6.1- Proceso de Selección de la Plataforma

El analista de sistemas debe definir las necesidades de equipo y de software siguiendo el siguiente proceso.

Los analistas de sistemas deben trabajar en conjunto con los usuarios para determinar el equipo (hardware) que será requerido. El establecimiento de equipo se apegará a los requerimientos de información. El conocimiento de la estructura de la organización puede servir de apoyo en las decisiones del tipo de equipo. Las opciones de equipo podrán considerarse, una vez que los analistas de sistemas, los usuarios y los directivos cuenten con una clara concepción de las tareas que se realizarán.

Para iniciar el proceso de selección de plataforma se realiza el inventario de todo el equipo de cómputo que se encuentre disponible en la organización. Como será evidente, algunas alternativas implican la expansión o la reasignación del equipo actual, de tal forma que es importante conocer lo que se tiene a la mano.
Si no se cuenta con un inventario actualizado del equipo de cómputo, el analista de sistemas deberá establecerlo de manera rápida, conociendo los siguientes datos:

  1. El tipo de equipo, número de modelo y fabricante.
  2. El status de la operación del equipo por instalar, en operación, en almacenamiento y con necesidades de reparación.
  3. La estimación del tiempo de uso del equipo.
  4. La vida proyectada del equipo.
  5. La localización física del equipo.
  6. La persona, departamento responsable del equipo.
  7. El status financiero del equipo: propio, rentado o en arrendamiento con opción a compra.

El documento utilizado para realizar el inventario debe ser fácil de llenar, e indicar de manera explícita que se enumere por separado a los equipos periféricos, tales como las unidades de discos y los monitores.

El siguiente paso para definir las necesidades de equipo es estimar la carga de trabajo. Esto significa que los analistas de sistemas formulen el número que represente, tanto la carga del trabajo actual como la proyectada para el sistema, de tal forma que cualquier equipo que se adquiera cuente con la posibilidad de manejar las cargas de trabajo actuales y futuras.
Una vez que se define el equipo disponible, se apoya aún más el proceso de toma de decisiones, cuando llegue el momento de revisar el equipo requerido, ya que muchas de las dudas acerca del equipo existente se eliminarán. A través de entrevistas y cuestionarios iníciales, así como de su investigación de datos de archivo se sabrá el número de personas disponibles para el proceso de datos, así como su capacidad y destreza. Esta información se utiliza para proyectar qué tan bien se satisfacen las necesidades de personal.
Si las estimaciones se elaboran correctamente, la empresa no tendrá que reemplazar el equipo, a menos que se presente un crecimiento no pronosticado de uso del sistema. (Sin embargo, otros sucesos tales como una innovación tecnológica, puede dictar un reemplazo de equipo, si el negocio desea mantener una posición competitiva.)
Por ejemplo una comparación de la carga de trabajo entre un sistema de información anterior y otro propuesto es el siguiente:

  Sistema actual Sistema propuesto
Tarea Elaboración de flujo de caja Lo mismo
Método Manual Computarizado
Personal Contador Auxiliar contable
Costo/hora C$ 160 C$ 75
Cuando y como Diario:
Arqueo de caja
Mensual:
Consolidado de ventas
Diario:
Correr el programa para realizar el arqueo
Mensual:
Correr el programa que resume e imprime los reportes
Requerimientos de horas hombre Diario: 1 hora
Mensual: 16 horas
Diario: 20 minutos
Mensual: 1 hora
Requerimientos de tiempo de maquina Ninguno Diario: 20 minutos
Mensual: 1 hora

Evaluación del equipo de cómputo o hardware

El siguiente paso en el proceso será considerar los tipos disponibles de equipo que parecieran ajustarse a las necesidades proyectadas
La evaluación del equipo de cómputo es una responsabilidad compartida entre la dirección, los usuarios y los analistas de sistemas.
El avance tecnológico obliga al analista de sistemas a estudiar los distintos tipos de computadoras disponibles en el momento en que se escribe la propuesta de sistemas. Cada una de ellas cuenta con distintas características al considerar la manera de implantar un sistema de cómputo.
Aunque los vendedores darán todo tipo de detalles acerca de sus ofertas particulares, los analistas necesitan supervisar de manera personal el proceso de evaluación, orientar a los usuarios y a la directiva acerca de las ventajas y desventajas del equipo.
La carga de trabajo puede simularse y correrse en diferentes sistemas, incluyendo aquellos que actualmente se encuentran en uso por la organización. A esto se le denomina como evaluación “in situ” o pruebas de rendimiento.
Dentro de los criterios que tanto los analistas de sistemas como los usuarios deben utilizar para evaluar el desempeño de los diferentes equipos, se tienen:

  1. El tiempo requerido para las operaciones típicas (incluyendo cuánto tiempo se tarda para capturar los datos y cuánto tiempo toma obtener una salida)
  2. La capacidad total del sistema (qué tantos datos pueden procesarse de manera simultánea, antes de que se presente un problema)
  3. Los tiempos muertos de la unidad central de proceso y el tamaño de la memoria.

El analista en unión con los usuarios y la directiva, evalúan la conveniencia de adquirir un equipo nuevo. Las opciones pueden ser: desde utilizar sólo el equipo disponible actualmente en la empresa, hasta cambiar de manera integral por un nuevo equipo. Entre estas dos opciones se encuentran una gama de alternativas

El almacenamiento de datos, ya sea antes o después del proceso, es sumamente importante para mejorar el funcionamiento y el costo del sistema. En general, la elección de un medio de almacenamiento se determina por el tipo de proceso. Dentro de las preguntas fundamentales se tienen: cuántos datos y por cuánto tiempo serán conservados hasta su proceso, qué tan grandes son los archivos y qué tipo de acceso se necesitará para los datos almacenados.

Existen ciertos aspectos fundamentales que considerar al evaluar los servicios que ofrecen los vendedores a la empresa. La mayoría de las casas comerciales ofrecen la prueba del equipo al recibirlo y una garantía de 90 días contra cualquier defecto de fábrica, pero se debe asegurar qué otra cosa puede ofrecerle el vendedor. Los establecimientos de prestigio se distinguen sobre sus competidores por la gama de servicios que ofrecen.
La mayoría de los servicios de soporte adicional pueden negociarse de manera separada a la renta o a la compra del equipo. Una lista de criterios básicos cuando se evalúa el soporte del vendedor es:

  1. Soporte del equipo
    1. Línea completa de productos
    2. Productos de calidad
    3. Garantía
  2. Soporte del software
    1. Todas las necesidades del software
    2. Programación individualizada
    3. Garantía
  3. Instalación y adiestramiento
    1. Apegarse a un calendario
    2. Adiestramiento in situ
    3. Línea de consulta directa
  4. Mantenimiento
    1. Procedimiento de mantenimiento de rutina
    2. Especificación del tiempo de respuesta en emergencias
    3. Préstamo de equipo durante las reparaciones

Los servicios de soporte incluyen el mantenimiento rutinario y preventivo del equipo; el tiempo de respuesta queda especificado si el equipo llegara a fallar (dentro de las primeras 6 horas; al siguiente día hábil, etc.); el préstamo de equipo en caso de que el equipo deba cambiarse o si fuera necesaria una reparación externa y la capacitación interna o la organización de seminarios externos para grupos de usuarios. Cabe recordar que puede ser difícil obtener adiestramiento en equipos que no sean ampliamente utilizados por otras organizaciones y es sano involucrar al área jurídica antes de la firma de contratos por servicios o adquisición de equipo. Aunque puede ser atractiva la posibilidad de una instalación exclusiva, la posibilidad de un buen soporte a largo plazo puede disminuir.
Desafortunadamente, la evaluación de equipo de cómputo no es tan sencilla como comparar costos y elegir la opción menos costosa.
Hay otras eventualidades que la administración debe considerar y que incluyen:

  1. La posibilidad de expandir el sistema si las necesidades aumentan en el futuro
  2. La posibilidad de enlazar el equipo con el de otras marcas, si el sistema llegara a crecer
  3. Los beneficios de comprar más memoria que la proyectada como necesaria, considerando que el negocio crecerá eventualmente
  4. La estabilidad corporativa del vendedor.

La ampliación de los sistemas existentes es común para los proyectos de sistemas. Bien vale la pena instalar sistemas con capacidad de expansión. Aunque toma un poco más de planeación, es más económico y más flexible que la tercera alternativa de contar con memoria en exceso y mantenerla en inventario durante varios años.

Innecesario tomar la decisión de cuál es la mejor alternativa para el software de la compañía, pudiendo elegir entre: hacerlo en casa, usar software Libre, de uso comércialo la nueva tendencia que será bajo demanda. Cada uno de estas opciones tiene sus ventajas y desventajas.

Los paquetes de software, más que aquellos programas de aplicación que se escriben específicamente para una instalación, se han vuelto cada vez más accesibles, y en efecto, deben considerarse con mucha atención. Numerosas horas de programación pueden ser ahorradas si a existe un paquete de software apropiado para todo el sistema o parte de él y su uso implique un mínimo de adaptaciones.
La evaluación de software comercial junto con los futuros usuarios no debe ser desatendida y es necesario controlar la propaganda meramente comercial para evitar caer en decisiones influenciadas. Específicamente, hay seis categorías principales dentro de las cuales se puede ubicar al software.

  1. Eficacia en el desempeño
    1. Capacidad para realizar las tareas requeridas
    2. Capacidad para realizar las tareas que se desearán más adelante
    3. Buen diseño en pantalla
    4. Capacidad adecuada
  2. Eficiencia operativa
    1. Tiempos de respuesta rápidos
    2. Captura eficiente
    3. Salidas eficientes
    4. Almacenamiento de datos eficiente
    5. Respaldos eficientes
  3. Facilidad de uso
    1. Uso de interfaces satisfactorios
    2. Disponibilidad de menús de ayuda
    3. Interfaz flexible
    4. Retroalimentación adecuada
    5. Buena recuperación de errores
  4. Flexibilidad
    1. Opciones de entrada
    2. Opciones para la salida
    3. Compatibilidad con otro software
  5. Calidad en la documentación
    1. Buena organización
    2. Programas tutoriales de calidad
    3. Respuestas adecuadas a las preguntas
  6. Soporte del fabricante
    1. Línea de consulta directa
    2. Boletines
    3. Actualizaciones frecuentes (a bajo costo)

Es necesario realizar una evaluación del software comercial a partir de demostraciones con datos de la empresa; asimismo, un revisión de la documentación que le acompañe. Normalmente el vendedor asegurará que el software funciona y que ha sido probado en sus instalaciones, pero eso no garantizará que esté libre de errores en un momento dado o que no fallará cuando se lleven a cabo acciones incorrectas por parte de los usuarios. Es obvio que no habrá garantía si el software comercial se utiliza con un equipo de cómputo defectuoso.
La necesidad de copias múltiples del software (para el uso de varias estaciones trabajo) implica negociar con el vendedor una licencia de uso múltiple, de tal forma que los derechos del autor no se infrinjan al crear copias ilegales. Con frecuencia esto implica la compra de un paquete de software al precio regular y la compra de copias adicionales a un precio reducido.
También es posible negociar un contrato de servicios especiales que cubra el soporte del software adquirido. Dentro de él quedaría incluido el mantenimiento de emergencia y el preventivo; las actualizaciones sin costo o a un precio reducido, las copias adicionales de la documentación y la capacitación de los usuarios.

Elección del Proveedor

Con las pruebas realizadas en los pasos anteriores se reduce la lista de proveedores, ya que se han decidido por una marca en específica, en este paso entonces es necesario averiguar quiénes son los proveedores oficiales de ese producto en el país o el fabricante directo, para ver quienes ofrecen mejores ventajas. Una parte importante de la elección del proveedor es la parte económica, relacionar los costos en que se van a incurrir para la implementación del sistemas y los beneficios que va a traer en nuevo sistemas que no necesariamente tienen que ser económicos. Al momento de elegir el proveedor hay que tener cuidado con: las comisiones que ofrecen los proveedores para favorecerlos en el proceso de elección y por el otro lado hay que evitar el tráfico de influencias por parte del personal interno.

Las tres principales opciones para la adquisición de equipo de cómputo incluyen la compra, la renta y la renta con opción a compra (Leasing). Hay ventajas y desventajas a considerar en cada una  de esas opciones. Dentro de los factores que influyen en la consideración para decidir la mejor opción para una instalación en particular están: los costos iníciales contra los costos a largo plazo, si la empresa puede comprometer capital en equipo de cómputo y si la empresa desea un control y responsabilidad totales sobre el equipo de cómputo.

  Ventajas Desventajas
Comprar
  1. A largo plazo, más económico que rentar.
  2. Posibilidad de cambiar el sistema
  3. Ofrece ventajas fiscales al permitir la depreciación acelerada
  4. Control total
  1. El costo inicial es elevado
  2. Riesgo de caer en la obsolescencia
  3. Riesgo de atarse a una elección errónea
  4. Plena responsabilidad
Leasing
  1. El capital no queda atado
  2. No se requiere de financiamiento
  3. El pago es menor que la renta simple
  1. La compañía no es dueña del sistema cuando expira el contrato de alquiler
  2. Por lo general hay una multa muy alta por terminar anticipadamente el contrato
  3. El alquiler es más caro que la compra
Rentar
  1. El capital no queda atado
  2. No se requiere financiamiento
  3. Facilidad de cambio de sistema
  4. Por lo general incluye el mantenimiento y seguros
  1. La compañía no es dueña del equipo
  2. Los costos son muy altos porque el proveedor asume el riesgo (es la alternativa más cara)

Compra del equipo implica que la empresa sea el propietario del mismo. Una consideración determinante para la compra es la vida proyectada del sistema. Si el sistema será utilizado por más de cuatro o cinco años (mientras que los demás factores se mantengan constantes), la decisión a tomar será comprar. Conforme los sistemas se vuelven más pequeños y los sistemas distribuidos son más populares, las empresas se deciden por la compra de equipo.
Leasing del equipo de cómputo es otra posibilidad. La renta con opción a compra o arrendamiento financiero del equipo de un vendedor o de una compañía arrendataria es más práctica si la vida proyectada del sistema es menor a cuatro años. Además, si es inminente un cambio significativo en la tecnología. El arrendamiento financiero permite también a la empresa el colocar su dinero en otra inversión, donde pueda trabajar para ella más que comprometerlo. Sin embargo, a largo plazo, el arrendamiento financiero económicamente no es la mejor manera de adquirir poder de cómputo.
Renta (en su estricta connotación) es la tercera alternativa para la adquisición de equipo de cómputo. Una de las ventajas principales de la renta es que no se compromete el capital de la compañía. En consecuencia, no se requiere de un financiamiento. También, la renta de equipo de cómputo hace más fácil su cambio. Finalmente, el mantenimiento y el seguro se encuentran generalmente incluidos en los contratos de renta. Sin embargo, por su alto costo final y por el hecho de que la compañía no es dueña del equipo rentado, la renta debe contemplarse sólo como una alternativa a corto plazo para resolver las necesidades de cómputo limitadas o no recurrentes, o cuando los cambios tecnológicos son muy frecuentes.

Anuncios

5.3- Amenazas y Vulnerabilidades

Amenzas

Son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.
Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser: causas naturales o no naturales, causas internas o externas
Uno de los objetivos de la seguridad de la información es impedir que las amenazas exploten puntos débiles y afecten alguno de los principios básicos de la seguridad de la información (integridad, disponibilidad, confidencialidad), causando daños al negocio de las empresas.

Tipos de amenazas

Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación de frecuencia-tiempo, se basa en el concepto de riesgo, lo cual representa la probabilidad de que una amenaza se concrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tres grandes grupos:
1. Amenazas naturales condiciones de la naturaleza y la intemperie que podrán causar daños a los activos, tales como fuego, inundación, terremotos.
2. Intencionales son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.
3. Involuntarias – son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.

Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología también surgirán nuevas formas en las que la información puede llegar a estar expuesta.

Vulnerabilidades

Son los puntos débiles que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. Uno de los primeros pasos para la implementación de la seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información.
Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las  medidas de seguridad apropiadas para su corrección.
Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la información y con la presencia de elementos que perjudican el uso adecuado de la información y del medio en que la misma se está utilizando.

Tipos de amenazas

Físicas

Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está manejando o almacenando físicamente, como ejemplos de este tipo de vulnerabilidad se distinguen:

  • Instalaciones inadecuadas del espacio de trabajo,
  • Ausencia de recursos para el combate a incendios,
  • disposición desorganizada de cables de energía y de red,
  • Ausencia de identificación de personas y de locales, etc.

Naturales

Son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información.
La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y montaje de un ambiente. Se deberán tomar cuidados especiales con el local, podemos citar:

  • Ambientes sin protección contra incendios,
  • Locales próximos a ríos propensos a inundaciones,
  • Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc.

De Hardware

Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos, podemos mencionar:

  • La ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan
  • Conservación inadecuada de los equipos.
  • La falta de configuración de respaldos o equipos de contingencia

Por ello, la seguridad de la información busca evaluar: si el hardware utilizado está dimensionado correctamente para sus funciones. Si posee área de almacenamiento suficiente, procesamiento y velocidad adecuados.

De software

Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin el conocimiento de un usuario o administrador de red, entre éstos destacamos:
La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo.
Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas.

  • Programas lectores de e-mail que permiten la ejecución de códigos maliciosos,
  • Editores de texto que permiten la ejecución de virus de macro etc.
  • Programas para la automatización de procesos
  • Los sistemas operativos conectados a una red.

De Almacenamiento

Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan para almacenar la información.
Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos podemos citar: memorias USB, disquetes, CD-roms, cintas magnéticas, discos duros de los servidores y de las bases de datos, así como lo que  está registrado en papel.
Si los soportes que almacenan información, no se utilizan de forma adecuada, el contenido en los mismos podrá estar vulnerable a una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información.

  • Plazo de validez y caducidad, defecto de fabricación,
  • Uso incorrecto,
  • Lugar de almacenamiento en locales insalubres o con alto nivel de, humedad, magnetismo o estática, moho, etc.

De comunicación

Donde sea que la información se transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información.
Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras físicas tales como teléfono, Internet, WAP, fax, télex etc.
Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de evitar que: Cualquier falla en la comunicación haga que una información quede no disponible para sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso.

  • La ausencia de sistemas de encriptación en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada.
  • La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad de la empresa pudiera provocar que  no alcanzaran el destino esperado o bien se interceptara el mensaje en su tránsito.

Humanas

Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta.
Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.
Destacamos dos puntos débiles humanos por su grado de frecuencia: la falta de capacitación específica para la ejecución de las actividades inherentes a las funciones de cada uno, la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, insatisfacciones etc.
En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas aquéllas que puedan ser exploradas por amenazas como: vandalismo, estafas, invasiones, etc.

  • Contraseñas débiles,
  • Falta de uso de criptografía en la comunicación,
  • Compartimiento de identificadores tales como nombre de usuario o credencial de acceso,  etc.

5.1- Protección de los activos

Activos enfoque contable: conjunto de los bienes y derechos tangibles e intangibles de propiedad (por ejemplo: Disponibilidades, inversiones, Inmuebles, instalaciones, maquinarías, mercaderías, cuentas a cobrar, etcétera) de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios.
En el caso de la seguridad informática se enfocará en aquellos vienes que compone el proceso de la transmisión de datos o información, partiendo desde la misma información, su emisor (personas), el medio por el cual se transmite (infraestructura), hasta su receptor (dispositivos de almacenamiento). Los activos son elementos que la seguridad de la información busca proteger. Los activos poseen valor para las empresas y como consecuencia de ello, necesitan recibir una protección adecuada para que sus negocios no sean perjudicados.
Los elementos que conforman lo que denominaremos activos: Datos o Información, Infraestructura: (Software, Hardware, Cableado, Dispositivos, etc.), Organización, Personas que los utilizan o usuarios:
Organización:
Se refiere a la organización lógica y física que tiene el personal dentro de la empresa en cuestión. Ejemplos de este: la estructura departamental y funcional, el cuadro de asignación de funcionarios, la distribución de funciones y los flujos de información de, la empresa.
En lo que se refiere al ambiente físico, se consideran entre otros: salas y armarios donde están localizados los documentos, fototeca, sala de servidores de archivos.

Usuarios:
El grupo usuarios se refiere a los individuos que utilizan la estructura tecnológica y de comunicación de la empresa y que manejan la información.
El enfoque de la seguridad en los usuarios, está orientado hacia la toma de conciencia de formación del hábito de la seguridad para la toma de decisiones y acción por parte de todos los empleados de una empresa, desde su alta dirección hasta los usuarios finales de la información, incluyendo los grupos que mantienen en funcionamiento la estructura tecnológica, como los técnicos, operadores y administradores de ambientes tecnológicos. Ejemplos de este: tipo de activos, Empleados del área de contabilidad., Directivos de la empresa.
Proteger los activos significa mantenerlos seguros contra amenazas que puedan afectar su funcionalidad: Corrompiéndola, accediéndola indebidamente, o incluso eliminándola o hurtándola. Por lo tanto, entendemos que la seguridad de la información tiene en vista proteger a estos activos de una empresa o individuo, con base en la preservación de tres principios básicos: integridad confidencialidad y, disponibilidad de la información.

Infraestructura

  • Software:
    Este grupo de activos contiene todos los programas de computadora que se utilizan para la automatización de procesos, es decir, acceso, lectura, tránsito y almacenamiento de la información. Entre ellos citamos: las aplicaciones comerciales, programas institucionales, sistemas operativos, otros.
    La seguridad de la información busca evaluar la forma en que se crean las aplicaciones, cómo están colocadas a disposición y la forma como son utilizadas por los usuarios y por otros sistemas, para detectar y corregir problemas existentes en la comunicación entre ellos.
    Ejemplos de este tipo de activos: Sistemas operativos (Unix, Windows, Linux, etc.), programas de correo electrónico, bases de datos, aplicaciones específicas, sistemas de respaldo entre otros.
  • Hardware:
    Estos activos representan toda la infraestructura física tecnológica que brinda soporte a la información durante su uso, tránsito y almacenamiento. Los activos que pertenecen a este grupo son cualquier equipo en el cual se: almacene, procese o transmita la información de la empresa. Ejemplos de este: tipo de activos, las computadoras, los servidores, los equipos portátiles, los mainframes, los medios de almacenamiento, los equipos de conectividad, enrutadores, switchs y, cualquier otro elemento de una red de computadoras por donde transita la información. 

Información:
Se tomará en cuenta en este grupo los elementos que contienen dicha información registrada, en medio electrónico o físico, dentro de los más importantes tenemos: documentos, informes, libros, manuales, correspondencias, patentes, información de mercado, código de programación, líneas de comando, reportes financieros, archivos de configuración, planillas de sueldos de empleados, plan de negocios de una empresa, etc.

Seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras o incluso en la memoria de las personas que la conocen.
La información que se encuentra dentro de servidores de archivos, qué transita por las redes de comunicación o que es leída en una pantalla de computadora, ¿Cómo hacer para protegerla, ya que no es posible usar las mismas técnicas de protección de objetos reales?
Para empezar, es necesario identificar los elementos que la seguridad de la información busca proteger: La información Los equipos que la soportan Las personas que la utilizan
Es importante, además, que todos los empleados de la compañía tomen conciencia sobre el manejo de la información de forma segura, ya que de nada sirve cualquier sistema de seguridad por complejo y completo que esté sea, si los empleados, por ejemplo, facilitan su usuario y contraseña a personas ajenas a la empresa y con esto dejar abierta la puerta a posibles ataques o filtraciones de información crítica al exterior de la compañía.

7.3- Herramientas de Administración del Centro de Datos

Técnicas  de Administración de Centro de Cómputo

Su centro de cómputo a tiempo completo, empleo multifacético. Aun en los centro de cómputo mas sofisticados, donde muchos procesos de administración y procedimiento son automatizados, usted, como administrador del centro de cómputo debe de estar capacitado para responde a cualquier situación al momento que se de cuenta. Muchos eventos se dan a diario desde las menores molestias como servidores lentos hasta corto circuitos. Si usted no tiene una estrategia basada en sólidas técnicas de administración usted no estará apto para cuidar de ello.
Usted necesita una estrategia administrativa que identifique los procesos, defina esos procesos en el software existente, e indique las actualizaciones que deben ser hechos para esos procesos y componentes ellos afectan regularmente para conocer las demandas actuales del centro de cómputo y clientes que se sirven de éste de forma interna o externa.
Un principal componente de la administración de centros de datos eficiente radica en los procesos políticas que gobiernan la administración. En un mundo automatizado ideal, no hay un encargado individual. En vez de eso, los programas automáticos son manejados por un grupo de individuos quienes colectivamente manejan un centro de cómputo.
Sea en este mundo ideal o en el mundo real donde solo algunos procesos son automatizados y un administrador del centro de cómputo es encargado de todo, procesos y políticas deben estar en una empresa amplia y gobernar en los diferentes niveles.
Hay seis componentes principales en una estructura o arquitectura administrativa de centro de cómputo:

  • Administración de errores
  • Manejo o administración de configuración
  • Contaduría
  • Administración de funcionamiento
  • Administración de seguridad
  • Administración de ejecución

A menudo, el componente de la administración de ejecución de una administración de centro de cómputo maneja los otros componentes.
Sin embargo todos estos componentes de administración son esenciales en la efectividad y eficiencia en la administración de su centro de cómputo.
Usted puede acompañar estas actividades de administración usando una variedad de herramientas de manejo. Las herramientas que usted seleccione para ayudarse en el proceso de administración incluye aquellos que crean visibilidad en todas las áreas y para todos los aspectos de su negocio.  Estos incluyen vistas de cada componente enlistadas previamente para cada área de la administración por ejemplo, una aplicación de administración de seguridad debe darle una perspectiva de cada aspecto de su centro de cómputo incluyendo los componentes virtuales y físicos. Que la vista o perspectiva pueda ser de múltiples organizaciones así usted puede ver la actividad de cada persona en cada departamento como este afecte la seguridad del centro de cómputo. Sólo a través de ésta perspectiva omnisciente de seguridad puede usted estar seguro que su centro de cómputo es seguro. Accesos físicos al piso de centro de cómputo, acceso virtual para máquinas y datos almacenados en las máquinas, sistemas de alarmas físicas, sistemas de alarmas virtuales como muros de retención de fuego, solo como una porción de los aspectos de sus aplicaciones de administración de seguridad que usted debería permitir ver.
La administración es también esencial para la ejecución de ambos niveles de regulación y el servicio. Un SLM (Nivel de servicio de administración) vista de sus aplicaciones y otras funciones del centro de cómputo podría proveer una forma de medir el servicio contra las estipulaciones en el SLA.
Éste perspectiva SLM también incluye medidas de ejecución de las SLAS y las regulaciones puestas por agencias gubernamentales, y debe de ser encaminadas de una forma que de la oportunidad de anticipar la situación que se presente. Otro elemento del manejo de centro de cómputo es el reporte. Cualquier herramienta de administración que usted adquiera no solo debe de proveer la habilidad de ejecución periódica, reporte de horarios, sino también de correr reportes para información general y excepciones.
Estos reportes deben de ser habilitados a usted a cualquier hora.

Procesos Automáticos

Como usted aprendió acerca de las herramientas de software y hardware en las siguientes secciones. Usted entenderá que su mejor opción es automatizar la administración lo mas posible. La carga de su trabajo con una función automática es simplemente asegurarse que las funciones ocurran como deben de hacerse y para ocasionalmente actualizar la funcionabilidad así que esta continúe conociendo sus necesidades. La automatización requerirá acción ocasional de su parte pero no una acción constante. La automatización es uno de los muchos conceptos que reduce la cantidad de mano de obra requerida para ejecutar una acción específica. Por ejemplo, si todos los servidores de su centro de cómputo necesitan ser actualizados, en lugar de asignar muchos técnicos para ejecutar la actualización rápidamente, o peor asignar un técnico para hacer todas las actualizaciones sobre tiempo, un programa de automatización puede hacer las actualizaciones por usted, todo el tiempo, requiriendo solo que la actualización sea puesta correctamente. Usted puede aún colocar el servidor provisional y otras actividades de la administración del hardware para ser ejecutadas automáticamente. La automatización trabaja mejor cuando usted tiene múltiples actividades simples que pueden ser ejecutadas repetidamente.
Si usted necesita monitorear una acción específica en una sola máquina la automatización puede funcionar, pero no podría ser la más eficiente usada por la tecnología.

Herramientas de Administración de Hardware

La administración del centro de cómputo puede ser una actividad intimidante si usted ejecuta personalmente cada tarea administrativa, y aún supervisa todas las tareas en el centro de cómputo, usted podría encontrar como clonar su persona por que no habrá suficiente de usted para ir alrededor de todo. Afortunadamente los vendedores ofrecen herramientas para ayudarle a manejar el hardware hasta su centro de cómputo. Son ejemplos de herramientas de manejo de hardware específicos :

  • Sistemas HP de intuición de administrador
  • AVOCENT DS vista3
  • Centro de administración de datos SUN STOREDGE
  • SCOM (Sistema Central de Administración de de Operaciones) de Microsoft

Las herramientas pueden ayudarle a manejar su hardware es similar en naturaleza, y muchos casos son combinados con herramientas que usted usa para administrar software. Por ejemplo, aunque los conectores (parches) son generalmente basados en el software, ellos son algunas veces usados para asegurar una pieza del hardware. No es usual para el administrador del centro de cómputo poner parches por que otra tarea toma prioridad. Sin embargo, los centro de cómputo ofrecen cientos de necesidades para miles de parches (conexiones) que aseguran mantenimiento y seguridad. Si usted no tiene tiempo de operar el proceso de parches (mantenimiento) en su organización, encuentre una aplicación que automatice el proceso antes un faltante de parche se vuelva el portal mediante el cual algún malicioso hacker (buscador de información) tome su centro de cómputo.

Herramientas de Administración de Software

La demanda es un factor en muchos de los cambios de administración que se llevan a cabo en los centro de cómputo hoy en día. Las regulaciones de las demandas, como aquellas perfiladas en HIPAA y en el Sarbanes-Okley ACT, define como los datos pueden ser manejados dentro de una organización desde una captura a archivo. La administración de herramientas de software hace conocer aquellas regulaciones de demandas, y guardando con los cambios aquellas regulaciones dictadas con mayor facilidad. Por ejemplo, auditorias es un requerimiento frecuente en muchas regulaciones de demandas. Las herramientas de software automatizadas proveen un método viable para la ejecución de funciones viables para obedecer con esas regulaciones, y esto ayuda a apoyar el trayecto de la demanda de auditoria. Una buena automatización de software van más allá de tareas de automatización a la mano. Esto también le dice donde todo esta situado y como todos los elementos del centro de cómputo son gobernados y trabajan juntos. Administración de software por automatización iguala la visibilidad para todas las aplicaciones que corren a través de su centro de cómputo. Otras razones que la automatización hace sentido cuando administra su centro de cómputo de software incluyendo lo siguiente:

  • Mejora la disponibilidad de su personal para otras tareas
  • Reduce el costo de su mantenimiento de su infraestructura existente
  • Mejora la proporción de máquinas dentro de los centros de datos para el número de administradores esto lleva al manejo de aquellas máquinas.
  • Provee accesos remotos, los cuales permiten la consolidación en una fácil seguridad con acceso físico limitado provee un ambiente estructurado que permite a los administradores del sistema completar tareas de una uniforme y ordenada interacción.
  • Provee una forma de navegar todos los comandos Input (potencias) y output (salida de información) para propósitos seguros para operaciones de revisiones de calidad y garantía.
  • Da a su centro de cómputo mayor respuesta con los cuales se manejen las demandas de negocios, no importa cuan complicado parezca.

Por ejemplo, una pieza de regulación de demanda perfilada en el the sarbanes-okley Act es que su centro de cómputo debe proveer una clave de indicadores de ejecución y encajar todos esos indicadores, de todos los lados de la compañía para identificar las áreas que afectan el valor de la compañía. La parte automática de ese proceso hace esto más fácil guardar la trayectoria de esos indicadores y como ellos afectan su organización. Las herramientas de administración de software son ofrecidas por muchos vendedores. Algunos ejemplos incluyen:

  • HP Administración de sistema de intuición; Una solución que provee errores comunes que, configuración, ejecución y aventaja la administración a través de todos los servidores de ventaja HP.
  • HP trabajo de almacenamiento; Herramientas que ayudan al manejo de servidores y switches.
  • Administrador servidor Intel; un juego de herramientas que ayudan al manejo local y centralizan los sistemas.
  • NET LQ SQL administración de servidor; una solución que permite administrar SQL ( Lenguaje de pregunta estructurada) Servidores múltiples todas estas soluciones ofrecen variedad de grupos que controlan diferentes funciones del centro de cómputo en algunos casos estos vendedores pueden proveer toda la administración funcional que un centro de cómputo necesita; en otros casos, especialmente si usted tiene funciones propias dentro de un centro de cómputo, usted necesita combinar soluciones para construir un marco de administración efectivo a medida que usted analice las herramientas de administración de software del centro de cómputo considere estos factores:
  • Estándares basados en las herramientas de administración son esenciales; si las herramientas no están basadas en estándares de industrias aceptables para ser sustituidos por sus actividades de administrador automatice lo mas posible; si usted puede automatizar una función, y su presupuesto se lo permite, hágalo. La automatización esta basada en el tiempo consumido, simple y aun en los procesos esenciales que toman mucho tiempo. Gaste su tiempo en igualdad o más en Factores importantes que no pueden ser automatizados.
  • Documente sus mejores practicas; si usted es nuevo en el manejo del centro de cómputo, usted necesita transmitir en alguien mas sus mejores practicas como se sienta cómodo en su nuevo papel. Sin embargo, sobre el tiempo, usted encontrará que usted se desarrolla o adopta mejores prácticas que son mas eficientes. