensaje. Se podrían definir permisos para el grupo, y todos los miembros del
grupo recibirían automáticamente los permisos. Las redes ofrecen una forma de reunir varias
cuentas de usuario separadas en un tipo de cuenta denominada un grupo. Un grupo no es más
que una cuenta que contiene otras cuentas. La principal razón para implementar los grupos es la
de facilitar la administración. Los grupos son la forma apropiada para ayudar al administrador a
gestionar un número elevado de usuarios como una única cuenta.

La forma más sencilla de conceder permisos similares a un número elevado de usuarios es

asignar los permisos a un grupo. Luego se añaden los usuarios al grupo. Se sigue el mismo
proceso para añadir usuarios a un grupo existente. Por ejemplo, si el administrador necesita que
cierto usuario tenga capacidades administrativas en la red, el administrador hará a ese usuario
miembro del grupo Administradores.

Creación de cuentas de usuario

Todas las redes tienen una utilidad que puede ser utilizada por el administrador de forma que
pueda introducir nuevos nombres de cuenta en la base de datos de seguridad de la red. A este
proceso se le suele denominar como «creación de un usuario».

Hay algunos convenios para la denominación de usuarios y grupos. A no ser que se diga lo
contrario, en el equipo que se está administrando (y en el caso de Windows NT, en el dominio), un
nombre de usuario no puede ser igual que otro nombre de usuario o de grupo. Cada sistema
operativo de red tiene su propio conjunto de caracteres que pueden ser utilizados, pero
normalmente, el nombre de usuario puede contener cualquier carácter alfanumérico en mayúscula
o minúscula. Hay algunas excepciones estándar « / \ : ; I =, + *? < > que no se pueden utilizar
en nombres de usuario.

Los sistemas operativos de red también pueden contener información como el nombre completo
del usuario, una descripción de la cuenta o del usuario, y la contraseña de la cuenta.

Introducción de la información del usuario: La nueva cuenta de usuario contiene

información que define a un usuario en el sistema de seguridad de la red. Ésta incluye:

 El nombre de usuario y contraseña.

 Privilegios del usuario para acceder al sistema y a sus recursos.
 Los grupos a los que pertenece la cuenta.

Configuración de los parámetros del usuario: Los administradores pueden configurar una

serie de parámetros de los usuarios. Entre ellos están:

 Tiempos de conexión. Para restringir las horas a las que se pueden conectar los
usuarios.
 El directorio inicial. Para dar al usuario un lugar en el que pueda guardar sus archivos.
 La fecha de caducidad. Para limitar el acceso temporal de un usuario a la red.

Cuentas de usuario clave: Los sistemas operativos de red están diseñados con ciertos tipos
de cuentas de usuario creadas y que se activan automáticamente durante la instalación.

La cuenta inicial: cuando se instala un sistema operativo de red, el programa de instalación

crea automáticamente una cuenta con autoridad plena sobre la red. Entre otras tareas puede:

 Iniciar la red.
 Configurar los parámetros de seguridad iniciales.
 Crear otras cuentas de usuario.

En el entorno de red Microsoft, esta cuenta se denomina  administrador. En el entorno de

Novell, esta cuenta se conoce como supervisor. Y en el entorno de Linux esta cuenta se conoce
como root.

La primera persona que suele conectarse a la red suele ser la persona que instala el sistema
operativo de red. Una vez que inicia la sesión como administrador, esa persona tiene control pleno
sobre todas las funciones de la red.

La cuenta Invitado: esta cuenta predeterminada está dirigida a aquellas personas que no

tienen una cuenta de usuario, pero necesitan acceder a la red de forma temporal.
Contraseñas

Las contraseñas no son necesariamente requeridas por un sistema operativo de red. En

situaciones en las que la seguridad no es un problema, es posible modificar una cuenta de forma
que no vuelva a necesitar una contraseña.

Sin embargo, en la mayoría de las circunstancias, son necesarias las contraseñas para ayudarle
a mantener la seguridad de un entorno de red. Lo primero que debería hacer un administrador al
crear una cuenta es introducir una contraseña inicial. Esto previene que usuarios no autorizados se
puedan conectar como administradores y crear cuentas. Los usuarios podrían crear su propia
contraseña y cambiarla periódicamente. El administrador de la cuenta puede requerir esto a los
usuarios automáticamente configurando una propiedad para el cambio de contraseña en un
intervalo de tiempo.

Hay algunas pautas que se suelen seguir para la utilización de contraseñas. Todos los usuarios,
incluyendo al administrador deberían:

 Evitar contraseñas obvias como las fechas de nacimiento, números de seguridad social o
los nombres de las parejas, hijos, mascotas y demás.
 Recuerde la contraseña en lugar de escribirla en un papel y pegarla en el monitor.
 Recuerde la fecha de caducidad de la contraseña, si es que la hay, de forma que cambie
la contraseña antes de que caduque y así evitar el bloqueo de la cuenta por parte del sistema. 

El administrador debe quedar informado sobre los cambios de empresa de los empleados o si
por algún otro motivo ya no van a ser miembros del grupo. En este caso, el administrador debería
desactivar la cuenta.

Desactivación y eliminación de cuentas

En algunas ocasiones un administrador necesitará prevenir que se acceda a una cuenta de la

red. Para esto podrá desactivar la cuenta o eliminarla.

Desactivación de una cuenta: si una cuenta sólo se desactiva, sigue existiendo en la base de
datos de las cuentas del sistema, pero nadie puede utilizarla para iniciar una sesión en la red. Una
cuenta desactivada es como si no existiese.

Es mejor que el administrador desactive una cuenta una vez que se haya enterado que el
usuario ya no la va a utilizar. En el caso de que la cuenta no vaya a ser utilizada nunca más, habrá
que borrarla.

Eliminación de una cuenta: la eliminación de una cuenta elimina de la red la información del
usuario de la base de datos de las cuentas; el usuario ya no tendrá acceso a la red. Se podrá
borrar una cuenta de usuario cuando:

 El usuario haya abandonado la organización y ya no tenga ninguna razón ocupacional

para utilizar la red.
 Haya acabado el contrato de trabajo del usuario.
 El usuario haya cambiado de puesto de trabajo en la empresa y ya no necesite utilizar la
red.

Administración de cuentas en un entorno Windows NT 

Cuentas de grupo en Windows NT

Microsoft Windows NT utiliza cuatro tipos de cuentas, como se describe en la sección siguiente.

Tipos de grupos

En un entorno de red se utilizar los grupos locales, globales, de sistema e incorporados.

 Grupos locales. Están implementados en la base de datos local de cada equipo. Los
grupos locales contienen cuentas de usuario y otros grupos globales que se necesitan para tener
acceso, y poder definir derechos y permisos sobre un recurso en un equipo local. Los grupos
locales no pueden contener a otros grupos locales.
 Grupos globales. Se utilizan en todo el dominio, y se crean en un controlador principal
de dominio (PDC) en el dominio en el que existen las cuentas de usuario. Los grupos globales
pueden contener sólo cuentas de usuario del dominio en el que se ha creado el grupo global.
Aunque se pueden asignar permisos a los recursos para un grupo global, los grupos globales sólo
se deberían utilizar para agrupar cuentas de usuario del dominio. Los miembros de un grupo
global obtienen permisos para un recurso cuando se añade un grupo global a un grupo local.
 Grupos de sistema. Estos grupos organizan automáticamente los usuarios para la
utilización del sistema. Los administradores no deberían incluir a los usuarios en estos grupos; los
usuarios son miembros predeterminados o se convierten en miembros durante la actividad de la
red. No se puede cambiar la pertenencia.
 Grupos incorporados. Los grupos incorporados son ofrecidos como una característica
por muchas marcas de productos de red, y como su nombre indica, se incluyen con el sistema
operativo de red. Los administradores pueden crear cuentas y grupos con los permisos
correspondientes para realizar tareas típicas de las redes, como son las tareas de administración y
mantenimiento; sin embargo, los fabricantes se han ahorrado el problema de estos grupos y
cuentas proporcionando la creación de grupos locales o globales durante la instalación inicial.

Los grupos incorporados se dividen en tres categorías:

 Miembros del grupo de administradores, que tienen posibilidades para realizar cualquier
tipo de tarea en un equipo.
 Miembros del grupo de operadores, que tienen posibilidades limitadas para realizar ciertas
tareas.
 Miembros de otros grupos, que tienen posibilidades para realizar tareas limitadas. 

Microsoft Windows NT Server ofrece los siguientes grupos incorporados.

El grupo Administradores inicialmente contiene administradores locales y de dominio. Los

miembros de este grupo pueden crear, eliminar y gestionar cuentas de usuarios, grupos globales y
grupos locales. Pueden compartir directorios e impresoras, definir permisos y derechos sobre los
recursos, e instalar archivos y programas del sistema operativo.

Los grupos Usuarios e Invitados, que son globales, contienen usuarios de dominio que
pueden realizar tareas para las que se les haya dado permiso. También pueden acceder a los
recursos a los que se les haya dado permiso. Los grupos de usuarios pueden ser modificados por
los administradores.

El grupo Operadores de servidor, que sólo puede ser modificado por los administradores,
puede compartir y hacer que un recurso deje de estar compartido, bloquear o retirar el bloqueo
del servidor, formatear discos del servidor, iniciar sesiones en los servidores, hacer copias de los
servidores y restaurarlas, y apagar los servidores.

El grupo Operadores de impresión, que sólo puede ser modificado por los administradores,

puede compartir, hacer que una impresora deje de esta compartida y gestionar impresoras. Este
grupo también se puede conectar localmente a los servidores y apagar los servidores.

Los Operadores de copia se pueden conectar localmente, hacer copias de seguridad y

restaurar copias de seguridad del servidor, y apagar servidores.

Los Operadores de cuentas pueden crear, eliminar y modificar usuarios, grupos globales y

grupos locales, pero no pueden modificar los grupos Administradores y Operadores de servidor.

El grupo Duplicadores, que puede ser modificado por los administradores, Operadores de

cuentas y Operadores de servidor, se utiliza junto con el Servicio duplicador de directorios.

Creación de grupos en Windows NT

 La interfaz de gestión de grupos en Microsoft Windows NT, se denomina Administrador de
usuarios para dominios y la puede encontrar en el menú Inicio. Haga clic en Programas y
seleccione Herramientas administrativas (común).

En el
Administrador de
usuarios, haga clic en
Grupo local nuevo en
el menú Usuario.
Esta selección le
presenta un cuadro
de diálogo para
introducir la
información para
crear un nuevo grupo
local.

El campo Nombre
de grupo identifica al
grupo local. Un
nombre de grupo no
puede ser igual que
otro nombre de
grupo o de usuario
en el dominio o equipo que se está administrando. Puede contener cualquier carácter en
mayúscula o minúscula, y no se admiten « / \ : ; I =+ *? < >.

El campo Descripción contiene texto que describe al grupo o a los usuarios del grupo. El campo
Miembros muestra los nombres de usuario de los miembros del grupo.

Una cuenta de grupo recién creada no tendrá miembros hasta que el administrador le asigne
uno o más usuarios existentes. El administrador hace esto haciendo clic en Agregar en el cuadro
de diálogo y seleccionando la cuenta de usuario que desea añadir.

