Principales departamentos de un Centro de Cómputo
Dentro de una empresa, el Centro de Cómputo ó Centro de Proceso de Datos cumple diversas funciones que justifican los puestos de trabajo establecidos que existen en él, las cuales se engloban a través de los siguientes departamentos:
− Explotación de sistemas o aplicaciones. La explotación u operación de un sistema informático o aplicación informática consiste en la utilización y aprovechamiento del sistema desarrollado. Ésta constituye el departamento o área de operación del sistema(s) con los que cuenta la organización. Consta de previsión de fechas de realización de trabajos, operación general del sistema, control y manejo de soportes, seguridad del sistema, supervisión de trabajos, etc.
− Soporte técnico a usuarios. El soporte, tanto para los usuarios como para el propio sistema, se ocupa de seleccionar, instalar y mantener el sistema operativo
adecuado, del diseño y control de la estructura de la base de datos, la gestión de los equipos de teleproceso, el estudio y evaluación de las necesidades y rendimientos del sistema y, por último, la ayuda directa a usuarios.
− Gestión y administración del propio Centro de Cómputo. Las funciones de gestión y administración de un Centro de Procesamiento de Datos engloban operaciones de supervisión, planificación y control de proyectos, seguridad y control de proyectos, seguridad general de las instalaciones y equipos, gestión financiera y gestión de los propios recursos humanos.
Instalaciones Físicas del Centro de Cómputo
Se establece a continuación criterios ideales para establecer la correcta y segura disposición física del centro de cómputo en las organizaciones:
Edificio, área y espacio:
Edificio.
Es trascendental la ubicación del edificio y su construcción misma para la operación eficiente del centro de cómputo y como primera medida, debe considerarse si se trata de un edificio nuevo de construir o uno ya existente a adecuarse, para ello se mencionan los siguientes puntos:
a) Realizar un estudio de la zona a fin de evitar estar expuestos al peligro por sismos, contaminación, incendio, explosión, inundación, radiaciones, interferencia de radar, vandalismo, disturbios sociales, así como riesgos provocados por las industrias cercanas y todo lo que pueden ocasionar problemas con el equipo de procesamiento de datos y archivos.
b) Seleccionar la parte más segura dentro del edificio para el centro de cómputo y contar con facilidades de energía eléctrica, acometidas telefónicas, aire acondicionado, servicios públicos y salida de emergencia adecuada.
c) Cuando el acceso al centro de cómputo deba efectuarse a través de otros
departamentos, será necesario prever el paso de las máquinas a través de
diferentes puertas, ventanas, pasillos, montacargas, etc. Los elevadores deberán soportar cuando menos una carga estándar de 1135kg. (2500 lbs.) y ser lo suficientemente largos para acomodar los equipos en este.d) Se deben definir claramente las rutas de acceso del personal para la carga de
documentos, respaldos en unidades magnéticas, elaboración de reportes, etc., cuidando que no existan sobre el piso escalones, rampas, cables, etc.
e) La construcción del piso debe soportar el peso de los equipos que serán
instalados. Las designaciones típicas de los equipos IBM no rebasan de los
340kg/m2.
f) La puerta de acceso al centro de cómputo debe tener 95cm. de ancho mínimo y abrir hacia afuera.
g) Se deben de usar materiales de construcción no combustible y resistente al fuego.
h) Recubrir las paredes con pintura lavable, con el objeto de que no se desprenda polvo y sea fácil su limpieza.
i) Construir el mínimo de ventanas exteriores (o ninguna) a fin de evitar
interferencias.
j) Si el falso plafón se utiliza como pleno para el retorno del aire acondicionado, deberá pintarse el techo real con pintura de aceite o sintética de color claro.
Área y Espacio
Se recomienda que en el área del centro de cómputo existan separadores de aluminio y cristal o cuartos independientes para la instalación de todo el equipo y debemos considerar lo siguiente:
a) La configuración definitiva del sistema a instalar: el procesador, impresoras, estaciones de trabajo, módems, multiplexores y demás periféricos.
b) Para hacer una distribución adecuada se deberá poseer un plano del local elegido en escala 1:50 sobre el que se ubicarán las plantillas de los equipos cuidando sus áreas de servicio y pruebas (espacio adicional al área del equipo para su mantenimiento).
c) Es necesario plantear la secuencia de conexión de los equipos para los
direccionamientos de los mismos.
d) Se recomienda la ubicación de la consola del sistema como máximo a 6 metros de distancia del rack del procesador y que sea visible el panel de control del mismo.
e) Por el polvo que desprenden las impresoras y el ruido que hacen al imprimir, se deben instalar en un cuarto independiente junto con una estación de trabajo a un metro de distancia de la impresora del sistema para facilitar el suministro de los reportes.
f) Se debe tener en cuenta el espacio a ocupar del equipo adicional como son: Comunicaciones, módems, teléfonos, nobreak, un archivo mínimo, cintas de respaldo, una mesa de trabajo, mueble para manuales y papelería, además del espacio para futuro crecimiento.
Energía Eléctrica y Tierra Física
Instalación Eléctrica
La instalación eléctrica es un factor fundamental para la operación y seguridad de los equipos en el que se debe completar el consumo total de corriente, el calibre de los cables, la distribución efectiva de contactos, el balanceo de las cargas eléctricas y una buena tierra física.
Una mala instalación provocaría fallas frecuentes, cortos circuitos y hasta que se quemen los equipos.
La instalación eléctrica para el área de sistemas, debe ser un circuito exclusivo tomado de la sub-estación o acometida desde el punto de entrega de la empresa distribuidora de electricidad, usando cables de un solo tramo, sin amarres o conexiones intermedias. Para el cálculo de la línea se debe tomar un factor de seguridad de 100% en el calibre de los conductores para una caída máxima de voltaje de 2%.
Se debe construir una tierra física exclusiva para esta área, la cual se conecte a través de un cable con cubierta aislante al centro de carga del área de cómputo.
Aire Acondicionado y Humedad
Los fabricantes de los equipos de cómputo presentan en sus manuales los
requerimientos ambientales para la operación de los mismos, aunque estos soportan variación de temperatura, los efectos recaen en sus componentes electrónicos cuando empiezan a degradarse y ocasionan fallas frecuentes que reduce la vida útil de los equipos.
Se requiere que el equipo de aire acondicionado para el centro de cómputo sea independiente por las características especiales como el ciclo de enfriamiento que deberá trabajar día y noche aún en invierno y las condiciones especiales de filtrado.
La alimentación eléctrica para este equipo debe ser independiente por los arranques de sus compresores que no afecten como ruido eléctrico en los equipos de cómputo.
La determinación de la capacidad del equipo necesario debe estar a cargo de personal competente o técnicos de alguna empresa especializada en aire acondicionado, los que efectuarán el balance térmico correspondiente como es:
1. Para Calor Sensible.
Se determinan ganancias por vidrio, paredes, particiones, techo, plafón falso, piso, personas, iluminación, ventilación, puertas abiertas, calor disipado por las máquinas, etc.
2. Para Calor Latente.
Se determina el número de personas y la ventilación. La inyección de aire acondicionado debe pasar íntegramente a través de las máquinas y una vez que haya pasado, será necesario que se obtenga en el ambiente del salón una temperatura de 21ºC +/ 2ºC y una humedad relativa de 45% +/- 5%, así como también en la cintoteca. Es necesario que el equipo tenga controles automáticos que respondan rápidamente a variaciones de +/- 1ºC y +/-
5% de humedad relativa. Estas características de diseño también han demostrado ser de un nivel de confort bueno y aceptado par la mayoría de las personas. Se recomienda mantener las condiciones de temperatura y humedad las 24 horas del día y los 365 días del año, puesto que las cintas, disquetes, papel, etc., deben estar en las condiciones ambientales indicadas antes de ser utilizados.Debe tenerse en cuenta que una instalación de aire acondicionado debe proveer como mínimo el 15% de aire de renovación por hora, por el número de personas que en forma permanente consumen oxígeno y expelen anhídrido carbónico, si no se considera, al cabo de un tiempo de operación comienzan a manifestarse malestares como dolor de cabeza, cansancio o agotamiento y disminuyen en el rendimiento del personal.
No deben usarse equipos de aire acondicionado de ventana que no regulen la
humedad ni filtren el aire, porque los gases de la combustión de motores y polvo es aspirado y enviado al centro de cómputo.
El polvo y gases corrosivos pueden provocar daños en el equipo, una
concentración alta de gases tales como dióxido de sulfuro, dióxido de nitrógeno,ozono, gases ácidos como el cloro, asociados con procesos industriales causan corrosión y fallas en los componentes electrónicos.
Este tipo de problemas son usuales en las ciudades muy contaminadas, por lo
que se debe tener en cuenta en el diseño del aire acondicionado instalar filtros dobles o de carbón activado de tal manera que forme un doble paso de filtro de aire, con objeto de evitar causarle daño a las máquinas del sistema y degradaciones en sus componentes electrónicos. Todos los filtros que se usen no deberán contener materiales combustibles.
Para mantener constante la humedad relativa es necesario que el equipo de aire acondicionado se le adiciones un humidificador en el ducto de inyección principal.
Un higrómetro de pared en el ambiente de la sala debe controlar al humidificador para el arranque y parada del compresor únicamente. Las unidades manejadoras de aire deberán trabajar en forma continua. El termostato y el higrómetro deberán responder a variaciones de 1ºC y 5% de humedad relativa. Una alta humedad relativa puede causar alimentación de papel impropias, accionamiento indebido de los detectores de humo e incendio, falta de confort para el operador y condensación sobre ventanas y paredes cuando las temperaturas exteriores son inferiores a las del centro de cómputo.
Una baja humedad relativa crea la facilidad para que con el movimiento de
personas, sillas rodantes, papel y mobiliarios generen la electricidad estática.
El mejor método de distribución de aire para el centro de computo es el de usar el piso falso para la salida de aire y el plafón falso para el retorno mismo. Debe preverse una renovación de aire mayor al 15 %.Iluminación y Acústica.
Iluminación
Es muy importante contar con buena iluminación en toda el área, que facilite la operación de los equipos y para el mantenimiento de los mismos. Si es posible, se deben instalar todas las estaciones de trabajo alineadas en paralelo, de tal forma que las lámparas en el techo queden directos a los costados de las pantallas. Para evitar la fatiga de la vista es necesario instalar lámparas fluorescentes blancas compatibles con
la luz del día y pintar la oficina con colores tenues y el techo blanco para activar la reflexión.
Debe evitarse que lleguen los rayos directos del sol, para observar con claridad las distintas luces y señales de la consola y tableros indicadores de los equipos. Los circuitos de iluminación no se deben tomar del mismo tablero eléctrico que para alimentar los equipos de cómputo. El nivel de iluminación corresponde a 40 watts por metro cuadrado de superficie de salón, usando lámparas fluorescentes.
Acústica
El total del nivel de ruido en el centro de cómputo, es acumulado por todos los ruidos del salón es afectado por los arranques físicos de los motores de los equipos y los movimientos en la operación. P ara proveer una mayor eficiencia y una operación confortable, se recomienda aplicar material acústico en paredes y techos del salón como son texturas a base de tirol o recubrimientos de enjarres.
Equipos Contra Incendios
a) La mejor prevención contra incendios consiste en emplear materiales no
combustibles o en su defecto, tratarlos con pinturas, impregnaciones u otros que impidan o retarden su inflamación.
b) Debe instalarse un sistema de detección de humo e incendio distribuido por toda el área, tanto debajo del piso falso, en las salidas de aire acondicionado, en el falso plafón como las visibles en el techo. Este sistema de detección debe activar una alarma, la que avisara al personal para efectuar el plan de contingencia ya establecido.
c) Deben emplearse suficientes extintores portátiles de bióxido de carbono. Este es el agente recomendado para el equipo eléctrico (fuego clase "C"). La ubicación de los extinguidores debe estar marcada en el techo y ser accesible a las personas quetrabajan en el área. Además, deben poder ser retirados con facilidad en caso de necesidad. Estos extintores deben ser inspeccionados una vez por año como mínimo y las instrucciones para su uso deben ser colocadas al lado de los mismos e incluidas en el programa de seguridad.
d) Es aconsejable colocar una boca de agua con manguera a una distancia efectiva del centro de proceso, como agente extintor secundario para escritores, sillas, muebles, etc. (fuego clase "A").
Luces de Emergencia
Se recomienda el uso de luces de emergencia alimentadas del UPS (Uninterruptible Power Supply) o con baterías, que automáticamente se encienden ante una falta de energía eléctrica comercial.
martes, 29 de noviembre de 2011
martes, 22 de noviembre de 2011
Acceso no autorizado a equipos de cómputo y de telecomunicaciones
Es habitual observar en los entornos corporativos cómo los usuarios se levantan de su puesto de trabajo por cualquier circunstancia, dejando la sesión abierta. Esta manera de actuar puede representar un grave riesgo de seguridad, tanto para las empresas como para los propios usuarios.
De acuerdo a la consultora, un número significativo de accesos no autorizados ocurren cuando alguien se sienta ante la sesión abierta del ordenador de otro usuario.
Los PCS desatendidos facilitan -entre otras acciones- el acceso a datos sensibles y el envío de correos falsos.
Riesgos para las empresas:
Ø Acceso no autorizado a datos personales (por ejemplo, información salarial).
Ø Acceso no autorizado a información corporativa, en la que pueden introducirse cambios (para encubrir fraudes, incrementar comisiones, etc.).
Ø Evitar o saltar determinados procesos de aprobación (como permitir órdenes de compra)
Riesgos para los usuarios:
Ø Lectura no autorizada del correo personal.
Ø Envío de correos bajo el nombre de otro usuario, lo que puede causar graves daños profesionales.
Ø Uso del ordenador de forma no autorizada para la realización de daños o ataques a otros sistemas de la red.
El usuario suministrará la documentación requerida por el personal de Informática y Telecomunicaciones en caso de llevarse a cabo una auditoria o verificación de licencias.
Telecomunicaciones dirigirá y actualizará todas las licencias multiusuario a nivel de recinto. Estas licencias se distribuirán de acuerdo a las necesidades de las oficinas, dependencias y laboratorios. Los directores de departamentos y oficinas serán notificados por escrito de las licencias instaladas para el uso de sus oficinas y laboratorios de computadoras.
De acuerdo a lo anterior se mencionan los siguientes puntos:
a) Que el fraude afecta a los estados, los operadores y potencialmente a cualquier usuario de los sistemas de telecomunicaciones, impactando negativamente en la imagen del sector.
b) Que en el nuevo entorno de convergencia de redes se espera la aparición de nuevas modalidades de fraudes en telecomunicaciones
que es necesario estudiarlas y emitir políticas para minimizar sus
efectos..
c) Que los defraudadores día a día son más creativos en la forma de obtener beneficios de las redes de telecomunicaciones para realizar otros tipos de fraudes.
d) Que la temática de Control de fraude requiere estudiar y recomendar las mejores prácticas.
e) Que los operadores en el área de telecomunicaciones para ser más competitivos, deben proyectar su infraestructura hacia redes de convergencia y al mismo tiempo, mejorar sus sistemas de Control de Fraude, dando a este tema la debida importancia y tratándolo con las herramientas tecnológicas, administrativas y judiciales que cada país requiera en la transición hacia redes de nueva generación.
f) Que el robo de terminales móviles es un aspecto que afecta a los diferentes estados miembros, ya sea a través de pérdidas de vidas humanas, o de pérdidas de negocio o facilitación para comisión de otros tipos de delitos.
g) Que la seguridad de las redes es muy importante para evitar eventuales prestaciones ilegales, no autorizadas o que permiten disfrazar otras actividades que van en contra de la legalidad y por ende causan perjuicios a nuestros estados.
Robo de equipo
El objetivo principal de la seguridad informática es proteger los recursos informáticos del daño, la alteración, el robo y la pérdida. Esto incluye la información, los equipos, el software, los medios de almacenamiento y los productos.
Los activos de información y los equipos informáticos son recursos importantes y vitales de nuestra Compañía. Por tal razón tienen el deber de preservarlos, utilizarlos y mejorarlos.
Esto significa que se deben tomar las acciones apropiadas para asegurar que la información y los sistemas informáticos estén apropiadamente protegidos de muchas clases de amenazas y riesgos.
A continuación se mencionan algunos artículos de política de seguridad física:
Artículo 5. Robo de Equipo
5.1 La IES deberá definir procedimientos para inventario físico, firmas de resguardo para préstamos y usos dedicados de equipos de tecnología de información.
5.2 El resguardo de los equipos de comunicaciones deberá quedar bajo el área o persona que los usa, permitiendo conocer siempre la ubicación física de los equipos.
5.3 El centro de operaciones, así como las áreas que cuenten con equipos de misión crítica deberán contar con vigilancia y/o algún tipo de sistema que ayude a recabar evidencia de accesos físicos a las instalaciones.
Artículo 6. Protección Física
6.1 Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio transparente, para favorecer el control del uso de los recursos de cómputo.
6.2 El centro de telecomunicaciones de la IES debe:
· Recibir limpieza al menos una vez por semana, que permita mantenerse libre de polvo.
· Ser un área restringida.
· Estar libre de contactos e instalaciones eléctricas en mal estado
· Contar por lo menos con un extinguidor de incendio adecuado y cercano al centro de telecomunicaciones.
6.3 El centro de telecomunicaciones deberá seguir los estándares vigentes para una protección adecuada de los equipos de telecomunicaciones y servidores (Anexo 2).
6.4 Los sistemas de tierra física, sistemas de protección e instalaciones eléctricas del centro de telecomunicaciones deberán recibir mantenimiento anual con el fin de determinar la efectividad del sistema.
6.5 Cada vez que se requiera conectar equipo de cómputo, se deberá comprobar la carga de las tomas de corriente.
6.6 Contar con algún esquema que asegure la continuidad del servicio.
6.7 Se deberá tener fácil acceso a los procedimientos de contingencias.
6.8 Se deberá contar con un botiquín de primeros auxilios.
6.9 Se deberán contar con rutas de evacuación y sus señalamientos correspondientes.
6.10 Se programarán simulacros de evacuación en casos de contingencia
Debilidades o insuficiencia de la normatividad
El espectacular desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La manipulación fraudulenta de los ordenadores con ánimo de lucro, la destrucción de programas o datos y el acceso y la utilización indebida de la información que puede afectar la esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrónico de datos mediante los cuales es posible obtener grandes beneficios económicos o causar importantes daños materiales o morales. Pero no sólo la cuantía de los perjuicios así ocasionados es a menudo infinitamente superior a la que es usual en la delincuencia tradicional, sino que también son mucho más elevadas las posibilidades de que no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas veces de borrar toda huella de los hechos.
En este sentido, la informática puede ser el objeto del ataque o el medio para cometer otros delitos. La informática reúne unas características que la convierten en un medio idóneo para la comisión de muy distintas modalidades delictivas, en especial de carácter patrimonial (estafas, apropiaciones indebidas, etc.). La idoneidad proviene, básicamente, de la gran cantidad de datos que se acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente fácil manipulación de esos datos.
La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos. A ello se une que estos ataques son relativamente fáciles de realizar, con resultados altamente satisfactorios y al mismo tiempo procuran a los autores una probabilidad bastante alta de alcanzar los objetivos sin ser descubiertos.
El estudio de los distintos métodos de destrucción y/o violación del hardware y el software es necesario en orden a determinar cuál será la dirección que deberá seguir la protección jurídica de los sistemas informáticos, ya que sólo conociendo el mecanismo de estos métodos es posible encontrar las similitudes y diferencias que existen entre ellos. De este modo se pueden conocer los problemas que es necesario soslayar para conseguir una protección jurídica eficaz sin caer en el casuismo.
En consecuencia, la legislación cae en una debilidad en la protección de los sistemas informáticos, ha de perseguir acercarse lo más posible a los distintos medios de protección ya existentes, creando una nueva regulación sólo en aquellos aspectos en los que, en base a las peculiaridades del objeto de protección, sea imprescindible.
Ley Federal de Telecomunicaciones
Esta tiene por objeto regular el uso, aprovechamiento y explotación del espectro radioeléctrico, de las redes de telecomunicaciones, y de la comunicación vía satélite.
¿Cómo lo hacen?
Hackers
"Son individuos, jóvenes, que aprovechando los defectos de seguridad y la vulnerabilidad de las redes informáticas, fundamentalmente de Internet, acceden sin autorización y de forma ilícita a un sistema informático desde un ordenador remoto, bien con el solo objetivo de conseguir tal acceso. Los hackers se sirven de una amplia gama de artimañas para conseguir entrar en un sistema. Pueden acudir:
"Ingeniería social", que consiste en ganarse la confianza de alguna persona que, por trabajar en el entorno del sistema, posee la información necesaria para abrir la puerta de entrada al mismo. La "ingeniería social" es todo un arte y el "ingeniero" ha de ser cuidadoso para no caer o, de lo contrario podría convertirse en un "sospechoso habitual", ante cualquier anomalía o incursión que fuera detectada en adelante en ese sistema.
Los Caballos de Troya, programas que se introducen en el ordenador y, engañando al usuario (que puede ser incluso el administrador del sistema) consiguen determinados datos de gran utilidad para el hacker. Un Caballo de Troya típico, es aquel que emula el proceso de entrada a un sistema. Consiste en un programa que presenta la típica pantalla de login (usuario) y password (contraseña) para entrar en el sistema. El usuario no nota diferencia alguna y, escribe, uno detrás de otro, pero estos irán a parar a un fichero del que serán "recolectados" más tarde por el hacker. Como realmente no se ha entrado en el sistema, el Caballo de Troya simulará un mensaje de "password incorrecto" excusa bajo la cual, esta vez si invocará la verdadera rutina de entrada al sistema. El usuario (víctima) pensará que no escribió correctamente.
En Internet, se puede encontrar una amplia variedad de herramientas para monitorear y analizar redes, las que actúan revisando los paquetes de información electrónica que transitan por una determinada red. Como generalmente dichos paquetes de una red no están encriptados, bastará que el Hacker revise dicha información, especialmente entre las 8 y 9 A.M., (hora en que son encendidos las computadoras por los usuarios), para conocer sus nombres y contraseñas
domingo, 6 de noviembre de 2011
LA LEGISLACION Y LA NORMATIVIDAD ACTUAL RELATIVA AL EQUIPO (HARDWARE)
Casos de normatividad aplicada al equipo en México y en el mundo
Equipo de cómputo: computadoras, impresoras, escaners, y demás dispositivos conectados a una computadora.
Los casos de normatividad creados para la prevención de delitos contra los equipos de computo son los siguientes:
Referente a la adquisición de equipo
De acuerdo al Decreto que establece las medidas de austeridad y disciplina del gasto de la Administración Pública Federal del 4 diciembre de 2006:
Art. 21 Frac.I, La contratación de las TICs deberá realizarse de forma consolidada la prestación de servicios de cómputo que incluyan, como mínimo, la obligación de los proveedores de proporcionar los equipos correspondientes y brindar los servicios de asistencia técnica, mantenimiento y reemplazo de dichos equipos
Por Tecnologías de la Información y Comunicaciones se entienden redes, Internet, computadoras, sistemas por desarrollar o mantener, paquetería de software, impresoras, escanners, telefonía, videoconferencia y bienes informáticos en general.
Equipos de cómputo de exportación
Desde 1992 el Gobierno de México decidió que era conveniente para el país que la industria de equipo de cómputo fuera liberalizada completamente no sólo con EE. UU. y Canadá, sino con todos los países, ya que por su grado de globalización no podrían producirse todos los tipos de equipos de cómputo y menos aún todos sus componentes en México, como no sucede en ningún país del mundo.
La responsabilidad.
ART.2.- I. Por cada equipo de cómputo, habrá un servidor público responsable, quién deberá observar las disposiciones de esta normatividad, auxiliado por el administrador de la unidad informática, quién a su vez es responsable directo, de todos los bienes informáticos que por función le corresponda administrar; Tanto los responsables como los administradores de unidades informáticas, deberán verificar los equipos de cómputo con objeto de constatar el cumplimiento escrupuloso la normatividad establecida en el presente acuerdo y la legislación aplicable.
Del respaldo, ambiente y limpieza
ART.3.-El equipo de cómputo deberá mantenerse en un sitio apropiado, iluminado, ventilado, limpio y libre de polvo, así mismo, los responsables a través de los administradores de la unidad informática, deberán solicitar, a la Dirección General de Modernización y Sistemas su inclusión en el programa permanente de mantenimiento preventivo; y III. Queda estrictamente prohibido el almacenamiento de archivos que contengan música, pornografía, videos, imágenes y de cualquier otro tipo que no estén relacionados con la actividad ó función, para la cual se destinó el equipo de cómputo.
De los servicios institucionales
ART.6.- Es responsabilidad de los administradores de unidades informáticas, instalar ó, en su caso, solicitar la instalación del software correspondiente a los servicios institucionales que le hayan sido autorizados al equipo de cómputo de su área de competencia a fin de mantenerlos vigentes.
Acceso no autorizado a equipos de computo y de telecomunicaciones.
La Información es el elemento principal a proteger, resguardar y recuperar dentro de las empresas.
La vulnerabilidad es la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.
Específicamente, en los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site de la compañía. Con ello, es evidente que los riesgos están en la red, no en la PC.
Es por la existencia de un número importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.
En México, como en el mundo entero, los medios electrónicos han revelado que fraudes como el "Phishing" van en constante aumento. Esta modalidad de fraude consiste en que criminales electrónicos (que no virtuales), hacen una invitación para que un usuario entre en una página falsa y revele sus datos confidenciales, los cuales son luego utilizados en contra del patrimonio de éste.
"Los Hackers pueden, incluso, formar parte del personal administrativo o de sistemas de cualquier compañía; de acuerdo con expertos en el área, más de 70% de las violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la Información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización".
La seguridad en la Información es la relación entre la gente y datos. La infraestructura de la Información es aquella que une a la gente con los datos, y por consiguiente juega un rol clave en la dirección de la seguridad de las interacciones entre los dos. Para asegurar a la gente, las organizaciones primero deben establecer y luego asegurar las identidades de la gente, usando la autenticación y la identidad para tener acceso a soluciones de dirección.
Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización de un respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.
Las políticas deberán basarse en los siguientes pasos:
• Identificar y seleccionar lo que se debe proteger (Información sensible).
• Establecer niveles de prioridad e importancia sobre esta Información.
• Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles.
• Identificar las amenazas, así como los niveles de vulnerabilidad de la red.
• Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla.
• Implementar respuesta a incidentes y recuperación para disminuir el impacto.
Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de
acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger.
Robo de equipo de cómputo
En la red hay noticias que hablan del robo de equipos de cómputo , lo cual se podría tomar como algo natural y sin importancia, pero regularmente los equipos de cómputo robados son noticia cuando contienen información confidencial de miles de usuarios, datos sobre proyectos importantes, información de las empresas, entre otros datos críticos.
Art. 19. El usuario es directamente responsable del uso que se le dé al equipo de cómputo, software y/o periféricos asignados para el desarrollo de sus actividades, así como de dar aviso inmediato al:
I. Enlace Informático de los equipos de cómputo, software o periféricos que sufran algún deterioro, extravío o robo, y
II. Al Coordinador Administrativo al cambiar de adscripción o dejar de prestar sus servicios en la Secretaría, entregando los equipos de cómputo, software o periféricos que estén consignados en el vale de resguardo correspondiente.
Norma para la seguridad contra robos de equipos de computo gubernamentales
1. Todo el equipo de cómputo (computadoras, estaciones de trabajo y equipo accesorio), que esté o sea conectado a la Red del GDF y que sea propiedad del Gobierno debe sujetarse a las normas y procedimientos de instalación que emite el Comité de Informática.
2. El equipo requiere estar ubicado en una área que cumpla con los requerimientos de:
3. Seguridad física: Tanto para el equipo como para el usuario.
4. Condiciones ambientales: Condiciones climáticas adecuadas para no afectar al equipo.
5. Alimentación eléctrica: Garantizar la continuidad de la energía eléctrica.
6. Cumpla con los lineamientos y estándares aceptados por el Comité de Informática.
7. La protección física de los equipos corresponde a quienes en un principio se les asigna, y se deben notificar los movimientos en caso de que existan, a las autoridades correspondientes.
8. En caso de que el equipo se encuentre en un lugar distinto con respecto al resguardo de la persona que lo tiene, éste deberá ser responsabilidad del área de trabajo en donde se encuentra el equipo en comento.
9. La seguridad física del equipo contra robo, siniestro o cualquier eventualidad, será responsabilidad del personal de seguridad del inmueble.
10. En las áreas donde la información se considera de vital importancia, las unidades removibles deberán estar aseguradas físicamente.
11. Los equipos móviles (laptops, computadoras de mano, celulares, etc...), son responsabilidad de quien las porta.
Equipo de cómputo: computadoras, impresoras, escaners, y demás dispositivos conectados a una computadora.
Los casos de normatividad creados para la prevención de delitos contra los equipos de computo son los siguientes:
Referente a la adquisición de equipo
De acuerdo al Decreto que establece las medidas de austeridad y disciplina del gasto de la Administración Pública Federal del 4 diciembre de 2006:
Art. 21 Frac.I, La contratación de las TICs deberá realizarse de forma consolidada la prestación de servicios de cómputo que incluyan, como mínimo, la obligación de los proveedores de proporcionar los equipos correspondientes y brindar los servicios de asistencia técnica, mantenimiento y reemplazo de dichos equipos
Por Tecnologías de la Información y Comunicaciones se entienden redes, Internet, computadoras, sistemas por desarrollar o mantener, paquetería de software, impresoras, escanners, telefonía, videoconferencia y bienes informáticos en general.
Equipos de cómputo de exportación
Desde 1992 el Gobierno de México decidió que era conveniente para el país que la industria de equipo de cómputo fuera liberalizada completamente no sólo con EE. UU. y Canadá, sino con todos los países, ya que por su grado de globalización no podrían producirse todos los tipos de equipos de cómputo y menos aún todos sus componentes en México, como no sucede en ningún país del mundo.
La responsabilidad.
ART.2.- I. Por cada equipo de cómputo, habrá un servidor público responsable, quién deberá observar las disposiciones de esta normatividad, auxiliado por el administrador de la unidad informática, quién a su vez es responsable directo, de todos los bienes informáticos que por función le corresponda administrar; Tanto los responsables como los administradores de unidades informáticas, deberán verificar los equipos de cómputo con objeto de constatar el cumplimiento escrupuloso la normatividad establecida en el presente acuerdo y la legislación aplicable.
Del respaldo, ambiente y limpieza
ART.3.-El equipo de cómputo deberá mantenerse en un sitio apropiado, iluminado, ventilado, limpio y libre de polvo, así mismo, los responsables a través de los administradores de la unidad informática, deberán solicitar, a la Dirección General de Modernización y Sistemas su inclusión en el programa permanente de mantenimiento preventivo; y III. Queda estrictamente prohibido el almacenamiento de archivos que contengan música, pornografía, videos, imágenes y de cualquier otro tipo que no estén relacionados con la actividad ó función, para la cual se destinó el equipo de cómputo.
De los servicios institucionales
ART.6.- Es responsabilidad de los administradores de unidades informáticas, instalar ó, en su caso, solicitar la instalación del software correspondiente a los servicios institucionales que le hayan sido autorizados al equipo de cómputo de su área de competencia a fin de mantenerlos vigentes.
Acceso no autorizado a equipos de computo y de telecomunicaciones.
La Información es el elemento principal a proteger, resguardar y recuperar dentro de las empresas.
La vulnerabilidad es la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.
Específicamente, en los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site de la compañía. Con ello, es evidente que los riesgos están en la red, no en la PC.
Es por la existencia de un número importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.
En México, como en el mundo entero, los medios electrónicos han revelado que fraudes como el "Phishing" van en constante aumento. Esta modalidad de fraude consiste en que criminales electrónicos (que no virtuales), hacen una invitación para que un usuario entre en una página falsa y revele sus datos confidenciales, los cuales son luego utilizados en contra del patrimonio de éste.
"Los Hackers pueden, incluso, formar parte del personal administrativo o de sistemas de cualquier compañía; de acuerdo con expertos en el área, más de 70% de las violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la Información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización".
La seguridad en la Información es la relación entre la gente y datos. La infraestructura de la Información es aquella que une a la gente con los datos, y por consiguiente juega un rol clave en la dirección de la seguridad de las interacciones entre los dos. Para asegurar a la gente, las organizaciones primero deben establecer y luego asegurar las identidades de la gente, usando la autenticación y la identidad para tener acceso a soluciones de dirección.
Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización de un respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.
Las políticas deberán basarse en los siguientes pasos:
• Identificar y seleccionar lo que se debe proteger (Información sensible).
• Establecer niveles de prioridad e importancia sobre esta Información.
• Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles.
• Identificar las amenazas, así como los niveles de vulnerabilidad de la red.
• Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla.
• Implementar respuesta a incidentes y recuperación para disminuir el impacto.
Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de
acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger.
Robo de equipo de cómputo
En la red hay noticias que hablan del robo de equipos de cómputo , lo cual se podría tomar como algo natural y sin importancia, pero regularmente los equipos de cómputo robados son noticia cuando contienen información confidencial de miles de usuarios, datos sobre proyectos importantes, información de las empresas, entre otros datos críticos.
Art. 19. El usuario es directamente responsable del uso que se le dé al equipo de cómputo, software y/o periféricos asignados para el desarrollo de sus actividades, así como de dar aviso inmediato al:
I. Enlace Informático de los equipos de cómputo, software o periféricos que sufran algún deterioro, extravío o robo, y
II. Al Coordinador Administrativo al cambiar de adscripción o dejar de prestar sus servicios en la Secretaría, entregando los equipos de cómputo, software o periféricos que estén consignados en el vale de resguardo correspondiente.
Norma para la seguridad contra robos de equipos de computo gubernamentales
1. Todo el equipo de cómputo (computadoras, estaciones de trabajo y equipo accesorio), que esté o sea conectado a la Red del GDF y que sea propiedad del Gobierno debe sujetarse a las normas y procedimientos de instalación que emite el Comité de Informática.
2. El equipo requiere estar ubicado en una área que cumpla con los requerimientos de:
3. Seguridad física: Tanto para el equipo como para el usuario.
4. Condiciones ambientales: Condiciones climáticas adecuadas para no afectar al equipo.
5. Alimentación eléctrica: Garantizar la continuidad de la energía eléctrica.
6. Cumpla con los lineamientos y estándares aceptados por el Comité de Informática.
7. La protección física de los equipos corresponde a quienes en un principio se les asigna, y se deben notificar los movimientos en caso de que existan, a las autoridades correspondientes.
8. En caso de que el equipo se encuentre en un lugar distinto con respecto al resguardo de la persona que lo tiene, éste deberá ser responsabilidad del área de trabajo en donde se encuentra el equipo en comento.
9. La seguridad física del equipo contra robo, siniestro o cualquier eventualidad, será responsabilidad del personal de seguridad del inmueble.
10. En las áreas donde la información se considera de vital importancia, las unidades removibles deberán estar aseguradas físicamente.
11. Los equipos móviles (laptops, computadoras de mano, celulares, etc...), son responsabilidad de quien las porta.
miércoles, 12 de octubre de 2011
Contratos y licencias de software.
Contrato de licencia de uso.
Definición: El contrato de licencia de uso como un acuerdo bilateral por el cual una parte, el titular de los derechos de explotación del programa de ordenador (licenciante), otorga a la otra parte, el usuario o cliente (licenciado), el derecho a utilizar el programa a cambio de un precio, conservando el titular la propiedad sobre el mismo.
Partes Contratantes: Empresa titular derechos explotación del software y cliente.
Cláusulas Generales:
- Definiciones.
- Objeto.
- Derechos y obligaciones de las partes.
- Precio y forma de pago.
- Duración.
- Resolución.
- Confidencialidad.
- Domiciliación y notificaciones.
- Legislación aplicable y tribunales competentes.
Cláusulas Específicas:
- Entrega, instalación y personalización.
- Extensión y límites de la licencia de uso.
- Condiciones de la licencia.
- Utilización del paquete informático.
- Garantía y limitación de la misma.
- Responsabilidad de las partes.
- Propiedad intelectual y protección del software y de la documentación asociada.
- Efectos de la cancelación de la licencia.
- Cesión.
Tipos de Software y Licencia
Licencia: contrato entre el desarrollador de un software sometido a propiedad intelectual y a derechos de autor y el usuario, en el cual se definen con precisión los derechos y deberes de ambas partes. Es el desarrollador, o aquél a quien éste haya cedido los derechos de explotación, quien elige la licencia según la cual distribuye el software.
Patente: conjunto de derechos exclusivos garantizados por un gobierno o autoridad al inventor de un nuevo producto (material o inmaterial) susceptible de ser explotado industrialmente para el bien del solicitante por un periodo de tiempo limitado.
Derecho de autor o copyright: forma de protección proporcionada por las leyes vigentes en la mayoría de los países para los autores de obras originales incluyendo obras literarias, dramáticas, musicales, artísticas e intelectuales, tanto publicadas como pendientes de publicar.
Software libre: proporciona la libertad de
• Ejecutar el programa, para cualquier propósito;
• Estudiar el funcionamiento del programa, y adaptarlo a sus necesidades;
• Redistribuir copias;
• Mejorar el programa, y poner sus mejoras a disposición del público, para beneficio de toda la comunidad.
Software de fuente abierta: sus términos de distribución cumplen los criterios de
• Distribución libre;
• Inclusión del código fuente;
• Permitir modificaciones y trabajos derivados en las mismas condiciones que el software original;
• Integridad del código fuente del autor, pudiendo requerir que los trabajos derivados
tengan distinto nombre o versión;
• No discriminación a personas o grupos;
• Sin uso restringido a campo de actividad;
• Los derechos otorgados a un programa serán válidos para todo el software
redistribuido sin imponer condiciones complementarias;
• La licencia no debe ser específica para un producto determinado;
• La licencia no debe poner restricciones a otro producto que se distribuya junto con el
software licenciado;
• La licencia debe ser tecnológicamente neutral.
Estándar abierto: según Bruce Perens, el basado en los principios de
• Disponibilidad;
• Maximizar las opciones del usuario final;
• Sin tasas sobre la implementación;
• Sin discriminación de implementador;
• Permiso de extensión o restricción;
• Evitar prácticas predatorias por fabricantes dominantes.
Software de dominio público: aquél que no está protegido con copyright.
Software con copyleft: software libre cuyos términos de distribución no permiten a los redistribuidores agregar ninguna restricción adicional cuando lo redistribuyen o modifican, o sea, la versión modificada debe ser también libre.
Software semi libre: aquél que no es libre, pero viene con autorización de usar, copiar, distribuir y modificar para particulares sin fines de lucro.
Freeware: se usa comúnmente para programas que permiten la redistribución pero no la modificación (y su código fuente no está disponible).
Shareware: software con autorización de redistribuir copias, pero debe pagarse cargo por licencia de uso continuado.
Software privativo: aquél cuyo uso, redistribución o modificación están prohibidos o necesitan una autorización.
Software comercial: el desarrollado por una empresa que pretende ganar dinero por su uso.
Licencia de software de código abierto permisivas
Se puede crear una obra derivada sin que ésta tenga obligación de protección alguna. Muchas licencias pertenecen a esta clase, entre otras:
- Academic Free License v.1.2.
- Apache Software License v.1.1.
- BSD License.
- MIT License.
Licencia de software de código abierto robustas
Estas licencias aplican algunas restricciones a las obras derivadas, haciendo que según el grado de aplicación se puedan dividir a su vez en dos subcategorias:
Licencias de software de código abierto robustas fuertes
Llamadas también copyleft fuerte, contienen una cláusula que obliga a que las obras derivadas o modificaciones que se realicen al software original se deban licenciar bajo los mismos términos y condiciones de la licencia original.
Entre las licencias de esta categoría están:
- Common Public License v.1.0.
- GNU General Public License v.2.0.
- GNU General Public License v.3.0.
- Eclipse Public License.
Licencias de software de código abierto robustas débiles
También conocidas como copyleft débil/suave o híbridas, contienen una cláusula que obliga a que las modificaciones que se realicen al software original se deban licenciar bajo los mismos términos y condiciones de la licencia original, pero que las obras derivadas que se puedan realizar de él puedan ser licenciadas bajo otros términos y condiciones distintas.
Entre las licencias de esta categoría están:
- GNU Lesser General Public License v.2.1.
- Mozilla Public License
- Open Source License.
- Apple Source License v.2.0
Licencia de Usuario Final
Es una licencia por la cual el uso de un producto sólo está permitido para un único usuario (el comprador).
En este tipo de contrato, el dueño de los derechos de un producto insta al usuario final de éste a que reconozca tener conocimiento de las restricciones de uso, de los derechos del autor (copyright), de las patentes, etc. y que acepte de conformidad.
Licencia de distribuidores
En este tipo de contrato, se le asigna derechos restringidos a un comerciante de tipo comisionario para que venda el producto(software) dando una remesa o comisión al fabricante. La misma puede ser por primera venta o licencia de renovación de contrato. No se trata de una licencia de uso en términos jurídicos, sino mas bien en un acuerdo comercial en la que no tiene porque ser cedido el derecho de distribución necesariamente.
Referencias:
http://www.filemaker.com/company/legal/docs/sla/fmi_sla_es.pdf
http://docs.info.apple.com/article.html?artnum=26275-es
http://www.benito.org.mx/legislacion/05%20Legislacion%20Informatica%20-%20Legislacion%20y%20normatividad%20relativa%20al%20software.pdf
http://www.rebelion.org/docs/32693.pdf
http://www.sybase.com/files/Legal_Docs/softwarelicense_Mexico.pdf
Referencias:
http://www.filemaker.com/company/legal/docs/sla/fmi_sla_es.pdf
http://docs.info.apple.com/article.html?artnum=26275-es
http://www.benito.org.mx/legislacion/05%20Legislacion%20Informatica%20-%20Legislacion%20y%20normatividad%20relativa%20al%20software.pdf
http://www.rebelion.org/docs/32693.pdf
http://www.sybase.com/files/Legal_Docs/softwarelicense_Mexico.pdf
Suscribirse a:
Entradas (Atom)