Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Normas y Estandares de un centro de Computo a Nivel Empresa

No description
by

sebastian lopera

on 20 August 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Normas y Estandares de un centro de Computo a Nivel Empresa

Normas y Estandares de un centro de Computo a Nivel Empresarial y educativo
Los estándares internacionales son producto de diferentes organizaciones, algunas para uso interno solo, otras para uso por grupos de gente, grupos de compañías, o una subsección de una industria. Un problema surge cuando diferentes grupos se reúnen, cada uno con una amplia base de usuarios haciendo alguna cosa bien establecida que entre ellos es mutuamente incompatible. Establecer estándares internationales es una manera de prevenir o superar este problema.
Las normas son documentos técnico-legales con las siguientes características:

Contienen especificaciones técnicas de aplicación voluntaria.
Son elaborados por consenso de las partes interesadas:
Fabricantes.
Administraciones.
Usuarios y consumidores.
Centros de investigación y laboratorios.
Asociaciones y Colegios Profesionales.
Agentes Sociales, etc.
Están basados en los resultados de la experiencia y el desarrollo tecnológico.
Son aprobados por un organismo nacional, regional o internacional de normalización reconocido.
Están disponibles al público.
Las normas ofrecen un lenguaje de punto común de comunicación entre las empresas, la administración pública, los usuarios y consumidores. Las normas establecen un equilibrio socioeconómico entre los distintos agentes que participan en las transacciones comerciales, base de cualquier economía de mercado, y son un patrón necesario de confianza entre cliente y proveedor.
ALGUNAS NORMAS Y ESTANDARES
Buenas prácticas para Data Centers - Norma ANSI/BICSI 002-2011
BICSI 002-2011, establece los requisitos, recomendaciones y cualquier información adicional que deben tenerse en cuenta cuando se trabaja con sistemas críticos, como las redes eléctricas, mecánicas y de telecomunicaciones, así como otras necesidades importantes, como la selección del sitio y la seguridad de los Data Centers.

BICSI 002 integra los conceptos clave y las necesidades de otros documentos y normas como ISO, IEC, TIA, ASHRAE, NFPA y otros, al tiempo que proporciona referencias específicas y consideraciones para el manejo de información. Esta función única de BICSI 002, proporciona un documento completo, que es aplicable en todo el mundo.

Como centros de datos siguen evolucionando, también lo hará esta norma.
ISO/IEC 27000-series


La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
ISO

La Organización Internacional para la Estandarización o ISO (del griego, ἴσος (isos), 'igual', y cuyo nombre en inglés es International OrganizationforStandardization), nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.
IEC




La Comisión Electrotécnica Internacional (CEI o IEC, por sus siglas del idioma inglés International ElectrotechnicalCommission) es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC).
OBJETIVO DE LA NORMA ISO 27000
tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña.
CARACTERISTICAS DE LA NORMA ISO27000

• CONFIDENCIALIDAD: la propiedad que esta información este disponible no sea divulgada a personas, entidades o procesos no autorizados.
• SEGURIDAD DE INFORMACIÓN: preservación de la confidencialidad,integridad, disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad,responsabilidad, no-repudio, y confiabilidad.
• SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: es aparte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar,mantener y mejorar la seguridad de la información
ISO/IEC 27000:

Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de 2014. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua).
ESTÁNDAR BS 7799-3
BSI (British Standards Institution) publicó en 2006 la tercera parte de BS 7799, dedicada a la gestión de riesgos de seguridad de la información.

BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo.

El estándar ISO/IEC 27005 coincide en buena parte de los elementos especificados en BS 7799-3 pero toma referencias adicionales de otros estándares reconocidos como el estándar australiano "AS/NZS 4360:2004, Risk Management" o la guía "ISO/IEC Guide 73:2002, Risk management", entre otros y, por tanto, ha permitido mantener en vigencia el estándar BS 7799-3 como un posible documento de utilidad para la evaluación de riesgos.

ASHRAE




La asociación ASHRAE (American Society of Heating, Refrigeration and Air-conditioning Engineers) es responsable de la creación de unas directrices térmicas para entornos de procesamientos de datos (The Thermal Guidelines for Data Processing Environments), que se han convertido en la especificación generalmente aceptada en todo el mundo en materia de operaciones de Centros de datos.
doc_otros_estandar_all_archivos/TC99Masthead_new.gif
La guía "TC9.9 Guidelines for Mission Critical Facilities" ha sido desarrollada por algunos de los representantes más relevantes en la fabricación de equipos TIC y determina información relevante a los equipos como:

- Rangos de temperatura (recomendados y permitidos ante una exposición prolongada)
- Valores recomendados frente a valores permitidos
- Velocidad de cambio en la temperatura
- El factor “X” de la fiabilidad de los equipos

En la versión publicada en 2011 se ha preparado una hoja de ruta para favorecer el aumento significativo en las horas operativas durante las que se podrán utilizar sistemas de racionalización con los que aumentar la posibilidad de que los centros de datos puedan prescindir de los sistemas de enfriamiento y chillers eliminando incluso por completo los sistemas de refrigeración mecánica sin exponer la disponibilida de las operaciones, con el fin de lograr mejores índices de eficiencia energética (PUE).

La ASHRAE es una de las pocas asociaciones del sector cuyas recomendaciones han sido aceptadas a escala internacional.
Estándar TIA 942
Concebido como una guía para los diseñadores e instaladores de centros de datos (Data Centers), el estándar TIA942 (2005) proporciona una serie de recomendaciones y directrices (guidelines) para la instalación de sus infraestructuras.

Aestándar TIA942 probado en 2005 por ANSI-TIA (American National Standards Institute – Telecomunications Industry Association), clasifica a este tipo de centros en varios grupos, llamados TIER (anexo G), indicando así su nivel de fiabilidad en función del nivel de disponibilidad.

Al diseñar los centros de datos conforme a la norma, se obtienen ventajas fundamentales, como son:

Nomenclatura estándar.
Funcionamiento a prueba de fallos.
Aumento de la protección frente a agentes externos.
Fiabilidad a largo plazo, mayores capacidades de expansión y escalabilidad.
De acuerdo con el estándar TIA-942, la infraestructura de soporte de un Data Center estará compuesta por cuatro subsistemas:


Telecomunicaciones: Cableado de armarios y horizontal, accesos redundantes, cuarto de entrada, área de distribución, backbone, elementos activos y alimentación redundantes, patch panels y latiguillos, documentación.
Arquitectura: Selección de ubicación, tipo de construcción, protección ignífuga y requerimientos NFPA 75(Sistemas de protección contra el fuego para información), barreras de vapor, techos y pisos, áreas de oficina, salas de UPS y baterías, sala de generador, control de acceso, CCTV, NOC (Network Operations Center – Centro operativo).
Sistema eléctrico: Número de accesos, puntos de fallo, cargas críticas, redundancia de UPS y topología de UPS, puesta a tierra, EPO (Emergency Power Off- sistemas de corte de emergencia) baterías, monitorización, generadores, sistemas de transferencia.
Sistema mecánico: Climatización, presión positiva, tuberías y drenajes, CRACs y condensadores, control de HVAC (High Ventilating Air Conditionning), detección de incendios y sprinklers, extinción por agente limpio (NFPA 2001), detección por aspiración (ASD), detección de líquidos.
Asimismo, y siguiendo las indicaciones del estándar, un CPD deberá incluir varias áreas funcionales:

Una o varias entradas al centro.
Área de distribución principal.
Una o varias áreas de distribución principal.
Áreas de distribución horizontal
Área de equipo de distribución.
Zona de distribución.
Cableado horizontal y backbone.
El concepto de TIER

El nivel de fiabilidad de un centro de datos viene indicado por uno de los cuatro niveles de fiabilidad llamados TIER, en función de su redundancia (anexo G). A mayor número de TIER, mayor disponibilidad, y por tanto mayores costes de construcción y mantenimiento.
TIER I- Nivel 1 (Básico)





Disponibilidad del 99,671 %.
Sensible a las interrupciones, planificadas o no.
Un solo paso de corriente y distribución de aire acondicionado, sin componentes redundantes.
Sin exigencias de piso elevado.
Generador independiente.
Plazo de implementación: 3 meses.
Tiempo de inactividad anual: 28,82 horas.
Debe cerrarse completamente para realizar mantenimiento preventivo.
TIER II- Nivel II (Componentes redundantes)







Sistemas ópticosDisponibilidad del 99,741 %.
Menor sensibilidad a las interrupciones.
Un solo paso de corriente y distribución de aire acondicionado, con un componente redundante.
Incluye piso elevado, UPS y generador.
Plazo de implementación: 3 meses.
Tiempo de inactividad anual: 28,82 horas.
Plazo de implementación: 3 a 6 meses.
Tiempo de inactividad anual: 22,0 horas.
El mantenimiento de la alimentación y otras partes de la infraestructura requieren de un cierre de procesamiento.
TIER III- Nivel III (Mantenimiento concurrente)






Soluciones de alta densidadDisponibilidad 99,982 %.
Interrupciones planificadas sin interrupción de funcionamiento, pero posibilidad de problemas en las no previstas.
Múltiples accesos de energía y refrigeración, por un solo encaminamiento activo. Incluye componentes redundantes (N+1).
Plazo de implementación: 15 a 20 meses.
Tiempo de inactividad anual: 1,6 horas.
TIER IV- Nivel IV (Tolerante a errores)


99,995 % de disponibilidad.
Interrupciones planificadas sin interrupción de funcionamiento de los datos críticos. Posibilidad de sostener un caso de improviso sin daños críticos.
Múltiples pasos de corriente y rutas de enfriamiento. Incluye componentes redundantes. Incluye componentes redundantes (2(N+1))- 2 UPS cada uno con redundancia (N+1).
Plazo de implementación: 15 a 20 meses.
Tiempo de inactividad anual: 0,4 horas.
Novedades introducidas por la Norma 942A

Data CenterResumimos en este apartado las modificaciones introducidas, en el campo del cableado, tanto en fibra como en cobre, por el estándar TIA 942 (A), de aplicación en Data Centers.

Si bien se trata de una normativa de origen USA, el estándar ANSI/TIA-942, editado en 2005, y con revisiones cada 5 años, puede ser considerado como “un sistema genérico de cableado para los Data Centers y su ámbito de influencia” (Página IX de las normativa). En su reciente actualización (2013), incorpora las siguientes novedades:

La utilización en los DC de fibras multimodo queda reservada a los tipos OM3 y OM4 (50/125), y equipos con emisores LASER 850 nm. Quedando prohibida la utilización de fibras de los tipos OM1 y OM2 anteriormente empleados.
Para los cableados de cobre, se recomienda el empleo de Cat6 (mínimo) y Cat6A apantallados. En este campo se coincide con ISO/IEC 24764, que reconoce únicamente enlaces Clase EA (Cat 6ªA)
Queda suprimida la limitación de 100 m. de longitud en cableados horizontales, para la fibra óptica, quedando la definición deeste concepto a la responsabilidad del fabricante.
Conectores ópticos: queda reducida la selección a los tipos LC Dúplex, para cables dúplex, y MPO para más de 12 fibras
Se recomienda el uso de arquitecturas centralizadas y jerárquicas, por ser más flexible que los enlaces directos.
Queda reestructurada la organización de los entornos DC, incluyendo tres tipos de áreas: MDA Main Distribution Area), IDA (Intermediate Distribution Area, HDA (Horizontal distribution Area) y ZDA (Optional Zone Distribution Area); algunas de las cuales pueden precisar de cableados supletorios. Con ello, instalaciones amplias pueden precisar de varias ubicaciones y varios IDAs, con cableados redundantes.
Aplicación de los TIER´s

Norma TIA/EIA-568-B
TIA/EIA-568-B intenta definir estándares que permitirán el diseño e implementación de sistemas de cableado estructurado para edificios comerciales y entre edificios en entornos de campus.

El estandar define los tipos de cables, distancias, conectores, arquitecturas, terminaciones de cables y características de rendimiento, requisitos de instalación de cable y métodos de pruebas de los cables instalados.

La intención de estos estándares es proporcionar una serie de prácticas recomendadas para el diseño e instalación de sistemas de cableado que soporten una amplia variedad de los servicios existentes, y la posibilidad de soportar servicios futuros que sean diseñados considerando los estándares de cableado.

El cable y conector RJ45 forma parte de éste estandar.
Tipos de cableados EIA/TIA 568.

Descrito en el estándar EIA/TIA 568B. El cableado de

Categoría 1 se utiliza para comunicaciones telefónicas y no es adecuado para la transmisión de datos

Cableado de categoría 2 :

El cableado de Categoría 2 puede transmitir datos a velocidades de hasta 4 Mbps.

Cableado de categoría 3 :

El cableado de Categoría 3 se utiliza en redes 10BaseT y puede transmitir datos a velocidades de hasta 10 Mbps.

Cableado de categoría 4 :

El cableado de Categoría 4 se utiliza en redes Token Ring y puede transmitir datos a velocidades de hasta 16 Mbps.

Cableado de categoría 5 :
El cableado de Categoría 5 puede transmitir datos a velocidades de hasta 100 Mbps.

Cableado de categoría 5 :
El cableado de Categoría 5 puede transmitir datos a velocidades de hasta 100 Mbps.
NORMA ANSI/EIA/TIA 569 A
Esta norma especifica las vías (ductos) que se deben tener para el tendido del cableado horizontal y
del cableado de backbone. Adicionalmente provee los requerimientos para los espacios tales como
Cuartos de equipos, Closet de Telecomunicaciones etc.
Como vías para cableado Horizontal la norma permite:
• Sistemas bajo Suelo
• Sistemas de Piso Removible
• Tubos Conduit metálico o de PVC
• Dúctos y Canaletas Perimetrales
• Sistemas de Cielo
Para el cableado de Backbone se pueden usar:
Las Vías para Cableado de backbone Interno pueden ser:
• Tubos Conduit
• Manguitos o Ranuras de piso
• Bandejas Portacable
Las Vías para cableado entre edificios pueden ser:
• Ductos Subterráneos
• Instalaciones Aéreas (por postes)
• Túneles
Estándar IEEE 802.3 (Ethernet)

La norma IEEE 802.3 define un modelo de red de área local utilizando el protocolo de acceso al medio CSMA/CD con persistencia de 1, es decir, las estaciones están permanentemente a la escucha del canal y cuando lo encuentran libre de señal efectúan sus transmisiones inmediatamente. Esto puede llevar a una colisión que hará que las estaciones suspendan sus transmisiones, esperen un tiempo aleatorio y vuelvan a intentarlo.
Estándar IEEE 802.4 (Token Bus)

Las redes que siguen el protocolo IEEE 802.3 se han extendido rápidamente, sobre todo por su facilidad de instalación. Sin embargo, tienen un problema que representa un escollo importante en algunas aplicaciones: su carácter probabilístico en la resolución de las colisiones puede provocar retardos importantes en las transmisiones en casos extremos. Algunas aplicaciones no soportan tales retardos, sobre todo las que son críticas en el tiempo, es decir, en aplicaciones en tiempo real, como el control de procesos industriales.
Estándar IEEE 802.5 (Token Ring)

Son muchos los tipos de anillos que se pueden construir, pero el más extendido es el recomendado por la norma IEEE 802.5 que propone una red en anillo con paso de testigo.

Desde el punto de vista del diseño, hay una serie de elementos que deben ser considerados. El primero de ellos es lo que llamaremos la «longitud de un bit» en el anillo. Al ser la topología física la de una estructura cerrada, sólo cabe un número finito de bits dentro del anillo simultáneamente.

Cada bit tarda un tiempo en recorrer el anillo, y después de conseguirlo tiene que ser drenado por la estación que lo generó. Así, en un anillo cuya velocidad de transferencia es de V bps se emitirá un bit cada 1/V segundos. Si consideramos que la velocidad de transmisión de las señales (la velocidad de la luz en el medio de transmisión) es "c", entonces cuando una estación termine de transmitir un bit, el punto inicial de ese mismo bit habrá viajado c/V metros.
Estándar FDDI

FddiFDDI son las siglas de Fiber Optics Data Distributed Interface, es decir, Interface de datos distribuidos por fibras ópticas. FDDI se constituye como un doble anillo de fibra óptica que utiliza la técnica de paso de testigo para establecer la contienda de acceso entre las estaciones conectadas. Permite hasta 1.000 estaciones conectadas en anillos de longitudes hasta 200 km y una velocidad de transferencia de datos de 100 Mbps.

FDDI utiliza fibras ópticas multimodo para producir sus transmisiones, aunque aquí no entraremos a analizar los distintos tipos de fibras ópticas. La fuente de luz es un diodo LED, no es necesario que sea un láser, lo que abarata el producto y simplifica la tecnología. La tasa de error exigida por FDDI es realmente baja, debe estar por debajo 1 bit erróneo por cada 2,5 x 1010 bits transmitidos, lo que hace que estas redes sean muy veloces y fiables.
Estándar ISO/IEC 14598
ISO/IEC 14598-4 Proceso para los compradores de software.

Esta parte contiene los requerimientos y
recomendaciones para realizar la evaluación de la
calidad del software durante la compra o adquisición
de este tipo de productos. Las indicaciones que se
proveen en esta parte de la norma resultan sumamente
útiles para las empresas o usuarios finales al momento
de adquirir un software.
ISO/IEC 20000
Es el primer estándar internacional certificable para la gestión de servicios TI o que necesitan de una gestión para su provisión donde existe un número elevado de infraestructuras y/o configuraciones a gestionar de un modo controlado para beneficio de la prestación de los servicios. Proviene del estándar británico BS 15000 que ha quedado derogado tras las publicación del estándar ISO/IEC 20000 a nivel internacional.
ISO
(Organización Internacional para la Normalización)

Organización internacional que tiene a su cargo una amplia gama de estándares, incluyendo aquellos referidos al networking. ISO desarrolló el modelo de referencia OSI, un modelo popular de referencia de networking.

La ISO establece en julio de 1994 la norma is 11801 que define una instalación completa (componente y conexiones) y valida la utilización de los cable de 100 o mega o 120 o mega.

La ISO 11801 actualmente trabaja en conjunto para unificar criterios. Las ventaja de la ISO es fundamental ya que facilita la detección de las fallas que al momento de producirse esto afecte solamente a la estación que depende de esta conexión, permite una mayor flexibilidad para la expansión, eliminación y cambio de usuario del sistema. Los costo de instalación de UTP son superiores a los de coaxial, pero se evitan las perdida económica producida por la caída del sistema por cuanto se afecte solamente un dispositivo.

La ISO 11801 reitera la categoría EIA/TIA (Asociación de industria eléctricas y telecomunicaciones). Este define las clases de aplicación y es denominado estándar de cableado de telecomunicaciones para edificio comerciales.
ISA99 - ISA Security Compliance Institute

ISA99 es el comité "Industrial Automation and Control System Security Committee" de la asociación International Society for Automation (ISA). El comité está desarrollando una serie de varios capítulos de normas e informes técnicos sobre en éste área, varios de los cuales han sido publicados como documentos ANSI (American National Standards Institute).

Como producto del trabajo de la comisión ISA99 también se presentan a la Comisión Electrotécnica Internacional (IEC) bajo denominación de estándares y especificaciones de la serie de normas IEC 62443.

ISA Security Compliance Institute (ISCI) ha desarrollado especificaciones de cumplimiento de prueba para ISA99 entre otras normas para la seguridad de sistemas de control.
Ciberseguridad
El nuevo modelo de computación se describe en términos de nube como piedra angular de las nuevas infraestructuras tecnológicas de esta década así como las tecnologías más disruptivas de la actualidad de impacto en las ciberamenazas y, en consecuencia, en las ciberdefensas (realidad aumentada, geolocalización, Web en tiempo real, Internet de las cosas,…).
Existen cada vez más legislación y publicaciones relativas a este área pero como normas de seguridad cibernética hemos querido recoger en este apartado aquellas que permiten a las organizaciones introducir o considerar por parte de proveedores aquellas técnicas en seguridad que permiten reducir al mínimo el número de ataques informáticos de seguridad que puedan lograr el éxito y que además pueden integrarse/combinarse con la serie ISO 27000 en calidad, todas ellas, de normas reconocidas y de aplicación a nivel internacional y orientadas a todo tipo de organizaciones:
ISO 15408

Los Criterios Comunes(CC) tienen su origen en 1990 y surgen como resultado de la armonización de los criterios sobre seguridad de productos software ya utilizados por diferentes países con el fin de que el resultado del proceso de evaluación pudiese ser aceptado en múltiples países. Los CC permiten comparar los resultados entre evaluaciones de productos independientes. Para ello, se proporcionan un conjunto común de requisitos funcionales para los productos de TI (Tecnologías de la Información). Estos productos pueden ser hardware, software o firmware.

Con el fin de poder certificar un producto según los Criterios Comunes se deben comprobar, por parte de uno de los laboratorios independientes aprobados, numerosos parámetros de seguridad que han sido consensuados y aceptados por 22 países de todo el mundo. El proceso de evaluación incluye la certificación de que un producto software específico verifica los siguientes aspectos:

- Los requisitos del producto están definidos correctamente.

- Los requisitos están implementados correctamente.

- El proceso de desarrollo y documentación del producto cumple con ciertos requisitos previamente establecidos.
ISO/IEC 21827, SSE capability maturity model (SSE-CMM®)

Estándar internacional basado en un Modelo de Madurez de Capacidades (CMM) para la Ingeniería de Seguridad de Sistemas (SSE) y desarrollado por la Asociación Internacional de Ingeniería de Seguridad de la Información (ISSEA). ISO/IEC 21827 especifica el SSE-CMM mediante la descripción de las características esenciales para alcanzar el éxito en el desarrollo del proceso de ingeniería en seguridad de una organización, incluyendo aquellas gubernamentales como comerciales o académicas. ISO/IEC 21827 no prescribe una secuencia o proceso particular, pero sí captura las prácticas que se observan en la industria. El modelo es una métrica estándar para las prácticas de la ingeniería de seguridad, que cubre:

- Ciclo de vida del proyecto: incluyendo actividades de desarrollo, operación, mantenimiento y desmantelamiento

- Ámbitos de la organización: incluyendo actividades de gestión, organizacionales y de ingeniería.

- Interacciones concurrentes con otras disciplinas: como software y hardware de sistemas, recursos humanos, pruebas de ingeniería, gestión de sistemas, operación y mantenimiento.

- Interacciones con otras organizaciones: incluyendo adquisición, gestión de sistemas, certificación, acreditación y evaluación.
NERC

El North American Electric Reliability Corporation (NERC) ha creado diversas normas. La más ampliamente reconocida es NERC 1300 que es una modificación/actualización de NERC 1200. La última versión de NERC 1300 se denomina CIP-002-1 dentro de CIP-009-2 (CIP = Protección de Infraestructura Crítica ). Estas normas se utilizan para proteger sistemas eléctricos pricipales aunque NERC ha creado estándares en otras áreas.

Las normas para los sistemas eléctricos principales también son útiles para la administración de la seguridad de las redes, además de proporcionar las mejoras prácticas para los procesos industriales.

RFC 2196
RFC 2196 es el memorando publicado por el Internet Engineering Task Force para el desarrollo de políticas y procedimientos de seguridad de los sistemas informáticos conectados a Internet.

El RFC 2196 proporciona una visión amplia y general de seguridad de la información, incluida la seguridad de la red, respuesta a incidentes o las políticas de seguridad.
CobiT
El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa.
ISO 31000

ISO 31000 está destinada a ser una familia de normas relativas a la gestión de riesgos. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices genéricas sobre la gestión de riesgos.

ISO 31000 tiene por objeto proporcionar un paradigma universalmente reconocido por los profesionales y las empresas que emplean procesos de gestión de riesgos para sustituir a la miríada de las actuales normas, métodos y paradigmas que difieren entre industrias, temas y regiones.


En la actualidad, la familia ISO 31000 incluye:

- ISO 31000:2009: Principios y Directrices para la implantación [1]

- ISO/IEC 31010:2009: Gestión del riesgo - Técnicas de evaluación de riesgos

- Guía ISO 73:2009: Gestión del riesgo - Vocabulario
doc_otros_estandar_all_archivos/image008.jpg
ISO 31000:2009 proporciona una lista por orden de preferencia en la forma de abordar el riesgo:

1) Evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo

2) Tomar o aumentando el riesgo con el fin de perseguir una oportunidad

3) Extracción de la fuente de riesgo

4) El cambio de la probabilidad

5) Modificación de las consecuencias

6) Compartiendo el riesgo con la otra parte o partes (incluidos los contratos y financiación de riesgos)

7) Mantener el riesgo por decisión informada

PAS 99

BSI (British Standards Institution) publicó en 2006 el documento PAS 99 (PAS = Publicly Available Specification), que especifica los requisitos comunes de los sistemas de gestión y puede ser utilizado por las organizaciones como un marco de integración de sistemas.
Hoy en día, es bastante habitual que las organizaciones tengan implantados varios sistemas de gestión: calidad según ISO 9001, medio ambiente según ISO 14001, seguridad y salud laboral según OHSAS 18001, seguridad de la información según ISO 27001... Todos estos sistemas tienen metodologías, procesos, objetivos, documentación, etc., en común, lo que abre el camino a la integración de los mismos en un solo sistema de gestión, buscando sinergias, mejoras en la productividad, mayor sencillez de uso y facilidad de implantación y mantenimiento.

ISO - Publicaciones del SC27


ISO es la Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representación de 153 países con el objetivo de lograr la coordinación internacional y la unificación de estándares en la industria.

ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTC1 (Joint Technical Committee).

Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5).
COSO-Enterprise Risk Management / SOX

El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.

COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA).

El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94).

Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.
MUCHAS GRACIAS
POR SU ATENCIÓN

POR
Daniel Steven Guerrero Garcia
Marlon Humberto Holguin Vargas
Johan Sebastian Lopera Morales

Licencia de software

Una licencia de software es un contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el licenciatario del programa informático (usuario consumidor /usuario profesional o empresa), para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas.
Tipos de licencia de Software


Software Propietario

El Software propietario es aquel cuya copia, redistribución o modificación están, en alguna medida, prohibidos por su propietario. Para usar, copiar o redistribuir, se debe solicitar permiso al propietario o pagar.


Software Comercial

El Software comercial es el software desarrollado por una empresa con el objetivo de lucrar con su utilización. Nótese que "comercial" y "propietario" no son lo mismo. La mayor parte del software comercial es propietario, pero existe software libre que es comercial, y existe software no-libre que no es comercial.
ESTANDARES PARA EL MONTAJE DE UN CENTRO DE CÓMPUTO

Existen una gran variedad de organizaciones que emiten periódicamente
Nuevos estándares para la edificación de centros de cómputos. Las principales
Organizaciones como el ANSI, TIA, EIA, BICSI, IEEE y el NFPA entre otras,
Mejoran a diario sus estándares entre los que citamos:
Estándar ANSI/TIA/EIA-568A de alambrado de telecomunicaciones para
Edificios comerciales.
• Estándar ANSI/TIA/EIA-569 de rutas y espacios de telecomunicaciones
Para edificios comerciales.
• Estándar ANSI/TIA/EIA-606 de administración para la infraestructura de
Telecomunicaciones de edificios comerciales.
• Estándar ANSI/TIA/EIA-607 de requerimientos de puesta a tierra y Punteado de telecomunicaciones de edificios comerciales.
• Building Industry Consulting Service International, manual de métodos
De distribución de telecomunicaciones.
• ISO/IEC 11801 cableado genérico.
*Reglamento Técnico de Instalaciones Eléctricas - RETIE
El Reglamento Técnico de Instalaciones Eléctricas, es un documento técnico expedido por el Ministerio de Minas y Energía, que establece las medidas de seguridad de las personas, animales y medioambiente, para prevenir, minimizar o eliminar los riesgos de origen eléctrico.
¿Qué es el RETIE?

CARACTERÍSTICAS FÍSICAS

Se definen seis componentes principales en un centro de cómputo:
• Instalaciones de entrada.
• Sala de equipos.
• Canalizaciones de montantes o backbone.
• Armarios de telecomunicaciones o salas de telecomunicaciones.
• Canalizaciones horizontales.
• Áreas de trabajo.
La ubicación de un centro de cómputo
La ubicación de un centro de cómputo debe ser lo más cerca posible al centro
Del área a ser atendida y cumplir con una serie de requisitos, entre los que
Podemos mencionar los siguientes:
• Estar situado donde no pueda acceder personal no autorizado.
• Que no entre luz natural.
• Permitir la instalación de algún sistema acondicionador de aire.
• No debe haber entradas de aire natural.
• Tener una apropiada ubicación para los extinguidores.
• Poseer ruta de evacuación.
Se debe tomar los siguientes requerimientos en el dimensionamiento del centro
De cómputo:
• El centro de cómputo en donde se instale los equipos del sistema debe ser
Lo suficientemente amplio y accesible. En ningún caso conviene que la
Superficie sea menor de 20 m2.
• Lugar suficiente para los equipos actuales y para los futuros crecimientos.
• El tamaño mínimo recomendado para el área de trabajo es de 10 m2.
• Para la sala de equipos se recomienda un tamaño de 0.07 m2 por cada 10
m2 de área utilizable.
Las puertas de acceso deben ser de apertura completa con llave y como
Mínimo 91 centímetros de ancho y 2 metros de alto. El cuarto debe ser
Completamente cerrado; es decir, los rayos solares no deben entrar al cuarto
De cómputo, por lo que se recomienda la no utilización de ventanas.
sistema eléctrico
Es fundamental establecer el nivel de redundancia eléctrica requerido, con esta definición terminaremos de diseñar el sistema eléctrico, podrá implicar que lleguemos a alimentar cada rack con doble acometida eléctrica de distintos tableros y distintas UPS, o un sistema mas simple con una sola alimentación y una UPS, aunque esta última opción elevará la probabilidad de fallas del sistema. Una vez establecida la potencia total requerida debemos cotejar la disponibilidad de la misma, ya sea dentro del edificio en el cual se emplazará el datacenter o la disponibilidad directa de la compañía eléctrica en el caso de mayores consumos. Por último el sistema de energía deberá prever la instalación de un grupo generador que actúe en los casos que la compañía eléctrica interrumpa el servicio, el mismo deberá posibilitar que el 100% del data center pueda funcionar y ser abastecido por el generador. La norma TIA942 establece para los data center Tier 4 que la generación de emergencia debe ser concebida con la instalación de 2 grupos generadores que cada uno por si solo pueda abastecer en 100% de la potencia requerida.
CONDICIONES AMBIENTALES

Un centro de cómputo deberá mantenerse a una climatización adecuada para
Equipos de telecomunicaciones. Equipos acondicionadores de aire deberán
Usarse para regular temperatura y humedad dentro de la sala.
Se debe mantener el centro de datos a 20º C o menos grados, para un optimo funcionamiento.
Montaje

El centro de cómputo está formado por los siguientes sistemas:
• Infraestructura
• Sistema de Climatización
• Sistema Eléctrico
• Sistema de Datos
Independientemente del tamaño del centro de datos debemos pensar como estarán conectados e integrados a la red los servidores, storage o cualquier dispositivo que instalaremos en cada rack. Existe la posibilidad de instalar y dejar previsto en los racks una cantidad determinada de cables de cobre y/o fibras que confluyan todos al área de comunicaciones del data center, en la cual se encontrarán instalados los switches que nos proveerán de conectividad. El sistema opuesto al descripto anteriormente prevé la instalación de switches individuales por rack y éstos conectados por fibra o cobre al switch principal. La elección de una u otra topología dependerá del tipo y cantidad de dispositivos que instalemos, requerimientos en cuanto a velocidad, performance y características de crecimiento.
Conectividad
Aspectos de Seguridad del Lugar del Centro de Cómputo
Control de Inundaciones

En muchas partes del mundo, el daño y riesgo de inundación es algo común, en nuestro país actualmente existen muchas zonas que se inundan con las primeras lluvias. Los daños por inundación o agua han ocurrido aún cuando las instalaciones no se encuentren cerca de un río o una costa, se pueden originar por lo regular tras la ruptura de cañerías o por el bloqueo del drenaje, también pueden ser provocadas por la necesidad de apagar un incendio en un piso superior
Las computadoras, máquinas y equipo en general no se deben colocar en sótano o en áreas donde el riesgo de inundación sea evidente
Las instalaciones de cómputo y equipo no debe ponerse por debajo de las tuberías
Construir un techo impermeable para evitar el paso del agua desde un nivel superior
Acondicionar las puertas para contener el agua que bajase por las escaleras.
Tratamiento Acústico y de Vibraciones

Los equipos ruidosos como las impresoras de impacto, equipos de aire acondicionado o equipos sujetos a una gran vibración, deben estar en zonas donde tanto el ruido como la vibración se encuentren amortiguados.
Si hay vibraciones superiores a las normales, es necesario estudiar antes de colocar los equipos, ya que la vibración podría dañarlo.
Equipos Contra Incendio.

El equipo contra incendio puede variar dependiendo del tipo de fuego que se produzca. Diferentes tipos:
Portátil (menos de 30kg) : polvo químico seco o bióxido de carbono
Móvil (más de 30kg): químico seco o bióxido de carbono
Sistemas Fijos
Redes hidráulicas: formadas por una bomba, depósito de agua e hidrantes. El agente extintor puede ser: agua o espuma.
Manuales
Automático: sistemas que funcionan con detectores y por sí solos disparan el agente extintor. Los agentes pueden ser: agua, bióxido de carbono.
Se debe aclarar que los equipos contra incendios portátiles y móviles son utilizados para combatir conatos de incendio, esto es, fuego que apenas se inicia y es muy fácil de suprimir. Cuando el incendio se ha extendido, se requiere recurrir al uso de hidrantes.
Software con copyleft:
Este software es un software libre cuyos términos de distribución no permiten a los redistribuidores agregar ninguna restricción adicional cuando lo redistribuyen o modifican.
Es el que no es libre, pero viene con autorización de usar, copiar, distribuir y modificar para particulares sin fines de lucro.
Software semi-libre:
Se usa comúnmente para programas que permiten la redistribución pero no la modificación (y su código fuente no está disponible).
Freeware.
Es el software con autorización de redistribuir copias, pero debe pagarse cargo por licencia de uso continuado.
Shareware:
Es un software que es desarrollado por una empresa con el propósito de ganar dinero a cambio del uso de este.
Código Abierto:
Es una licenciatura que se crea para que sea abierta libremente para todo el publico, sin tener ningún termino y/o valor.
Licencias por volumen
Las licencias por volumen, o licencias de caja, son licencias que podemos instalar en cualquier equipo de nuestra organización, independientemente del hardware que monten. Es decir, nosotros compramos las licencias y después las instalamos donde queremos. De esta forma lo normal es adquirir un número de licencias para nuestra empresa que mantendremos mientras utilicemos dicho sistema operativo, independientemente del ciclo de vida de los equipos.
Este tipo de licenciamiento resulta más caro que las licencias OEM, que van ligadas a la vida útil de los equipos. Sin embargo, tienen la ventaja de poder pasar la licencia al nuevo equipo cuando decidimos renovarlo mientras mantengamos dicho sistema operativo en nuestra empresa. De esta forma es más fácil de amortizar el sobrecoste que tienen este tipo de licencias sobre licencias OEM.
Es decir, si un sistema operativo dura en una empresa 10 años y a lo largo de ese tiempo hemos cambiado dos o tres veces de equipo informático no hemos tenido que adquirir una nueva licencia de sistema operativo al comprar un nuevo equipo informático. Además tenemos la ventaja de que vamos manteniendo el mismo sistema a lo largo del tiempo, y no mezclamos varios sistemas operativos en la empresa que siempre acarrea un mayor coste de mantenimiento.
tipos de sistemas oprativos mas utilizados
Windows
Windows es un sistema operativo desarrollado y operado por Microsoft. Se diferencia de los sistemas de código abierto en que sólo Microsoft tiene la capacidad para modificar el código. Sin embargo, también se diferencia de Mac OS X en que puede ser instalado en diversas computadoras diferentes de una serie de fabricantes que compiten, lo que le ofrece más libertad de elección al usuario cuando se trata de hardware. Windows es el sistema operativo más utilizado. La versión más reciente a la fecha de esta publicación incluye soporte para pantallas táctiles, lo cual combina la facilidad de uso de una tablet con la potencia de una computadora de escritorio. También cuenta con las características "Reproducir en" y "Transmisión multimedia remota", las cuales de permiten reproducir archivos multimedia desde tu computadora en otros dispositivos de su entorno y acceder a tus archivos multimedia cuando estás lejos de tu computadora.
Ubuntu
Ubuntu está basado en una versión del sistema operativo Linux conocido como Debian GNU/Linux. Su principal beneficio es que es gratuito y de código abierto. Esto significa que los usuarios pueden modificar el código si lo consideran conveniente. Ubuntu también destaca debido a que se actualiza cada seis meses, a diferencia de otros programas de código abierto que no tienen un calendario de actualización estricto. La mayoría del software compatible con Ubuntu también es gratuito y está disponible en "repositorios" en línea. Los usuarios pueden probar Ubuntu en sus computadoras usando el modo "Live CD" del programa. Esto te permite ejecutar el sistema sin instalarlo en tu computadora. Debido a que los programas de Ubuntu son menos ubicuos que los de los sistemas más conocidos, es posible que los usuarios tengan que investigar un poco antes de encontrar las soluciones de software que necesitan.
Mac OS X
Aunque una versión de Mac OS X viene preinstalada en todas las computadoras Apple Macintosh, los usuarios deben pagar si desean usar nuevas versiones cuando se encuentran disponibles. El sistema no es de código abierto, por lo que sólo los desarrolladores de Apple tienen la capacidad para realizar modificaciones o mejoras de forma legítima a su código. Mac OS X se diferencia de otros sistemas operativos computacionales al funcionar sólo en computadoras Apple. Su característica clave es su facilidad de uso. La versión más reciente hasta la fecha de esta publicación incluye una característica de "resumen" que vuelve a abrir aplicaciones en el mismo estado que tenían cuando las cerraste por última vez. También incluye una característica de "Control de misión", la cual te permite ver todos tus archivos abiertos de un vistazo.
Colombia ha adoptado un rol protagónico en la defensa de los derechos de autor y la propiedad intelectual, desarrollando un conjunto de normas que regulan, protegen y penalizan a aquellas personas que violen estos derechos.

La Ley 44 de 1993 especifica penas entre dos y cinco años de cárcel, así como el pago de indemnizaciones por daños y perjuicios a quienes comentan el delito de piratería de software. Se considera delito el uso o reproducción de un programa de computador de manera diferente a como está estipulado en la licencia. Los programas que no tengan licencia son ilegales y es necesaria una licencia por cada copia instalada en los computadores.

A partir del mes de julio de 2001, y gracias a la reforma hecha al Código de procedimiento penal, quien sea encontrado usando, distribuyendo o copiando software sin licencia tendrá que pagar con cárcel hasta por un período de 5 años.

Sin embargo, uno de los logros más importantes de la legislación colombiana en materia de protección de derechos de autor fue la Ley 603 de 2000, en la cual todas las empresas deben reportar en sus Informes Anuales de Gestión el cumplimiento de las normas de propiedad intelectual y derechos de autor. La Dirección de Impuestos y Aduanas Nacionales (DIAN) quedó encargada de supervisar el cumplimiento de estas leyes, mientras que las Superintendencias quedaron responsables de vigilar y controlar a estas empresas.
Full transcript