Estandarización de la

función Informática
Tema 5,  Docente: Gildardo Robles
 5. Estándares

• Estándar puede ser conceptualizado como la definición clara de un modelo, criterio, regla de medida o de los
requisitos mínimos aceptables para la operación de procesos específicos, con el fin asegurar la calidad en la
prestación de los servicios de salud.
• Los estándares señalan claramente el comportamiento esperado y deseado en los empleados y son utilizados como
guías para evaluar su funcionamiento y lograr el mejoramiento continuo de los servicios.
• Los estándares requieren ser establecidos con el fin de contar con una referencia que permita identificar
oportunamente las variaciones presentadas en el desarrollo de los procesos y aplicar las medidas correctivas
necesarias.
• Es necesario considerar que las fallas de los procesos pueden ser imputables por un lado a problemas propios del
sistema que condiciona la necesidad de revisar su estructura y funcionamiento y por otro lado a errores cometidos
por los empleados.
 5.1 Estándares a considerar en la adquisición de
Recursos Informáticos (HW, SW)

• Toda adquisición se basa en está
ndares, es decir la política
establecida dentro de una
organización para hacerse de
equipo nuevo, sustituir obsoletos
o modificar los existentes.
•Se deberá analizar si satisface la
demanda y/o necesidad actual con
un margen de holgura y capacidad
de crecimiento para soportar la
carga de trabajo del área.
 Ejemplo de un reglamento Interno

•ARTICULO 8°. - Toda adquisición de tecnología informática se efectúa a través del Comité, que está conformado por el personal de la Administración de Informática y Gerente Administrativo de la unidad solicitante de bienes o
servicios informáticos.
•ARTICULO 11°. - Para la adquisición de hardware se observará lo siguiente:
• Todo proyecto de adquisición de bienes de informática debe sujetarse al análisis, aprobación y autorización del Comité.
• El equipo que se desee adquirir deberá estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estándares de la empresa.
• Deberán tener un año de garantía como mínimo.
• Deberán ser equipos integrados de fábrica o ensamblados con componentes previamente evaluados por el Comité.
• La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional, así como con asistencia técnica y refaccionaria local.
• Tratándose de equipos micro computadoras, a fin de mantener actualizado la arquitectura informática de la empresa, el Comité emitirá periódicamente las especificaciones técnicas mínimas para su adquisición.
• Los dispositivos de almacenamiento, así como las interfaces de entrada/salida, deberán estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de datos, como en el ciclo del proceso.
• Las impresoras deberán apegarse a los estándares de hardware y software vigentes en el mercado y la empresa, corroborando que los suministros (cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a un solo proveedor.
• Conjuntamente con los equipos, se deberá adquirir el equipo complementario adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los fabricantes, y que esta adquisición se manifieste en el costo de la partida inicial.
• Los equipos complementarios deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país.
• Los equipos adquiridos deben contar, de preferencia con asistencia técnica durante la instalación de los mismos.
• En lo que se refiere a los computadores denominados servidores, equipo de comunicaciones como enrutadores y concentradores de medios, y otros que se justifiquen por ser de operación crítica y/o de alto costo; al vencer su período de garantía,
deben de contar con un programa de mantenimiento preventivo y correctivo que incluya el suministro de refacciones.
• En lo que se refiere a los computadores denominados personales, al vencer su garantía por adquisición, deben de contar por lo menos con un programa de servicio de mantenimiento correctivo que incluya el suministro de refacciones.
•ARTICULO 12°. - En la adquisición de Equipo de cómputo se deberá incluir el Software vigente precargado con su licencia correspondiente considerando las disposiciones del artículo siguiente.
•ARTICULO 13°. - Para la adquisición de Software base y utilitarios, el Comité dará a conocer periódicamente las tendencias con tecnología de punta vigente, siendo la lista de productos autorizados la siguiente:
• Plataformas de Sistemas Operativos:
• Bases de Datos:
• Manejadores de bases de datos:
• Lenguajes de programación:
• Hojas de cálculo:
• Programas antivirus.
 5.2 Estándares de Operación de Sistemas

Los estándares de operación deben incluir: • Como en el caso de la documentación de sistemas

• Buenas prácticas de mantenimiento.
• Evitar las malas prácticas de operación del equipo y la
programación.
• Procedimientos para el uso de las copias de seguridad de
los programas, datos o archivos.
• Procedimientos de entrega para las aplicaciones nuevas.
• Etapas al establecer aplicaciones nuevas.
y programación, las instrucciones de operación de
la aplicación se deben copiar y ubicar en algún lugar
distante.
• En resumen, los estándares de operación de sistemas, así
como la documentación, tienen efectos de suma
importancia en la seguridad en computación.

Estos requisitos también se aplican en la captura
de datos cuando esta forma parte de la función de operación
 Ejemplo de un estándar de operación
Extraído de: https://www.riuady.uady.mx/riuady/estandar_operacioncentrocomputo.pdf

Solicitud de Cuentas Personales

• El usuario que requiera una cuenta personal en el servidor institucional deberá solicitarla a la Coordinación de Servicios, previa identificación. La cuenta tendrá vigencia mientras el usuario pertenezca a la institución.
Uso de Cuentas Personales
• La clave de identificación y la contraseña son información de uso personal y confidencial que no es transferible a ningún otro usuario. La cuenta será utilizada únicamente para fines académicos. Queda estrictamente prohibido el
uso con fines comerciales, lucrativos, promoción, propaganda o venta y/o difusión de servicios ajenos a la institución, propósitos ilegales, criminales o no éticos. Es responsabilidad del usuario el respaldo y el contenido de la
información de su cuenta de acceso. Se prohibe dejar sesiones abiertas sin cont rol alguno. Cualquier mal uso realizado desde una cuenta personal será responsabilidad del usuario que la solicitó y provocará la suspensión de dicha
cuenta.
Capacitación.
• A los usuarios nuevos se les proporcionará una capacitación de este reglamento y del uso del centro de cómputo los días y en el horario que estipule la coordinación de servicios.
Alimentos y Bebidas
• Queda prohibido introducir alimentos y bebidas al Centro de Cómputo.
Fumar
•Queda prohibido fumar en el centro de cómputo.
Armas y Estupefacientes
•Queda prohibido introducir cualquier tipo de arma o estupefaciente.

DEL USO DE LOS EQUIPOS

Administración del tiempo y uso de los turnos de máquina.
•Este servicio deberá ser solicitado a la Coordinación de Servicios y tendrá como máximo un acceso de n horas al día e invariablemente se justificará cuando se trate de búsquedas que correspondan a trabajos o algún proyecto
debidamente sustentado. Por lo anterior, la Coordinación se reserva el derecho de otorgar este servicio cuando se haya detectado el empleo del mismo para realizar búsquedas o accesos a páginas web que atenten contra la moral y
buenos principios.
Uso de equipo.
•El empleo de equipo de Cómputo es individual.
Queda prohibido:
• Las actividades con fines de lucro
• Utilización de cualquier tipo de juego y programas y aplicaciones que no están autorizados por la Coordinación de servicios.?Introducción de equipos ajenos a la Institución
• Conexión de equipos no autorizados
• Chatear (conversar con diversidad de personas a través de la red)
• Acceder a información, imágenes o vídeos pornográficos.
• Modificar cualquier archivo del sistema
• Usar la infraestructura de la Institución para lanzar virus, gusanos, caballos de troya y otros ataques, ya sean internos o externos
• Usar vulnerabilidades que alteren la seguridad, consistencia o que dañen cualquier sistema de cómputo
Acceso a la sala de cómputo.
• Solo podrán tener acceso las personas que tengan reservación y porten su identificación correspondiente. Se prohibe ingresar a las salas en estado inconveniente.
 5.3 Estándares sobre Procedimientos de entrada de datos,
procesamiento de información y emisión de resultados

La implantación de un SGSI permite a una organización lo siguiente:

• Conocer los riesgos.
• Prevenir, reducir, eliminar o controlar los riesgos mediante la adopción de
los controles adecuados.
• Asegurar el cumplimiento de la legislación en materias tales como la protección de
los datos de carácter personal, los servicios de la sociedad de la información o
la propiedad intelectual, entre otras.
 5.3 Estándares sobre Procedimientos de entrada de datos,
procesamiento de información y emisión de resultados

En 2004 se crea la serie 27000, con el objetivo de contribuir a la mejor identificación y ordenación de

las normas de gestión de seguridad de la información, y satisfacer cuestiones tales como las siguientes:
• Proporcionar un marco homogéneo de normas y directrices.
• Proporcionar requisitos, metodologías y técnicas de valoración.
• Evitar el solapamiento de las normas y favorecer la armonización.
• Alinearse con los principios generalmente aceptados relativos al gobierno de las organizaciones.
• Ser consistente con las Directrices de Seguridad y de Privacidad de la OCDE.
• Usar lenguaje y métodos comunes.
• Facilitar la flexibilidad en la selección e implantación de controles.
• Ser consistente con otras normas y directivas de ISO.
 5.3 Estándares sobre Procedimientos de entrada de datos,
procesamiento de información y emisión de resultados

Se encuentra en elaboración la norma UNE equivalente a ISO/IEC 27001:2005 con vistas a retirar a corto plazo la

norma UNE 71502:2004.

La norma UNE 71502:2004 define un Sistema de Gestión de la Seguridad de la Información (SGSI) como aquel
“sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y
los recursos necesarios para implantar la gestión de la seguridad de la información.

El sistema es la herramienta de que dispone la dirección de las organizaciones para llevar a cabo las políticas y

los objetivos de seguridad (integridad, confidencialidad y disponibilidad, asignación de responsabilidad, autenticación).

Proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan,

en concordancia con las políticas de seguridad y planes estratégicos de la organización.”
 5.3 Estándares sobre Procedimientos de entrada de datos,
procesamiento de información y emisión de resultados

Mientras que la norma ISO/IEC 27001:2005 define Sistema de Gestión de

Seguridad Informática como:

“Parte del sistema global de gestión, que, sobre la base de un enfoque basado en los riesgos,

se ocupa de establecer, implantar, operar, seguir, revisar, mantener y mejorar la seguridad de
la información.

El sistema de gestión incluye estructuras organizativas, políticas, actividades de planificación,
responsabilidades, prácticas, procedimientos, procesos y recursos.”
Video sobre las normas de SGSI

https://es.linkedin.com/learning/fundamentos-de-la-seguridad-informatica/normas-o-estandares-en-seguridad-informatica
 5.4 Estándares en el sistema de
Telecomunicaciones
La teleinformática se refiere a la rama de la ciencia que estudia la transmisión y comunicación de información
mediante vía de equipos informáticos.

En palabras más simples, se encarga de estudiar como es el proceso por el cual se puede transmitir información de

un equipo informático a otro.

En el envío de esa información tenemos varios elementos que intervienen, en primer lugar un ordenador  que envía el mensaje,

y otro que la reciba (llamados remotos).

Estándares

En el mundo de la teleinformática resulta muy frecuente la interconexión de máquinas de distintos fabricantes.
Para ello es necesario que todos los computadores involucrados en la comunicación sean capaces de transmitir
e interpretar la información utilizando los mismos protocolos.

Para conseguir esto aparecen los estándares de comunicaciones.
Los primeros son conocidos como estándares de jure, mientras que los segundos son estándares de facto.
 5.4 Estándares en el sistema de
Telecomunicaciones

Los organismos emisores de estándares jure son los siguientes:

• ITU (International Telecommunication Union): Es el organismo que agrupa a las compañías proveedoras de servicios telefónicos de

multitud de países, entre ellas Telefónica. Sus normas son sobre todo relativas a DCE´s y su conexión con los DTE´s. Se denominan
mediante una letra y un número. (p.e. X.25, X.500, V.22, V32, etc.)
• ISO (International Standards Organization): La organización internacional de estandarización agrupa a los organismos nacionales de
casi todos los países.
• IAB (Internet Arquitecture Board): Este organismo supervisa las normas empleadas en Internet. El mecanismo para la creación de las
normas pasa por los RFC´s ( Request For Comments), un documento público al cual todo usuario de Internet puede hacer críticas.
Tras varias fases, este documento pasará al estado STD, siendo considerado desde entonces un estándar establecido.
 5.4 Estándares en el sistema de
Telecomunicaciones

Estándares de facto
Los estándares de facto suelen ser propuestas por un fabricante y adoptadas por otros para sus productos. Responden a
la falta de normativa en bastantes de los aspectos de la informática en los primeros tiempos.

Ejemplos de estándares de este tipo son el lenguaje de comandos Hayes o el interfaz Centronics para impresoras.

Estos estándares suelen acabar convertidos en estándares de jure cuando algún organismo de los anteriormente

citados los adopta. 
Video de Estándares de Telecomunicaciones

Video.   https://www.youtube.com/watch?v=QuTUyaMvXdM
 5.5 Estándares de Mantenimiento

De la definición de mantenimiento del estándar IEEE 1219 cabe distinguir tres causas fundamentales que desencadenan las

actividades de mantenimiento.

Las causas u origen de las actividades de mantenimiento del software pertenecen a tres grupos principales:

• Eliminación de defectos del producto software.
• Las causas por tanto son todas ellas resultado de tener que modificar el software para que cumpla con los requisitos del usuario ya establecidos.
• Adaptar el producto software para que siga cumpliéndolos cuando cambia su entorno.
• Incluir mejoras en el diseño.
• Cuando se quiere mejorar la manera en que los cumple.
• Por otro lado, la definición anterior implica que el mantenimiento debido a los defectos es a posteriori, es decir, se desencadena cuando el defecto tiene como
resultado un fallo que se detecta.

En ocasiones, se realizan actividades de mantenimiento preventivo, que intentan detectar y corregir fallos latentes (que se supone pueden existir, aunque aún no

se han “manifestado”).

Estas causas tienen su correlación directa con las denominadas “categorías de mantenimiento”, que en el estándar ISO/IEC

147641 incluye las siguientes categorías definidas por Lientz y Swanson 2(1978) que son:

Mantenimiento correctivo: modificaciones reactivas a un producto software hechas después de la entrega para corregir defectos descubiertos.

Mantenimiento adaptativo: modificación de un producto software realizada después de la entrega para permitir que un producto software siga pudiéndose utilizar en

un entorno diferente.

Mantenimiento perfectivo: modificación de un producto software después de la entrega para mejorar el rendimiento o la mantenibilidad.

 5.5 Estándares de Mantenimiento

Una consecuencia importante de las definiciones anteriores es que no se considera mantenimiento a

los cambios introducidos para incluir nuevos requisitos funcionales.

No obstante, no hay un consenso unánime en este sentido, y, de hecho, el concepto de evolución del software amplía

el espectro del mantenimiento a cambios en un sentido amplio. De hecho, hay autores que consideran que el
mantenimiento perfectivo sí incluye cambios en la funcionalidad.

Las categorías adaptativa y perfectiva son ambas mejoras, en contraposición el mantenimiento correctivo.

Por último, un estándar de mantenimiento del IEEE (1998) define una categoría adicional, la

de mantenimiento de emergencia, cuando los cambios se deben hacer sin planificación previa,
para mantener un sistema en operación.

Todas las anteriores definiciones son las que se encuentran habitualmente en los libros. No obstante,

la clasificación más exhaustiva se encuentra en el artículo de Chapin (2001).
Videos relativos a mantenimiento

• Video sobre Gestión de Indicadores de Mantenimiento General. https://www.youtube.com/watch?v=mFQuTwHjmXM

• Video sobre como realizar un plan de mantenimiento físico común. https://www.youtube.com/watch?v=umnJt1e9lWM