Cuentas de usuario en Windows NT

Todas las herramientas de administración de la red se encuentran en el menú Inicio,

Programas, Herramientas administrativas (Común). La utilidad de red para la creación de cuentas
en Microsoft Windows NT Server se denomina Administrador de usuarios para dominios. Para
administrar cuentas de usuario, haga clic en Inicio, seleccione Programas y haga clic en
Herramientas administrativas (Común).

Una vez que abra el

Administrador de
usuarios, en el menú
Usuario, seleccione la
opción Usuario nuevo.
Aparecerá una ventana
para que introduzca la
información para crear
un nuevo usuario.

Windows NT Server
ofrece una característica
para la copia de cuentas.
Un administrador puede
crear una plantilla que
tenga características y
parámetros comunes a
varios usuarios. Para
crear una cuenta nueva
con las características de
la plantilla, señale la
cuenta plantilla,
seleccione Usuario, Copiar (F8), e introduzca el nombre del nuevo usuario y otra información de
identificación (nombre completo, descripción y demás).

Perfiles

Puede ser útil para un administrador estructurar un entorno de red para ciertos usuarios. Por
ejemplo, esto podría ser necesario para mantener niveles de seguridad, o para evitar que los
usuarios que no estén lo suficientemente familiarizados con los equipos y las redes puedan tener
acceso pleno al sistema.

Entre los perfiles que se suelen utilizar para configurar y mantener los inicios de sesión de los
usuarios, se incluyen:

 Conexión de impresoras.
 Configuración regional.
 Configuración de sonido.
 Configuración de ratón.
 Configuración de la pantalla.
 Otras configuraciones definidas por el usuario.

Los parámetros de los perfiles

pueden incluir condiciones
especiales para las sesiones e
información sobre dónde puede el
usuario guardar archivos
personales.

Después de la instalación,
Microsoft Windows NT Server
desactiva de forma
predeterminada la cuenta
Invitado. Si se quiere utilizar, el
administrador de la red tendrá
que activar la cuenta.

Windows NT Server utiliza la

ventana Propiedades de usuario
en el Administrador de usuarios
para desactivar usuarios. Para
desactivar un usuario, haga doble
clic sobre el nombre de la cuenta,
seleccione la casilla de verificación Cuenta desactivada y a continuación haga clic en Aceptar.
Ahora la cuenta está desactivada.

Para eliminar una cuenta, seleccione la cuenta que desee eliminar en el Administrador de
usuarios y presione la tecla SUPRIMIR. Aparece un cuadro diálogo. Si hace clic sobre Aceptar,
aparecerá otro cuadro de diálogo para pedirle confirmación sobre la eliminación de la cuenta
especificada. Si hace clic sobre Sí eliminará la cuenta; si hace clic sobre No cancelará la operación.

Nota: La eliminación de una

cuenta elimina
permanentemente la cuenta,
junto con sus permisos y
derechos asociados. Si vuelve a
crear la cuenta de usuario con el
mismo nombre no volverá a
restaurar los derechos o
permisos del usuario. Cada
cuenta de un usuario tiene un
identificador de seguridad único
(SID) ; la eliminación y
posterior creación de un usuario
generará un SID nuevo sin
reutilizar el anterior. Los
procesos internos de Windows NT hacen referencia a SID de la cuenta en lugar de al nombre de la cuenta de
usuario o del grupo.
Administración de cuentas en un entorno Apple

El entorno de red predeterminado incluye dos usuarios: la persona que ha instalado el sistema
operativo y un invitado. La administración de una red se convierte en una tarea sencilla mediante
la creación de usuarios y grupos.

Creación de usuarios y grupos

En el Apple Chooser seleccione Users & Groups para abrir el Panel de control de Users A
Groups. Este cuadro de diálogo lista todos los usuarios y grupos de la computadora, y le permite
crear, editar, duplicar y eliminar usuarios y grupos a medida que sea necesario. En AppleShare
hay tres categorías de usuarios:

 Owner.
 User/Group.
 Everyone.

Para crear un usuario nuevo, haga clic en el botón New User e introduzca la información
correspondiente de este usuario. Podrá definir un nombre de usuario, una contraseña, los grupos
a los que pertenece el usuario y si se le permite o no al usuario cambiar la contraseña.

Para crear un grupo nuevo, haga clic en el botón New Group e introduzca la información
correspondiente de este grupo. Podrá definir un nombre de grupo y el nombre de los usuarios que
son miembros del grupo.

Administración de cuentas en un entorno NetWare

La base de la seguridad y las cuentas de NetWare son los Servicios de directorio de NetWare
(NDS,  NetWare Directory Services). Los NDS son una base de datos organizada jerárquicamente.

La seguridad se establece a tres niveles.

 Cuentas. Este nivel incluye nombres de usuario, contraseñas, tiempo de estación y otras
restricciones.
 Derechos de Trustee. Este nivel controla los directorios y archivos a los que puede
acceder un usuario. Entre estos derechos se incluyen la creación, lectura, eliminación o escritura
de archivos.
 Atributos de directorio y archivos. Este nivel determina qué acciones pueden realizar
los usuarios sobre el archivo o sobre el directorio. Entre estas acciones se incluyen compartir,
eliminar, copiar, veo o editar.

NetWare utiliza varios convenios para los nombres. Los nombres tienen que ser únicos, no
pueden incluir espacios y pueden tener hasta 64 caracteres alfanuméricos sin distinguir entre
mayúsculas y minúsculas.

Configuración y administración de usuarios y grupos

Antes de crear, eliminar o administrar usuarios o grupos, tiene que estar conectado a la red
desde una estación de trabajo o desde el servidor con privilegios de administrador. Una vez que se
haya conectado, puede ejecutar la herramienta de administración fácil de Novell (NEAT; Novell
Easy Administration Tool) para comenzar a administrar los usuarios y los grupos. Para hacer esto,
haga doble clic en el icono NEAT. En la parte izquierda de la interfaz de usuario aparecerá el árbol
que muestra todos los objetos de la red y sus relaciones. En la parte derecha aparecen las
propiedades del objeto seleccionado.

Para crear una cuenta de usuario para un usuario nuevo, seleccione User en el menú New de
NEAT o haga clic en el botón Add a New User de la barra de herramientas. Esto abrirá un cuadro
de diálogo en el que podrá introducir la información requerida, incluyendo el nombre completo del
usuario, el nombre de conexión y el directorio inicial.
 Pulse el botón Siguiente para pasar a la página siguiente y añada este usuario a un grupo. Una
vez que haya añadido el usuario a un grupo, haga clic en el botón Siguiente para pasar a la página
siguiente e introducir la información de la contraseña. Si se deja en blanco, el usuario no
necesitará contraseña para iniciar una sesión. Para crear otros usuarios, active la casilla de
verificación Create another user antes de seleccionar el botón Finish.

Para eliminar un usuario, seleccione el objeto User del directorio en el menú NEAT. A
continuación, en el menú Edit, seleccione Delete selected item y haga clic en Yes.

Aviso: Puede tener problemas si elimina un usuario que tenga relaciones con otro objeto, y
dicho objeto está basado en el usuario que quiere eliminar.

La administración de grupos es similar a la administración de usuarios. En el menú NEAT,

seleccione Add a New Group. Esto ejecutará el asistente para nuevos grupos. Asegúrese de seguir
los convenios para los nombres a la hora de asignar un nombre para el grupo. Una vez que haya
creado el grupo, puede seleccionar el grupo y añadirle usuarios.

Nota: Sólo puede añadir los usuarios que aparezcan en el directorio.

Edición de propiedades de usuario o de grupo

Ver o modificar las propiedades de un objeto es sencillo. Abra la herramienta de administración

NEAT y seleccione el icono del objeto del directorio de la parte izquierda. En la parte derecha están
las hojas de propiedades del objeto. Las propiedades del objeto están organizadas en fichas. Las
propiedades de los usuarios están organizadas en cinco fichas (General, Groups, Applications,
Security y Login Script). Las propiedades de los grupos están organizadas en tres fichas (Users,
Security y Applications).

Administración de cuentas en un entorno UNIX

La mayor parte de la información de configuración de UNIX está guardada en archivos de texto

que se pueden ver cuando sea necesario. Estos archivos de texto se pueden editar manualmente
para añadirles usuarios y grupos y configurar sus permisos. Debido a que cada versión de UNIX
varía en los detalles de la forma de modificar estos archivos, los nombres y localizaciones de estos
archivos varían de un fabricante a otro. Lo mismo ocurre con las distribuciones de Linux, en las
que las localizaciones de los archivos y de los directorios pueden ser diferentes. Una interfaz
gráfica suele facilitar al administrador tratar con estas diferencias, ya que los parámetros de
usuario y de grupo se pueden configurar mediante cuadros de diálogo interactivos.

Usuarios y grupos en UNIX

La cuenta inicial, el usuario administrador, suele denominarse  root. El otro nombre a recordar
es nobody. Grupos predeterminados de UNIX pueden ser root, bin, daemon, tty, disk, lp, mail,
news, dialout, trusted, modem, users y demás.

La versión de libre distribución de UNIX conocida como Linux crea una serie de cuentas. Las
cuentas que se crean dependen del sistema operativo base y del software instalado. El usuario
administrador, root, siempre se crea. Se crean otras cuentas predeterminadas, pero no el sentido
que tenemos de las cuentas. Incluyen procesos como el protocolo de transferencia de
archivos (ftp) e impresoras (lp).

Implantación de la seguridad en redes

La planificación de la seguridad es un elemento importante en el diseño de una red. Es mucho
más sencillo implementar una red segura a partir de un plan, que recuperar los datos perdidos.

Planificación de la seguridad de la red

 En un entorno de red debe asegurarse la privacidad de los datos sensibles. No sólo es
importante asegurar la información sensible, sino también, proteger las operaciones de la red de
daños no intencionados o deliberados.

El mantenimiento de la seguridad de la red requiere un equilibrio entre facilitar un acceso fácil a

los datos por parte de los usuarios autorizados y restringir el acceso a los datos por parte de los
no autorizados. Es responsabilidad del administrador crear este equilibrio.

Incluso en redes que controlan datos sensibles y financieros, la seguridad a veces se considera
medida tardía. Las cuatro amenazas principales que afectan a la seguridad de los datos en una red
son:

 Acceso no autorizado.

 Soborno electrónico

 Robo.

 Daño intencionado o no intencionado.

La seguridad de los datos no siempre se implementa de forma apropiada, precisamente por la

seriedad de estas amenazas. La tarea del administrador es asegurar que la red se mantenga fiable
y segura. En definitiva, libre de estas amenazas.

Nivel de seguridad

La magnitud y nivel requerido de seguridad en un sistema de red depende del tipo de entorno
en el que trabaja la red. Una red que almacena datos para un banco importante, requiere una
mayor seguridad que una LAN que enlaza equipos en una pequeña organización de voluntarios.

Configuración de las políticas o normativas

Generar la seguridad en una red requiere establecer un conjunto de reglas, regulaciones y

políticas que no dejan nada al azar. El primer paso para garantizar la seguridad de los datos es
implementar las políticas que establecen los matices de la seguridad y ayudan al administrador y a
los usuarios a actuar cuando se producen modificaciones, esperadas como no planificadas, en el
desarrollo de la red.

Prevención

La mejor forma de diseñar las políticas de seguridad de los datos es optar por una perspectiva
preventiva. Los datos se mantienen seguros cuando se evita el acceso no autorizado. Un sistema
basado en la prevención requiere que el administrador conozca todas las herramientas y métodos
disponibles que permiten mantener la seguridad de los datos.

Autenticación

Para acceder a la red, un usuario debe introducir un nombre de usuario y una contraseña
válida. Dado que las contraseñas se vinculan a las cuentas de usuario, un sistema de autenticación
de contraseñas constituye la primera línea de defensa frente a usuarios no autorizados.

Es importante no permitir un exceso de confianza en este proceso de autenticación

engañándonos con una falsa idea de seguridad. Por ejemplo, en una red de  peer-to-peer, casi
todos los usuarios pueden entrar en el sistema con un nombre y contraseña única. Esto sólo puede
proporcionar a un usuario acceso completo a la red, de forma que cualquier cosa que se comparta
está disponible para este usuario. La autenticación funciona sólo en una red basada en servidor,
donde el nombre y contraseña de usuario debe ser autenticada utilizando para ello la base de
datos de seguridad.

Entrenamiento
 Los errores no intencionados pueden implicar fallos en la seguridad. Un usuario de red
perfectamente entrenado probablemente va a causar, de forma accidental, un número menor de
errores que un principiante sin ningún tipo de experiencia, que puede provocar la pérdida de un
recurso dañando o eliminando datos de forma definitiva. 

El administrador debería asegurar que alguien que utiliza la red esté familiarizado con sus
procedimientos operativos y con las tareas relativas a la seguridad. Para lograr esto, el
administrador puede desarrollar una guía breve y clara que especifique lo que necesitan conocer
los usuarios y obligar a que los nuevos usuarios asistan a las clases de entrenamiento apropiadas.

Equipamiento de seguridad

El primer paso en el mantenimiento de la seguridad de los datos es proporcionar seguridad

física para el hardware de la red. La magnitud de la seguridad requerida depende de:

 El tamaño de la empresa.

 La importancia de los datos.

 Los recursos disponibles.

En una red  peer-to-peer, algunas veces existen políticas de seguridad hardware no organizadas

y los usuarios son los responsables de garantizar la seguridad de sus propios componentes y
datos. En una red basada en servidor, la seguridad es responsabilidad del administrador de la red.

Seguridad de los servidores

En un gran sistema centralizado, donde existe una gran cantidad de datos críticos y usuarios, es
importante garantizar la seguridad en los servidores de amenazas accidentales o deliberadas.

No resulta muy habitual que algunos individuos quieran demostrar sus capacidades técnicas
cuando los servidores presentan problemas. Ellos pueden o no saber qué se está realizando.
Resulta mucho más apropiado mantener cierto tacto con esta gente y evitar los
posibles arreglos del servidor. La solución más sencilla pasa por encerrar los servidores en una
habitación de equipos con acceso restringido. Esto puede no resultar viable dependiendo del
tamaño de la empresa. No obstante, encerrar los servidores en una oficina incluso en un armario
de almacén es, a menudo, viable y nos proporciona una forma de intentar garantizar la seguridad
de los servidores.

Seguridad del cableado

El medio de cobre, como puede ser el cable coaxial, al igual que una radio emite señales
electrónicas que simulan la información que transporta. La información transportada en estas
señales se puede monitorizar con dispositivos electrónicos de escucha. Además, se puede
intervenir el cable de cobre pudiendo robar la información que transmite en el cable original.

Sólo el personal autorizado debería tener acceso al cable que transporta datos sensibles. Una
planificación apropiada puede garantizar que el cable sea inaccesible al personal no autorizado.
Por ejemplo, el cable puede instalarse dentro de la estructura del edificio a través del techo,
paredes y falsos techos.

Modelos de seguridad

Después de implementar la seguridad en los componentes físicos de la red, el administrador

necesita garantizar la seguridad en los recursos de la red, evitando accesos no autorizados y
daños accidentales o deliberados. Las políticas para la asignación de permisos y derechos a los
recursos de la red constituyen el corazón de la seguridad de la red.

Se han desarrollado dos modelos de seguridad para garantizar la seguridad de los datos y
recursos hardware:
 Compartición protegida por contraseña o seguridad a nivel de compartición

 Permisos de acceso o seguridad a nivel de usuario.

Compartición protegida por contraseña

La implementación de un esquema para compartir recursos protegidos por contraseñas requiere

la asignación de una contraseña a cada recurso compartido. Se garantiza el acceso a un recurso
compartido cuando el usuario introduce la contraseña correcta.

En muchos sistemas, se pueden compartir los recursos con diferentes tipos de permisos. Para
ilustrar esto, utilizamos Windows 95 y 98 como ejemplos. Para estos sistemas operativos se
pueden compartir los directorios como sólo lectura, total o depende de la contraseña.

 Sólo lectura. Si un recurso compartido se configura de sólo lectura, los usuarios que
conocen la contraseña tienen acceso de lectura a los archivos de este directorio. Pueden visualizar
los documentos, copiar a sus máquinas e imprimirlos, pero no pueden modificar los documentos
originales.

 Total. Con el acceso total, los usuarios que conocen la contraseña tienen acceso completo
a los archivos de este directorio. En otras palabras, pueden visualizar, modificar, añadir y borrar
los archivos del directorio compartido.

 Depende de la contraseña. Depende de la contraseña implica configurar una

compartición que utiliza dos niveles de contraseñas: Contraseña de sólo lecturay Contraseña
de acceso total. Los usuarios que conocen la contraseña de sólo lectura tienen acceso de lectura
y los usuarios que conocen la contraseña de acceso total tienen acceso completo. 

El esquema de compartir utilizando contraseña es un método de seguridad sencillo que permite

a alguien que conozca la contraseña obtener el acceso a un recurso determinado.

Permisos de acceso

La seguridad basada en los permisos de acceso implica la asignación de ciertos derechos

usuario por usuario. Un usuario escribe una contraseña cuando entra en la red. El servidor valida
esta combinación de contraseña y nombre de usuario y la utiliza para asignar o denegar el acceso
a los recursos compartidos, comprobando el acceso al recurso en una base de datos de accesos de
usuarios en el servidor.

La seguridad de los permisos de acceso proporciona un alto nivel de control sobre los derechos
de acceso. Es mucho más sencillo para una persona asignar a otra persona una contraseña para
utilizar una impresora, como ocurre en la seguridad a nivel de compartición. Para esta persona es
menos adecuado asignar una contraseña personal.

La seguridad a nivel de usuario es el modelo preferido en las grandes organizaciones, puesto

que se trata de la seguridad más completa y permite determinar varios niveles de seguridad.

Seguridad de los recursos

Después de autenticar a un usuario y permitir su acceso a la

red, el sistema de seguridad proporciona al usuario el acceso a
los recursos apropiados.

Los usuarios tienen contraseñas, pero los recursos tienen

permisos. En este sentido, cada recurso tiene una barrera de
seguridad. La barrera tiene diferentes puertas mediante las
cuales los usuarios pueden acceder al recurso. Determinadas
puertas permiten a los usuarios realizar más operaciones sobre
los recursos que otras puertas. En otras palabras, ciertas
puertas permiten a los usuarios obtener más privilegios sobre el
recurso.
 El administrador determina qué usuarios tienen acceso a qué puertas. Una puerta asigna al
usuario un acceso completo o control total sobre el recurso. Otra puerta asigna al usuario el
acceso de sólo lectura.

Algunos de los permisos de acceso habituales asignados a los directorios o archivos compartidos
son:

 Lectura: Leer y copiar los archivos de un directorio compartido. 

 Ejecución: Ejecutar los archivos del directorio. 

 Escritura: Crear nuevos archivos en el directorio. 

 Borrado: Borrar archivos del directorio. 

 Sin acceso: Evita al usuario obtener el acceso a los directorios, archivos o recursos.

Diferentes sistemas operativos asignan distintos nombres a estos permisos.

Permisos de grupo

El trabajo del administrador incluye la asignación a cada usuario de los permisos apropiados
para cada recurso. La forma más eficiente de realizarlo es mediante la utilización de grupos,
especialmente en una organización grande con muchos usuarios y recursos.  Windows NT Server
permite a los usuarios seleccionar el archivo o carpeta sobre la que se establecen los permisos de
grupo.

Los permisos para los grupos funcionan de la misma forma que los permisos individuales. El
administrador revisa los permisos que se requieren para cada cuenta y asigna las cuentas a los
grupos apropiados. Éste es el método preferido de asignación de permisos, antes que asignar los
permisos de cada cuenta de forma individual.

La asignación de usuarios a los grupos apropiados es más conveniente que asignar permisos, de
forma separada, a cada usuario individualmente. Por ejemplo, puede que no sea conveniente la
asignación al grupo Todos del control total sobre el directorio public. El acceso total permitiría a
cualquiera borrar y modificar los contenidos de los archivos del directorio public.

El administrador podría crear un grupo denominado Revisores, asignar a este grupo permisos

de control total sobre los archivos de los estudiantes e incorporar empleados al
grupo  Revisores. Otro grupo, denominado  Facultad, tendría sólo permisos de lectura sobre los
archivos de los estudiantes. Los miembros de la facultad asignados al grupo Facultad, podrían leer
los archivos de los estudiantes, pero no modificarlos.

Medidas de seguridad adicionales

El administrador de la red puede incrementar el nivel de seguridad de una red de diversas

formas.

Cortafuegos (Firewalls)

Un  cortafuegos (firewalls) es un sistema de seguridad, normalmente una combinación de

hardware y software, que está destinado a proteger la red de una organización frente a amenazas
externas que proceden de otra red, incluyendo Internet.

Los cortafuegos evitan que los equipos de red de una organización se comuniquen directamente
con equipos externos a la red, y viceversa. En su lugar, todos las comunicaciones de entrada y
salida se encaminan a través de un servidor proxy que se encuentra fuera de la red de la
organización. Además, los cortafuegos auditan la actividad de la red, registrando el volumen de
tráfico y proporcionando información sobre los intentos no autorizados de acceder al sistema.
 Un servidor proxy es un cortafuegos que gestiona el tráfico de Internet que se dirige y genera
una red de área local (LAN). El servidor proxy decide si es seguro permitir que un determinado
mensaje pase a la red de la organización. Proporciona control de acceso a la red, filtrado y
descarte de peticiones que el propietario no considera apropiadas, incluyendo peticiones de
accesos no autorizados sobre datos de propiedad.

Auditoria

La revisión de los registros de eventos en el registro de seguridad de un servidor se

denomina auditoria. Este proceso realiza un seguimiento de las actividades de la red por parte de
las cuentas de usuario. La auditoria debería constituir un elemento de rutina de la seguridad de la
red. Los registros de auditoria muestran los accesos por parte de los usuarios (o intentos de
acceso) a recursos específicos. La auditoria ayuda a las administradores a identificar la actividad
no autorizada. Además, puede proporcionar información muy útil para departamentos que
facturan una cuota por determinados recursos de red disponibles y necesitan, de alguna forma,
determinar el coste de estos recursos.

La auditoria permite realizar un seguimiento de las siguientes funciones: 

 Intentos de entrada.

 Conexiones y desconexiones de los recursos designados.

 Terminación de la conexión.

 Desactivación de cuentas.

 Apertura y cierre de archivos.

 Modificaciones realizadas en los archivos.

 Creación o borrado de directorios.

 Modificación de directorios.

 Eventos y modificaciones del servidor.

 Modificaciones de las contraseñas.

 Modificaciones de los parámetros de entrada.

Los registros de auditoria pueden indicar cómo se está utilizando la red. El administrador puede
utilizar los registros de auditoria para generar informes que muestren las actividades con sus
correspondientes fechas y rangos horarios. Por ejemplo, los intentos o esfuerzos de entrada
fallidos durante horas extrañas pueden identificar que un usuario no autorizado está intentando
acceder a la red.

Equipos sin disco

Los equipos sin disco, como su nombre implica, no tienen unidades de disco o discos duros.
Pueden realizar todo lo que hacen los equipos con unidades de disco, excepto almacenar datos en
una unidad de disco local o en un disco duro. Los equipos sin disco constituyen una opción ideal
para el mantenimiento de la seguridad puesto que los usuarios no pueden descargar datos y
obtenerlos.

Los equipos sin disco no requieren discos de arranque. Se comunican y se conectan al servidor
por medio de un chip de arranque ROM especial instalado en la tarjeta de red (NIC) del equipo.
Cuando se enciende un equipo sin disco, el chip de arranque ROM indica al servidor que está
preparado para iniciarse. El servidor responde descargando el software de arranque en la RAM del
equipo sin disco y, automáticamente, se le presenta al usuario una pantalla de entrada como parte
de este proceso de arranque. Una vez que entra el usuario, se tiene que el equipo está conectado
a la red.

Aunque los equipos sin disco pueden proporcionar un alto nivel de seguridad, no tienen mucha
aceptación. Toda la actividad del equipo debe realizarse a través de la red cuando no se dispone
de un disco local donde almacenar los datos y aplicaciones. Tenemos, por tanto, que el tráfico de
la red se incrementará y la red deberá controlar el incremento de demandas.

Cifrado de datos

Una utilidad de cifrado de datos cifra los datos antes de enviarlos a la red. Esto hace que los
datos sean ilegibles, incluso para alguien que escucha el cable e intenta leer los datos cuando
pasan a través de la red. Cuando los datos llegan al equipo adecuado, el código para descifrar los
datos cifrados decodifica los bits, trasladándolos a información entendible. Los esquemas más
avanzados de cifrado y descifrado automatizan ambos procesos. Los mejores sistemas de cifrado
se basan en hardware y pueden resultar muy caros.

El estándar tradicional para el cifrado es el Estándar de cifrado de datos (DES;  Data Encryption
Standard). Desarrollado por IBM y aprobado por el Gobierno de Estados Unidos en 1975 cómo una
especificación de cifrado, describe cómo se deberían cifrar los datos y proporciona las
especificaciones de la clave de descifrado. Tanto el emisor como el receptor necesitan tener
acceso a la clave de descifrado. Sin embargo, la única forma de obtener la clave de una
localización a otra es transmitirla física o electrónicamente, lo que convierte a DES en vulnerable
por parte de intercepciones no autorizadas.

Hoy en día, el Gobierno de Estados Unidos está utilizando un nuevo estándar, denominado
Commercial COMSEC Endorsement Program (CCEP), que puede reemplazar eventualmente a DES.
La Agencia de seguridad nacional (NSA;  National Security Agency) introdujo CCEP y permite a los
fabricantes que poseen los certificados de seguridad apropiados unirse a CCEP. Los fabricantes
aceptados son autorizados a incorporar algoritmos clasificados en sus sistemas de
comunicaciones.

Virus informáticos

Los virus informáticos se han convertido en algo demasiado familiar en la vida diaria. Es
habitual ver en los informes de un canal de noticias local la descripción y los últimos virus y las
advertencias sobre su impacto destructivo. Los virus son bits de programación de equipos o
código, que se ocultan en los programas de equipos o en el sector de arranque de los dispositivos
de almacenamiento, como unidades de disco duro o unidades de disco. El principal propósito de un
virus es reproducirse, así mismo, con tanta asiduidad como sea posible y, finalmente, destruir el
funcionamiento del equipo o programa infectado. Una vez activado, un virus puede ser un simple
anuncio o completamente catastrófico en su efecto. Los virus son desarrollados por gente que
tiene la intención de hacer daño.

Los virus se clasifican en dos categorías, en función de su manera de propagarse. El primer

tipo, denominado «virus del sector de arranque», reside en el primer sector de una unidad de
disco o disco duro. El virus se ejecuta cuando arranca el equipo. Se trata de un método habitual
de transmisión de virus de un disquete a otro. Cada vez que se inserta y se accede a un nuevo
disco, el virus se reproduce en la nueva unidad. El segundo tipo de virus se conoce como un
«contaminador de archivos». Estos virus se unen a un archivo o programa y se activan en el
momento en que se utiliza el archivo. Existen muchas subcategorías de contaminadores de
archivos.

Algunos de los contaminadores de archivos más habituales, son:

 Virus acompañante. Se denomina de esta forma debido a que utiliza el nombre de un

programa real, su compañero. Un virus acompañante se activa utilizando una extensión de archivo
diferente de su compañero. Por ejemplo, supongamos que decidimos ejecutar un programa
denominado «procesadortextos.exe». Cuando se utiliza el comando para ejecutar la aplicación se
ejecutará en su lugar, un virus denominado «procesadortextos.com». Esto es posible porque el
archivo .com tiene prioridad sobre un archivo .exe.
 Virus de macro. Un virus de macro es difícil de detectar y se han hecho muy populares.
Se denominan de esta forma porque se escriben como una macro para una aplicación específica.
Los objetivos de estos virus son las aplicaciones más utilizadas, como Microsoft Word. Cuando el
usuario abre un archivo que contiene el virus, éste se une a la aplicación y, a continuación, infecta
cualquier otro archivo que utilice la aplicación.

 Virus polimórficos. Un virus polimórfico se denomina de esta forma debido a que

modifica su apariencia cada vez que se reproduce. Esto hace que sea más difícil de detectar
puesto que no tenemos dos virus exactamente iguales.

 Virus camuflable. Un virus camuflable se denomina así debido a que intenta por todos
los medios evitar que lo detecten. Cuando el programa antivirus intenta localizarlo, el virus
camuflable intenta interceptar el análisis y devuelve información falsa indicando que no existe el
citado virus.

Propagación de virus

Los virus por sí solos ni se crean a sí mismos ni se extienden por el aire sin ninguna ayuda.
Debe existir algún tipo de intercambio entre dos equipos para que tenga lugar la transmisión. En
los primeros días de la informática y los virus, la principal fuente de infección era a través del
intercambio de datos por medio de disquetes. Una vez infectado un equipo en una empresa,
resultaba muy fácil infectar al resto de los ordenadores, simplemente un usuario que pasaba en
disquete una copia del último protector de pantallas.

La proliferación de las LAN y el crecimiento de Internet ha abierto muchas vías de infección

rápida de virus. Hoy en día, cualquier equipo en el mundo puede estar conectado a cualquier otro
equipo. Como consecuencia, también se ha producido un aumento importante en el proceso de
creación de virus. De hecho, algunos creadores de virus proporcionan software de fácil uso que
contiene direcciones de cómo crear un virus.

Un método reciente de propagación de virus es a través de los servicios de correo electrónico.

Después de abrir un mensaje de correo electrónico que contiene un virus, éste infecta el equipo y
puede, incluso, enviarse a los destinatarios del libro de direcciones del correo electrónico.
Normalmente, el virus se localiza es un archivo adjunto a un mensaje de correo electrónico.

El objetivo de los creadores de virus es el convencimiento de las victimas para no sospechar de

la presencia del virus y, por tanto, poder abrirlo. Esto se consigue, a menudo, empaquetando el
virus con algún tipo de «envoltura» sugerente. Estos virus se conocen como «caballos de Troya» o
«Troyanos». Para llamar la atención de los usuarios se presentan como algo familiar, seguro o
interesante.

Recuerde que cualquier medio de intercambio de información entre equipos constituye una vía
potencial de propagación de virus. Los métodos más habituales incluyen:

 CD-ROM.

 Cableado que conecta directamente dos equipos.

 Unidades de disquete.

 Unidades de disco duro.

 Conexiones a Internet.

 Conexiones LAN.

 Conexiones vía módem.

 Unidades portables o portátiles.

 Unidades de cinta.
Consecuencias de un virus

Un virus puede causar muchos tipos de daños a un equipo. Su única limitación es la creatividad
de su creador. La siguiente lista describe los síntomas más habituales de infección de virus en un
equipo:

 El equipo no arrancará.

 Se modifican o se dañan los datos.

 El equipo funciona de forma errónea.

 La partición se ha perdido.

 La unidad de disco duro se vuelve a formatear.

El síntoma más habitual de infección de un virus en una red se refleja en un mal funcionamiento
de una o más estaciones de trabajo. Una red  peer-to-peer es más vulnerable. En una red peer-to-
peer todas las cosas se comparten de la misma forma; por tanto, cualquier equipo infectado tiene
acceso directo a cualquier equipo o recurso compartido en la red. Las redes basadas en servidor
tienen algunos mecanismos de protección predefinidos, puesto que se requieren permisos para
acceder a algunas partes del servidor y, por tanto, a la red. En estas redes, es más probable que
se infecten las estaciones antes que un servidor, aunque los servidores no están inmunes. El
servidor, como canal de comunicación de un equipo a otro, participa en la transmisión del virus,
pero incluso podría no verse afectado por el virus.

Prevención de virus

Los virus destructivos se están convirtiendo en virus muy habituales y deben tenerse en cuenta
cuando se desarrollan los procedimientos de la seguridad de la red. Una estrategia efectiva de
antivirus constituye una parte esencial de una planificación de red. Resulta esencial un buen
software antivirus. Aunque la protección de virus no puede prevenir antes todos los posibles virus,
sí puede realizar lo siguiente:

 Avisar de un virus potencial.

 Evitar la activación de un virus.

 Eliminar un virus.

 Reparar algunos de los daños ocasionados por el virus.

 Detectar un virus después de activarse.

Prevenir el acceso no autorizado a la red constituye una de las mejores formas de evitar un
virus. Por ejemplo, la mejor forma de evitar la infección de un virus a través de un disquete es
utilizar la protección de escritura. Si no puede escribir en un disquete, no puede infectarlo. Dado
que la prevención es clave, el administrador de la red necesita asegurarse de que se realizan
todas las medidas de prevención propuestas.

Éstas incluyen:

 Contraseñas para reducir la posibilidad de acceso no autorizado.

 Accesos y asignaciones de privilegios bien planificados para todos los usuarios

 Perfiles de usuario para estructurar el entorno de red del usuario, incluyendo las
conexiones de red y los elementos de programa que aparecen cuando el usuario entra en el
sistema.
 Una política o normativa que especifique el software a cargar.

 Una política que especifique reglas para la implementación de la protección de virus en las
estaciones de los clientes y servidores de red.

 Asegurar que todos los usuarios están bien informados de todos los virus informáticos y
de cómo evitar la activación de dichos virus.

Mantenimiento de un entorno de red operativo

El entorno físico donde reside una red es un factor importante a considerar en el mantenimiento
de una red de equipos físicamente segura. Aquí presentamos este aspecto de la gestión de la red,
frecuentemente pasado por alto y que pretende garantizar un entorno operativo para los equipos,
periféricos y red asociada así como comprobar qué se puede realizar para mantener operativo el
entorno de red.

Los equipos y el entorno

La mayor parte de los tipos de equipamiento electrónico, tales como equipos, son rígidos y
fiables, funcionando durante años con un pequeño mantenimiento. Los equipos incluso han estado
en la Luna y han regresado. Sin embargo, existen impactos ambientales muy negativos que
inciden en el equipamiento electrónico, a pesar de no ser siempre dramáticos. Un proceso de
deterioro lento, pero continuo puede generar problemas intermitentes, cada vez más frecuentes,
hasta provocar un fallo catastrófico en el sistema. Detectar estos problemas antes de que ocurran
y llevar a cabo los pasos apropiados, permite prevenir o minimizar estos fallos.

Al igual que los humanos, los equipos y equipamiento electrónico se ven afectados por las
condiciones ambientales. Aunque más tolerantes y probablemente menos predispuestos a la
queja, los equipos y equipamiento de la red necesitan entornos específicos para funcionar de
forma apropiada. La mayoría de los equipos se instalan en áreas controladas desde un punto de
vista medioambiental, pero incluso con estos controles, se tiene que los equipos no son inmunes a
los efectos que los rodean.

Cuando se identifica el efecto negativo que ejercen las condiciones ambientales sobre la red de
equipos, el primer paso es considerar las condiciones climáticas de la región. La instalación de una
red en el Ártico o Antártico estará sujeta a condiciones muy diferentes de las presentes en una red
localizada en una jungla tropical.

Una red instalada en una zona con clima ártico sufrirá cambios extremos de temperatura,
mientras que una red instalada en un entorno tropical experimentará una gran humedad.
Diferentes circunstancias climáticas requieren llevar a cabo un conjunto de pasos que permitan
asegurar que el entorno no afecta, de forma negativa, a la red.

Se asumen las mismas condiciones ambientales para los equipos que las que prevalecen en las
oficinas. Esta suposición es bastante precisa para un equipo personal o estación de trabajo. Sin
embargo, una estación de trabajo individual constituye sólo una parte de la red. Recuerde que el
cableado de la red se instala en paredes y techos, sótanos e incluso algunas veces fuera de los
edificios. Por tanto, muchos factores ambientales pueden afectar a estos componentes y generar
como situación extrema un deterioro o ruptura de la red.

Cuando se planifica o mantiene una red, es importante pensar en términos de red global
(completa), visible o no, y no sólo en los componentes locales que se ven cada día.

Los desastres provocados por el entorno ambiental son normalmente el resultado de un largo
período de deterioro lento, más que una consecuencia de una catástrofe repentina. Como muestra
un ejemplo, considere un cortaúñas. Déjelo expuesto a los elementos ambientales y comprobará
que gradualmente se oxida, no se puede utilizar e incluso llega a desintegrarse. De forma similar,
las redes implementadas en entornos de riesgo podrían funcionar correctamente durante algunos
años. Sin embargo, comenzarán a aparecer problemas intermitentes e incrementando el número y
frecuencia de estos problemas hasta que se provoque una caída de la red.
Creación del entorno adecuado

En la mayoría de las grandes organizaciones, el departamento de gestión y de personal es

responsable de proporcionar un entorno seguro y confortable para los empleados. Las
organizaciones gubernamentales regulan el entorno de trabajo para las personas. Esta regulación
o guía no existe para el caso de las redes. Es responsabilidad del administrador de la red crear las
políticas que gobiernen prácticas seguras alrededor del equipamiento de la red e implementar y
gestionar el entorno de trabajo apropiado para la red.

Un entorno operativo para el equipamiento de red es bastante parecido al entorno humano

saludable; el equipamiento electrónico se diseña para trabajar con el mismo rango de temperatura
y humedad que identifican las personas como entorno confortable.

Temperatura

El parámetro básico ambiental que controlamos es la temperatura. Los hogares, oficinas y

lugares de trabajo presentan diferentes medios para controlar la temperatura. El equipamiento
electrónico, normalmente, tiene diseñado un ventilador que permite mantener la temperatura
dentro de unos límites específicos, puesto que genera calor durante su funcionamiento. No
obstante, si la temperatura de la habitación donde se ubica el equipamiento es demasiado alta,
tanto las ranuras de ventilación como el propio ventilador no serán suficientes para mantener la
temperatura de funcionamiento adecuada y los componentes comenzarán a calentarse provocando
el fallo. De forma alternativa, si la temperatura externa es demasiado fría, los componentes
podrían dejar de funcionar.

Un entorno donde está continuamente cambiando la temperatura de calor a frío presenta el

peor escenario para el equipamiento electrónico. Estos cambios extremos provocan la dilatación y
contracción de los componentes de metal que, eventualmente, pueden generar situaciones de fallo
del equipamiento.

Humedad

La factores relacionados con la humedad pueden tener dos efectos negativos en el

equipamiento electrónico. Las altas humedades provocan la corrosión. Normalmente, esta
corrosión tiene lugar primero en los contactos eléctricos y estos contactos con corrosión en las
conexiones de los cables, así como la dilatación de la tarjeta, provocarán fallos intermitentes.
Además, la corrosión puede incrementar la resistencia de los componentes eléctricos, provocando
un incremento de temperatura que puede generar un fallo en los componentes o, incluso, un
incendio.

En los edificios con presencia de calor, es habitual tener un entorno de baja humedad. Las
descargas eléctricas estáticas son más habituales en entornos de baja humedad y pueden dañar
seriamente los componentes electrónicos.

Dado que tenemos un menor control sobre la humedad, los administradores de la red necesitan
conocer las consecuencias que provocan una humedad alta o baja e -implementar resguardos
apropiados donde prevalezcan estas condiciones. La mayoría del equipamiento funcionará
correctamente en entornos con un porcentaje de humedad relativa de entre 50 y 70 por 100.

Cuando se implementa una red grande que incluya una habitación dedicada al servidor, debería
considerar en esta habitación el control de la temperatura y humedad.

Polvo y humo

El equipamiento electrónico y los equipos no funcionan correctamente con polvo y humo. El

equipamiento electrónico atrae electrostáticamente al polvo. Una acumulación de polvo provoca
dos efectos negativos: el polvo actúa como un aislante que afecta al sistema de ventilación de los
componentes, causando un calentamiento, y, por otro lado, el polvo puede contener cargas
eléctricas, haciéndose conductor de la corriente. El polvo excesivo en el equipamiento electrónico
puede provocar cortocircuitos y fallos catastróficos en el equipamiento.
 El humo provoca un tipo de combinación similar a los efectos del polvo. Cubre las superficies de
los componentes eléctricos, actuando como un aislante y conductor. El humo también supone la
acumulación de polvo.

Factores humanos

En el diseño de una red, podemos controlar muchos factores ambientales, como temperatura,
humedad y ventilación. Aunque es posible, desde un punto de vista teórico, la creación de un
entorno físico adecuado para los equipos, la entrada en escena de las personas traerá consigo
modificaciones ligadas a provocar impactos en la red. Dibuje una nueva oficina, ambientalmente
correcta, con equipamiento amigable, que disponga de los equipos, impresoras y escritorios más
novedosos. En este espacio maravilloso, los empleados traen plantas, cuadros, radios, tazas de
café, libros, papeles y estufas para los días de frío. Pronto, la oficina se llenará de empleados,
muebles, armarios y material de oficina. También se producen otros cambios; la parte superior de
los equipos y monitores se convierten en tableros y las cajas vacías se almacenan debajo de los
escritorios muy próximas a los equipos. Debido a que muy pocos empleados conocen los
requerimientos de ventilación en el equipamiento de los equipos, se tiene que impedirán el flujo
natural de aire sobre y alrededor de los equipos informáticos. Una vez que esto ocurra, es
imposible el mantenimiento de la temperatura apropiada y comenzarán los fallos.

El vertido de líquido de refresco sobre los equipos y teclados supone también un peligro.
Además, cuando se tiene una temperatura exterior fría, se utilizan las estufas en la oficinas y,
normalmente, se colocan debajo de la mesa de escritorio, a menudo muy próximas a los equipos.
Esto puede provocar dos problemas: que el equipo se caliente en exceso y que la estufa puede
sobrecargar la salida de corriente, disparando los diferenciales de corriente, o incluso, provocando
un incendio.

Factores ocultos

Como se ha visto anteriormente, muchos aspectos de la red no están visibles y, por tanto, fuera
de nuestro pensamiento. Dado que diariamente no vemos estos elementos ocultos, suponemos
que todos están correctos hasta que comienzan a generar problemas.

El cableado es uno de los componentes de red que puede provocar problemas, especialmente
cables que se encuentran en el suelo. Los cables de un ático se pueden dañar fácilmente debido a
un accidente durante las reparaciones de otros objetos del ático.

Los roedores y bichos de todo tipo son otros factores ocultos. Estos invitados no deseados salen
a cenar probablemente los materiales de red o los utilizan con propósitos de construcción.

Factores industriales

Los equipos no están limitados al entorno ofimático, constituyen también una parte vital en el
sector industrial. Al principio, los equipos se utilizaban para gestionar el flujo de trabajo a través
de las operaciones de fabricación. En las plantas modernas, los equipos también desarrollan el
equipamiento. El proceso de fabricación completo se puede monitorizar y controlar desde una
ubicación central, mediante la integración de la tecnología de red en este entorno. Incluso, el
equipamiento puede telefonear a los hogares del personal de mantenimiento cuando se produce
un problema.

Estas mejoras en el proceso de fabricación han provocado un incremento en la productividad, a

pesar de presentar características únicas para el administrador de la red. El trabajo del
equipamiento de red en un entorno de producción presenta muchos desafíos. Las propiedades
necesarias a controlar cuando se implementan las redes en un entorno de fabricación incluyen la
presencia de:

 Ruido.

 Interferencia electromagnéticas (EMI).

 Vibraciones.
 Entornos explosivos y corrosivos.

 Trabajadores no especializados y sin entrenamiento adecuado.

A menudo, los entornos de fabricación ejercen un pequeño, incluso, ningún control sobre la
temperatura y humedad, y la atmósfera se puede contaminar con productos químicos corrosivos.
Una atmósfera corrosiva con una alta humedad puede destruir los equipos y el equipamiento de la
red en cuestión de meses, e incluso, en algunos casos, en días. Los entornos de fabricación que
utilizan equipamiento pesado con grandes motores eléctricos hacen estragos en la estabilidad de
los sistemas operativos y la red. Para minimizar los problemas que se derivan del funcionamiento
de una red en un entorno industrial, debemos:

 Instalar el equipamiento de red en habitaciones separadas con ventilación externa. 

 Utilizar cableado de fibra óptica. Esto reducirá los problemas de interferencias eléctricas y
corrosión del cable.

 Asegurar que todo el equipamiento está conectado a tierra de forma adecuada.

 Proporcionar el entrenamiento adecuado a todos los empleados que necesitan utilizar el

equipamiento. Esto nos ayudará a garantizar la integridad del sistema.

Evitar la pérdida de datos

Un desastre en un sitio se define como cualquier cosa que provoca la pérdida de los datos.
Muchas organizaciones grandes tienen planes de recuperación de catástrofes que permiten
mantener la operatividad y realizar un proceso de reconstrucción después de ocurrir una
catástrofe natural como puede ser un terremoto o un huracán. Muchas, pero desgraciadamente no
todas, incluyen un plan para recuperar la red. Sin embargo, una red puede provocar un fallo
desastroso a partir de muchas fuentes distintas que no tienen por qué ser catástrofes naturales.
La recuperación frente a las catástrofes en una red va más allá del reemplazamiento de los
dispositivos hardware. También se deben proteger los datos. Las causas de las catástrofes que se
pueden provocar en una red, desde actos humanos hasta causas naturales, incluyen:

 Fallos de los componentes.

 Virus informáticos.

 Eliminación y corrupción de datos.

 Fuego causado por un incendio o desgracias eléctricas.

 Catástrofes naturales, incluyendo rayos, inundaciones, tornados y terremotos.

 Fallos en los sistemas de alimentación y sobrecarga de tensión.

 Robo y vandalismo.

Cuando tiene lugar una catástrofe, el tiempo que se consume en la recuperación de los datos a
partir de una copia de seguridad (si se dispone de ella), puede resultar una pérdida seria de
productividad. No digamos si no se dispone de las correspondientes copias de seguridad. En este
caso, las consecuencias son aún más severas, provocando posiblemente unas pérdidas
económicas significativas. Algunas formas de evitar o recuperar datos a partir de la pérdida de los
mismos, son:

 Sistemas de copia de seguridad de cintas.

 Un sistema de alimentación ininterrumpida (SAI).

 Sistemas tolerantes a fallos.

 Discos y unidades ópticas.

Se pueden utilizar algunas de estas posibilidades, incluso todas, en función del valor que tienen
los datos para la organización y de las restricciones presupuestarias de la propia organización.

Copias de seguridad en cinta

La forma más sencilla y barata de evitar la pérdida de los datos es implementar una
planificación periódica de copias de seguridad. La utilización de un sistema de copias de seguridad
en cintas constituye todavía una de las formas más sencillas y económicas de garantizar la
seguridad y utilización de los datos.

La ingenieros de red experimentados aconsejan que el sistema de copias de seguridad debe

constituir la primera defensa frente a la pérdida de los datos. Una estrategia adecuada de copias
de seguridad minimiza el riesgo de pérdida de datos manteniendo una copia de seguridad
actualizada (copias de archivos existentes) y permitiendo la recuperación de los archivos si se
produce un daño en los datos originales. Para realizar la copia de seguridad de los datos se
requiere:

 Equipamiento apropiado.

 Una planificación adecuada para los períodos de realización de las copias de seguridad.

 Garantizar la actualización de los archivos de copias de seguridad. 

 Personal asignado para garantizar que se lleva a cabo esta planificación.

Normalmente, el equipamiento está constituido por una o más unidades de cinta y las
correspondientes cintas u otros medios de almacenamiento masivo. Cualquier inversión que se
realiza en esta área será, probablemente, mínima en comparación con el valor que supone la
pérdida de los datos.

Implementación de un sistema de copias de seguridad

La regla es sencilla: si no puedes pasar sin él, realiza una copia de seguridad. La realización de
copias de seguridad de discos completos, directorios seleccionados o archivos dependerá de la
rapidez que se necesita para ser operativo después de una pérdida importante de datos. Las
copias de seguridad completas hacen mucho más sencilla la restauración de las configuraciones de
los discos, pero pueden requerir múltiples cintas si se dispone de grandes cantidades de datos. La
realización de copias de seguridad de archivos o directorios individuales podría requerir un número
menor de cintas, pero implica que el administrador restaure manualmente las configuraciones de
los discos.

Las copias de seguridad de los datos críticos deben realizarse diariamente, semanalmente o
mensualmente dependiendo del nivel crítico de los datos y de la frecuencia de actualización de los
mismos. Es mejor planificar las operaciones de copias de seguridad durante los períodos de baja
utilización del sistema. Los usuarios deberían recibir notificación de la realización de la copia de
seguridad para que no utilicen los servidores durante el proceso de copia del servidor.

Selección de una unidad de cinta

Dado que la mayoría de las copias de seguridad se realiza en unidades de cinta, el primer paso
es seleccionar una unidad de cinta, teniendo en cuenta la importancia de diferentes factores
como:

 La cantidad de datos necesarios a copiar en las copias de seguridad.

 Los requerimientos de la red para garantizar la velocidad, capacidad y fiabilidad de las

copias de seguridad.
 El coste de la unidad de cinta y los medios relacionados.

 La compatibilidad de la unidad de cinta con el sistema operativo.

Lo ideal sería que una unidad de cinta tuviera una capacidad suficiente para realizar la copia de
seguridad del servidor más grande de una red. Además, debería proporcionar detección y
corrección de errores durante las operaciones de copia y restauración.

Métodos de copias de seguridad

Una política o normativa de copias de seguridad eficiente utiliza una combinación de los
siguientes métodos:

 Copia de seguridad completa: Se copian y se marcan los archivos seleccionados, tanto

si han sido modificados como si no desde la última copia de seguridad.

 Copia: Se copian todos los archivos seleccionados sin marcarlos cuando se realiza la copia
de seguridad.

 Copia incremental: Se copian y se marcan los archivos seleccionados que han sido
modificados desde la última copia de seguridad realizada.

 Copia diaria: Se copian sólo aquellos archivos que se modifican diariamente, sin
marcarlos cuando se realiza la copia de seguridad.

 Copia de seguridad diferencial: Se copian sólo los archivos seleccionados si han sido
modificados desde la última copia de seguridad, sin marcarlos cuando se realiza la copia de
seguridad.

Las copias se pueden realizar en cintas siguiendo un ciclo semanal múltiple, dependiendo del
número de cintas disponibles. Ninguna regla rígida gobierna la longitud del ciclo. En el primer día
del ciclo, el administrador realiza una copia de seguridad completa y sigue con una copia
incremental los día sucesivos. El proceso comienza de nuevo cuando finaliza el ciclo completo.
Otro método es planificar flujos de copias de seguridad a lo largo del día.

Prueba y almacenamiento

Los administradores con experiencia comprueban el sistema de copias de seguridad antes de

llevarlo a cabo. Realizan una copia de seguridad, borran la información, restauran los datos e
intentan utilizar estos datos.

El administrador debería comprobar regularmente los procedimientos de copia para verificar

que aquello que esperamos incluir en la copia de seguridad es realmente lo que se está copiando.
De igual forma, el procedimiento de restauración debería comprobarse para garantizar que los
archivos importantes se pueden restaurar rápidamente.

Lo ideal sería que un administrador realizara dos copias de cada cinta: una para tenerla dentro
del sitio y la otra almacenada fuera de la oficina en un lugar seguro. Recuerde que, aunque el
almacenamiento de las cintas en un lugar seguro a prueba de incendios puede mantener la
integridad de las cintas, es conveniente destacar que el calor procedente de un incendio arruinará
los datos almacenados en dichas cintas. Además, después de un uso repetido, las cintas pierden la
capacidad de almacenar datos. Reemplace las cintas, de forma habitual, para asegurar un buen
procedimiento de copias de seguridad.

Mantenimiento de un registro de copia de seguridad

El mantenimiento de un registro de todas las copias de seguridad es crítico para una

recuperación posterior de los archivos. Se debe mantener una copia de este registro junto a las
cintas de copias de seguridad, así como en el sitio donde se ubican los equipos. El registro debería
registrar la siguiente información:
 Fecha de la copia de seguridad.

 Número de cinta.

 Tipo de copia de seguridad realizada.

 Equipo que ha sido copiado.

 Archivos de los que se ha realizado copia de seguridad.

 Quién ha realizado la copia de seguridad.

 Ubicación de las cintas de copia de seguridad.

Instalación del sistema de copias de seguridad

Las unidades de cinta se pueden

conectar a un servidor o a un equipo y
estas copias se pueden iniciar a partir
del equipo que tiene conectada la
unidad de cinta. Si se realizan copias
de seguridad desde un servidor, las
operaciones de copia y restauración
pueden realizarse rápidamente puesto
que los datos no tienen que viajar a
través de la red.

La realización de las copias de

seguridad a través de la red es la
forma más eficiente de generar la copia
de seguridad de múltiples sistemas. Sin
embargo, se produce un incremento en
el tráfico de red retardándola, de forma
considerable. Además, el tráfico de la
red puede provocar una caída importante en el rendimiento. Ésta es una de las razones que
justifican la realización de las copias de seguridad durante períodos de baja utilización del
servidor.

Si una ubicación incluye múltiples servidores, la colocación de un equipo encargado de realizar

las copias de seguridad en un segmento aislado puede reducir el tráfico derivado del proceso de
copia. El equipo encargado de la copia se conecta a una NIC diferente en cada servidor.

Sistemas de alimentación ininterrumpida (SAI)

Un sistema de alimentación ininterrumpida (SAI) es un generador de corriente externo y

automatizado diseñado para mantener operativo un servidor u otro dispositivo en el momento de
producirse un fallo de suministro eléctrico. El sistema SAI tiene la ventaja de proporcionar
alimentación de corriente ininterrumpida que puede actuar de enlace a un sistema operativo,
como puede ser Windows NT. Los SAI estándares ofrecen dos componentes importantísimos:

 Una fuente de corriente que permite mantener operativo un servidor durante un corto
período de tiempo.

 Un servicio de gestión de apagado seguro.

La fuente de corriente es normalmente una batería, pero el SAI

también puede ser un motor de gasolina que hace funcionar un
generador de corriente AC.

Si la corriente falla, el SAI notifica y advierte a los usuarios del

fallo para finalizar todas las tareas. A continuación, el SAI se
mantiene durante un tiempo predeterminado y comienza a realizar una operación apropiada de
apagado del sistema.

Un buen SAI permitirá:

 Evitar que muchos usuarios accedan al servidor.

 Enviar un mensaje de advertencia al administrador de la red a través del servidor.

Normalmente el SAI se ubica entre el servidor y la toma de corriente.

Si la corriente se restablece aun estando activo el SAI, éste notificará a los usuarios que la
corriente se ha restablecido.

Tipos de SAI

El mejor SAI es aquel que está siempre activo o en línea. Cuando se produce un fallo en el
suministro de corriente, automáticamente se activa la batería del SAI. El proceso es invisible al
usuario.

También existen otros sistemas SAI de espera que se inician cuando falla el suministro de
corriente. Se trata de sistemas más baratos que los sistemas en línea, pero que resultan menos
fiables.

Implementación de un SAI

Responder a las siguientes cuestiones ayudará al administrador de la red a determinar el tipo

de SAI que mejor se ajusta a las necesidades de la red:

 ¿Va a reunir el SAI los requerimientos básicos de suministro de la red? ¿Cuántos

componentes puede admitir?

 ¿Comunica el SAI al servidor cuando se produce un fallo de suministro de corriente y el

servidor se mantiene operativo con la utilización de la baterías?

 Incluye el SAI en sus características la protección de la sobretensión para evitar los picos
y subidas de tensión?

 ¿Cual es la duración de la batería del SAI? Cuánto tiempo puede permanecer activo antes
de comenzar su proceso de no suministro?

 ¿Avisará el SAI al administrador y a los usuarios de la falta de suministro eléctrico?

Sistemas tolerantes a fallos

Los sistemas tolerantes a fallos protegen los datos duplicando los datos o colocando los datos
en fuentes físicas diferentes, como distintas particiones o diferentes discos. La redundancia de los
datos permite acceder a los datos incluso cuando falla parte del sistema de datos. La redundancia
es una utilidad emergente y habitual en la mayoría de los sistemas tolerantes a fallos.

Los sistemas tolerantes a fallos no se deben utilizar nunca como mecanismos que reemplazan
las copias de seguridad de servidores y discos duros locales. Una estrategia de copias de
seguridad planificada de forma cuidadosa es la mejor póliza de seguro para la recuperación de los
datos perdidos o dañados.

Los sistemas tolerantes a fallos ofrecen las siguientes alternativas para la redundancia de los
datos:

 Distribución de discos.
 Duplicación de discos.

 Sustitución de sectores.

 Arrays de discos duplicados.

 Agrupamiento (clustering).

Array redundante de discos independientes (RAID)

Las opciones de la tolerancia a fallos se estandarizan y se dividen en diferentes niveles. Estos

niveles se conocen como Array Redundante de Discos Independientes (RAID), anteriormente
conocido como Array Redundante de Discos Baratos. Los niveles ofrecen varias combinaciones de
rendimiento, fiabilidad y coste.

Raid 0 - Distribución de discos

La distribución de discos distribuye los datos en bloques de 64K y se propaga esta distribución
entre todos los discos del array. Se necesitan dos discos como mínimo para implementarlo. No
obstante, la distribución de discos no proporciona tolerancia a fallos, puesto que no existe la
redundancia de los datos. Si falla cualquier partición o alguno de los discos se pierden todos los
datos.

Un conjunto de distribución combina múltiples áreas de espacio libre no formateado de una

gran unidad lógica, distribuyendo el almacenamiento de los datos entre todas las unidades
simultáneamente. En Windows NT, un conjunto de distribución requiere, al menos, dos unidades
físicas y puede utilizar hasta 32 unidades físicas. Los conjuntos de distribución pueden combinar
áreas en diferentes tipos de unidades, tales como unidades de interfaces de pequeños sistemas de
equipos (SCSI), unidades de interfaces de pequeños dispositivos mejorados (ESDI) y unidades de
dispositivos electrónicos integrados (IDE).

En el caso de que  tuviéramos sólo tres discos, los datos están constituidos por 192K. Los
primeros 64K de datos se escriben en un conjunto de distribución del disco 1, los segundos 64K
aparecen en un conjunto de distribución del disco 2 y los terceros 64K se escriben en el conjunto
de distribución del disco 3.

La distribución de discos tiene diferentes ventajas: hace que una partición grande se divida en
diferentes pequeñas particiones ofreciendo un mejor uso del espacio de disco y, por otro lado, los
múltiples controladores de disco provocarán un mejor rendimiento.

Está recomendado para edición de video, edición de imágenes, aplicaciones pre-impresión y

para cualquier aplicación que requiera un alto nivel de transferencia de datos.

Raid 1 - Duplicación de discos o discos Espejo

La duplicación de discos realmente duplica una partición y desplaza la partición duplicada a otro
disco físico. Siempre existen dos copias de los datos, con cada copia en un disco distinto. Se
puede duplicar cualquier partición. Esta estrategia es la forma más sencilla de proteger de fallos
un único disco. La duplicación de discos se puede considerar como un mecanismo de copia de
seguridad continua, puesto que mantiene una copia completa redundante de una partición en otro
disco.

La duplicación de discos consta de un par de discos duplicados con un controlador de disco

adicional en la segunda unidad. Esto reduce el tráfico en el canal y mejora potencialmente el
rendimiento. La duplicación se diseñó para proteger los fallos de los controladores de disco y los
fallos del medio.

Es un sistema de RAID que se implementa normalmente por software, lo que requiere más
ciclos de CPU, con lo que puede degradar el sistema, aparte de no poder realizar el cambio en
caliente del disco que se averíe, por lo que sería recomendable implementarlo sobre hardware.

El nivel de transacciones que se alcanza es el mismo que si se tuviese un sólo disco, y está
recomendado para sistemas de contabilidad, nóminas, financiero o cualquier aplicación que
requiera una alta disponibilidad.

RAID 0+1: Altas prestaciones en la Transferencia de Datos

RAID 0+1 requiere un mínimo de 4 discos para poder implementarlo y combina un sistema de
discos espejo junto con dos sistemas de discos con distribución de bandas RAID 0, con lo consigue
niveles de tolerancia a fallos similares a RAID 5.

RAID 0+1 tiene el mismo sistema de escritura que un sistema de discos espejo independiente y
las altas tasas de transferencia de datos se consiguen gracias a la implementación del Conjunto de
Bandas.

Es una excelente solución para los sitios que necesitan una alta tasa de transferencia de datos y
no se preocupan por lograr la máxima fiabilidad del sistema.

RAID 0+1 no hay que confundirlo con RAID 10. Un simple fallo en la escritura en el disco
convierte al sistema en un Conjunto de Bandas RAID 0.

Es un sistema muy caro de implementar, con una escalabilidad muy pequeña.

 Está recomendado para servidor de aplicaciones y de ficheros en general.

Raid 2 - Distribución de discos con ECC

Cuando se escribe un bloque de datos, el bloque se divide y se distribuye (intercalado) entre

todas las unidades de datos.

El código de corrección de errores (ECC; Error Correction Code) requiere una gran cantidad de

espacio de disco superior a la que requieren los métodos de comprobación de paridad. Aunque
este método ofrece una mejora en la utilización de disco, es peor en comparación con el nivel 5. El
coste es el más elevado de todos los sistemas RAID que existen y el nivel de transferencia de
datos es similar a la de un sólo disco. No existen implementaciones por hardware, por lo que hay
que implementarlo a través de software, con lo que conlleva de costo adicional para la CPU.

Raid 3 - Bandas de discos con ECC almacenado como paridad

La distribución de discos con ECC almacenado como paridad es similar al nivel 2.

El término paridad se refiere a un procedimiento de comprobación de errores donde el número

de unos debe ser siempre el mismo (par o impar) para cada grupo de bits transmitidos sin
presencia de errores. En esta estrategia, el método ECC se reemplaza por un esquema de
comprobación de paridad que requiere sólo un disco para almacenar los datos relativos a la
paridad. Es un sistema recomendado para aplicaciones de produción de video, edición de
imágenes,  edición de video, aplicaciones pre-impresión y cualquier aplicación que requiera un
elevado transvase de datos.

Raid 4 - Bandas de discos a grandes bloques con la paridad almacenada en

una unidad

Esta estrategia pasa del intercalado de datos a la escritura de bloques completos en cada disco
del array. Este proceso se conoce todavía como distribución de discos, pero se lleva a cabo con
bloques grandes. Se utiliza un disco de comprobación distinto para almacenar la información de la
paridad.

Cada vez que se realiza una operación de escritura, debe leerse y modificarse la información de
paridad asociada en el disco de comprobación. Debido a esta sobrecarga, el método de bloques
intercalados funciona mejor para operaciones de grandes bloques que para procesamiento basado
en transacciones. Es un sistema que ofrece dificultades y es ineficiente a la hora de recuperar los
datos de un disco que se haya averiado y el nivel de transferencia de datos es similar al de un
disco solo.

Raid 5 - Bandas de discos con paridad distribuida por varias unidades

La distribución con paridad es actualmente el método más popular para el diseño de la

tolerancia a fallos. Admite desde tres unidades hasta un máximo de 32 y escribe la información de
paridad en todos los discos del array (el conjunto de distribución completo). La información de
paridad y los datos se ordenan, de forma que siempre se almacenan en discos diferentes.

Aparece un bloque de distribución de paridad para cada distribución (fila) presente a través del
disco. El bloque de distribución de paridad se utiliza para reconstruir los datos de un disco físico
que falla. Si falla una sola unidad, se propaga la suficiente información a través del resto de disco
permitiendo que los datos se reconstruyan completamente.

El bloque de distribución de paridad se utiliza para reconstruir los datos de un disco físico que
falla. Existe un bloque de distribución de paridad para cada distribución (fila) a través del disco.
RAID 4 almacena el bloque de distribución de paridad en un disco físico y RAID 5 distribuye la
paridad, de igual forma, entre todos los discos.

Es un sistema recomendado para servidores de aplicaciones y fichero, servidor de Bases de

Datos, servidores Web, de Correo y de noticias, servidores intranet y sistemas que necesiten una
alta escalabilidad.

RAID 6: Discos de datos independientes con dos esquemas de paridad

distribuidos independientemente.
 Es en esencia un a extensión del sistema de RAID 5, con un nivel más e tolerancia a fallos ya
que usa un segundo esquema de paridad independiente del primero.

Los datos se distribuyen en bloques a través de los discos como en el sistema RAID 5 y la
segunda paridad es calculada y escrita en todos los discos. Provee un sistea extremadamente alto
de tolerancia a fallos y puede solventar muy bien los posibles problemas de escrituras en disco. Es
una solución perfecta para soluciones críticas.

Las desventajas son que necesita un complejo sistema de diseño y tiene una muy pobre
prestación en escritura, ya que tiene que calcular dos esquemas de paridad a la hora de escribir
en disco.

Requiere dos disco más que los que necesitemos para datos para manejar los dos esquemas de
paridad.

RAID 7: Asincronía optimizada para altas prestaciones de Entrada y Salida

(I/O) y elevadas necesidades de Transferencias de Datos

Todas las transferencias de I/O son asíncronas, independientemente de la

controladora y de la caché de la interfaz de transferencia. Todos los discos
leen y escriben centralizadamente a través de un bus de alta velocidad y el
disco dedicado a la paridad se encuentra en otro canal independiente.

Todo el proceso se lleva acabo, en tiempo real, por el Sistema Operativo

instalado y el microprocesador. El sistema operativo controla en  tiempo
real el canal de comunicaciones.

Un sistema abierto usa normalmente controladoras SCSI, buses de PC

normales, motherboards  y memoria SIMMs. La paridad se genera
íntegramente en la caché. 
En conjunto los procesos de escritura superan entre un 25% y un 90% a
los sistemas de un solo disco y 1.5 a 6 veces a cualquier otro sistema RAID

Las interfaces de controladoras son escalables tanto para la conectividad

como para el aumento de transferencia de datos. Para ambientes
multiusuario y lecturas pequeñas utiliza un sistema de elevada caché que
produce accesos a los datos en tiempos cercanos a cero. El tiempo de
escritura mejora con el aumento de unidades de discos en la serie y los
tiempos de acceso disminuyen a medida que se trabaja con el sistema
RAID. Ninguna transferencia de datos en el RAID requiere un cambio en la
paridad.

RAID 7 es una marca registrada de Storage Computer Corporation.

 Presenta varias desventajas, una de ellas es que es un sistema propietario de un fabricante y el
costo por Mb es muy alto, con una garantía muy corta. Debido a estas desventajas no es un
sistema que pueda utilizar el usuario corriente y siempre se debe proveer de un Sistema de
Alimentación Ininterrumpida para prevenir la posible pérdida de datos:

Raid 10 - Arrays de unidades duplicadas

RAID nivel 10 duplica los datos en dos arrays idénticos de unidades RAID 0 y tiene la misma
tolerancia a fallos que un RAID 1. Los altos niveles de transferencia de I/O de datos se alcanzan
gracias al sistema de Bandas RAID 1

Es un sistema muy caro de implementar con una escalabilidad muy limitada y está
recomendado para sistema que necesiten un grado muy alto de tolerancia a fallos o para servidor
de Bases de Datos.

Raid 53 - High I/O capacidad de Lectura y escritura (I/O) y prestaciones

de transferencias de datos

RAID 53 se debería llamar realmente RAID 03, ya que realmente implementa un conjunto
distribución de discos (RAID 0) junto al sistema de bandas de disco con paridad (RAID 3). RAID 53
tiene la misma tolerancia a fallos que RAID 3 y requiere un mínimo de 5 discos para
implementarlo.

La alta tasa de transferencia de datos se logran gracias al uso de RAID 3 y los altos ratios de I/O
para pequeñas solicitudes se consiguen gracias a la implementación del sistema de distribución de
discos RAID 0.

Quizá una solución buena para sitios que hubiesen funcionado correctamente con RAID 3 pero
necesitasen un complemento para lograr grandes prestaciones de lectura y escritura (I/O).
 Las desventajas que presenta este sistema RAID es que se necesita mucha experiencia para
poder implementarlo. Todos los discos deben sincronizarse y con la distribución de discos se
consigue un pobre aprovechamiento de la capacidad de los discos.

Sustitución de sectores

El sistema operativo Windows NT Server ofrece una utilidad adicional de tolerancia a fallos
denominada «sustitución de sectores», también conocida como «hot fixing». Esta utilidad
incorpora automáticamente en el sistema de archivos posibilidades de recuperación de sectores
mientras esté funcionando el equipo.

Si se localizan los sectores malos durante la E/S (entrada/salida) del disco, el controlador de la
tolerancia a fallos intenta mover los datos a un sector no dañado y marcar el sector erróneo. Si la
asignación es correcta, no se alerta al sistema de archivos. Los dispositivos SCSI pueden realizar
la sustitución de sectores, mientras que los dispositivos ESDI e IDE no pueden llevar a cabo este
proceso. Algunos sistemas operativos de red, tales como Windows NT Server, tienen una utilidad
que notifica al administrador de todos los sectores dañados y la pérdida potencial de datos si falla
la copia redundante.

Microsoft Clustering (agrupamiento)

Microsoft Clustering es una implementación de agrupamiento de servidores de Microsoft. El

término «clustering» se refiere a un grupo de sistemas independientes que funcionan juntos como
un único sistema. La tolerancia a fallos se ha desarrollado dentro de la tecnología de agrupamiento
o clustering. Si un sistema dentro del grupo o cluster falla, el software de agrupamiento distribuirá
el trabajo del sistema que falla entre los sistemas restantes del grupo. El agrupamiento no se
desarrolló para reemplazar las implementaciones actuales de los sistemas tolerantes a fallos,
aunque proporciona una mejora excelente.

Implementación de la tolerancia a fallos

La mayoría de los sistemas operativos de red más avanzados ofrecen una utilidad para la
implementación de la tolerancia a fallos. En Windows NT Server, por ejemplo, el programa
Administrador de discos se utiliza para configurar la tolerancia a fallos en Windows NT Server. La
interfaz gráfica del Administrador de discos realiza, de forma sencilla, el proceso de configurar y
gestionar el particionamiento de discos y las opciones de la tolerancia a fallos. Si mueve un disco a
un controlador diferente o modifica su ID, Windows NT lo reconocerá como disco original. El
Administrador de discos se utiliza para crear varias configuraciones de disco, incluyendo:

 Conjuntos de distribución con paridad, que acumulan múltiples áreas de disco en una
gran partición, distribuyendo el almacenamiento de los datos en todas las unidades
simultáneamente, agregando la información de paridad relativa a la tolerancia a fallos.

 Conjuntos de duplicación, que generan un duplicado de una partición y la colocan en

un disco físico distinto.
 Conjuntos de volúmenes, que acumulan múltiples áreas de disco en una gran partición,
completando las áreas en serie.

 Conjuntos de distribución, que acumulan múltiples áreas de disco en una gran

partición, distribuyendo, de forma simultánea, el almacenamiento de los datos en todas las
unidades.

Unidades y discos ópticos

El término «unidad óptica» es un término genérico que se aplica a diferentes dispositivos. En la

tecnología óptica, los datos se almacenan en un disco rígido alternando la superficie del disco con
la emisión de un láser.

La utilización de unidades y discos ópticos se ha hecho muy popular. A medida que evoluciona
la tecnología de los CD-ROM originales de sólo lectura y lectura-escritura a las nuevas tecnologías
DVD, se están utilizando muchísimo estos dispositivos para almacenar grandes cantidades de
datos recuperables. Los fabricantes de unidades ópticas proporcionan un gran array de
configuraciones de almacenamiento que están preparadas para las redes o se pueden utilizar con
un servidor de red. Constituyen una opción excelente para las copias de seguridad permanentes.
Existen diferentes posibilidades en esta tecnología.

Tecnología de CD-ROM

Los discos compactos (CD-ROM) constituyen el formato más habitual de almacenamiento óptico
de datos. La mayoría de los CD-ROM sólo permiten leer la información. El almacenamiento en CD
ofrece muchas ventajas. La especificación ISO 9660 define un formato internacional estándar para
el CD-ROM. Tienen una alta capacidad de almacenamiento, hasta 650 Mb de datos en un disco de
4,72 pulgadas. Son portables y reemplazables y debido a que no se pueden modificar los datos de
un CD-ROM (si es de sólo lectura), tenemos que los archivos no se pueden eliminar de forma
accidental. Los formatos de grabación estándares y los lectores, cada vez, más económicos hacen
que los CD sean ideales para el almacenamiento de datos. Puede utilizar ahora este medio para
actualizaciones incrementales y duplicaciones económicas. Además, los CD-ROM se ofrecen en un
formato de reescritura denominado CD de reescritura.

Tecnología de disco de vídeo digital (DVD)

La familia de formatos de los discos de vídeo digital (DVD) están reemplazando a la familia de
formatos de los CD-ROM. La tecnología de disco de vídeo digital (DVD), también conocida como
«disco digital universal», es muy reciente y, por tanto, relativamente inmadura. DVD tiene cinco
formatos: DVD-ROM, DVD-Vídeo, DVD-Audio, DVD-R («R» para especificar «gravable») y DVD-
RAM.

DVD-R es el formato de una sola escritura (actualizaciones incrementales). Especifica 3,95 GB

para disco de una sola cara y 7,9 GB para los discos de doble cara. DVD-RAM es el formato para
los discos de múltiples escrituras. Especifica 2,6 GB para discos de una sola cara  y 5,2 GB para los
discos de doble cara, con un cartucho de discos como opción. DVD-ROM (discos de sólo lectura)
son similares a los CD-ROM y tienen una capacidad de almacenamiento de 4,7 GB (una cara, un
nivel), 9,4 GB (doble cara, un nivel), 8,5 GB (doble nivel, una cara), 17 GB (doble nivel, doble
cara). Son formatos compatibles con CD-audio y CD-ROM. Las unidades de DVD-ROM pueden
utilizar DVD-R y todos los formatos de DVD. UDF es el sistema de archivos para DVD-R.

Tecnología WORM (una escritura, múltiples lecturas)

La tecnología WORM (una escritura, múltiples lecturas) ha ayudado a iniciar la revolución del
proceso de generación de imágenes documentales. WORM utiliza la tecnología láser para
modificar, de forma permanente, los sectores del disco y, por tanto, escribir permanentemente
archivos en el medio. Dado que esta alteración es permanente, el dispositivo puede escribir sólo
una vez en cada disco. Normalmente, WORM se emplea en los sistemas de generación de
imágenes donde las imágenes son estáticas y permanentes.

Tecnología óptica reescribible

 Se están empleando dos nuevas tecnologías que utilizan tecnología óptica reescribible. Estas
tecnologías incluyen los discos magneto-ópticos (MO) y los discos rescribibles de cambio de fase
(PCR; Phase Change Rewritable). Se están utilizando más las unidades MO, puesto que los
fabricantes del medio y unidades utilizan los mismos estándares y, por tanto, sus productos son
compatibles. Los dispositivos PCR, proceden de un fabricante (Matsushita/Panasonic) y el medio
procede de dos fabricantes (Panasonic y Plasmon).

Unidades de múltiples funciones

Existen dos versiones de unidades ópticas de múltiples funciones. Una utiliza firmware en la
unidad que, primero, determina si se ha formateado un disco para una sola escritura o para
múltiples escrituras y, a continuación, actúa sobre el disco de la forma apropiada. En la otra
versión de MO, se utilizan dos medios completos diferentes. Los discos de múltiples escrituras son
discos MO convencionales, pero el medio de una sola escritura es el medio WORM tradicional.

Recuperación frente a catástrofes

El intento de recuperación frente a una catástrofe, independientemente de la causa, puede

constituir una experiencia terrible. El éxito de la recuperación depende de la implementación
frente a catástrofes y del estado de preparación desarrollado por el administrador de la red.

Prevención de catástrofes

La mejor forma de recuperarse frente a un desastre es, en primer lugar, evitarlo antes de que
ocurra. Cuando se implementa la prevención de catástrofes se debe:

 Enfocar los factores sobre los que se tienen control.

 Determinar el mejor método de prevención.

 Implementar y forzar la medidas preventivas que se seleccionen.

 Comprobar continuamente nuevos y mejores métodos de prevención.

 Realizar un mantenimiento habitual y periódico de todas las componentes

hardware  y software de la red.

 Recordar que el entrenamiento es la clave de la prevención de las catástrofes de tipo

humano que pueden afectar a la red.

Preparación frente a las catástrofes

No todas las catástrofes se pueden evitar. Cada jurisdicción tienen un plan de contingencia
frente a catástrofes y se gastan muchas horas cada año en la preparación de este plan. Dado que
cada comunidad es diferente, los planes de recuperación tendrán en cuenta distintos factores. Si,
por ejemplo, vive en una zona de inundaciones, debería tener un plan para proteger la red frente
a niveles muy altos de concentración de agua.

Cuando se considera la protección frente a las catástrofes, necesitará un plan para el hardware,
software y datos. Se pueden reemplazar las aplicaciones software y hardware y los sistemas
operativos. Pero para realizar esto, es necesario, primero, conocer exactamente los recursos que
se disponen. Realice un inventario de todo el hardware y software, incluyendo fecha de compra,
modelo y número de serie.

Los componentes físicos de una red se pueden reemplazar fácilmente y, normalmente, están
cubiertos por algún tipo de seguro, pero el problema se plantea con los datos que son altamente
vulnerables a las catástrofes. En caso de incendio, puede reemplazar todos los equipos y
hardware, pero no los archivos, diseños y especificaciones para un proyecto multimillonario que ha
preparado la organización durante el último año.
 La única protección frente a las catástrofes que implican la pérdida de datos es implementar un
método de copias de seguridad o más de uno de los descritos anteriormente. Almacene las copias
de seguridad en un lugar seguro, como puede ser una caja de seguridad de un banco, lejos del
sitio donde se ubica la red.

Para conseguir una recuperación total frente a cualquier catástrofe, necesitará:

 Realizar un plan de recuperación.

 Implementar el plan.

 Comprobar el plan.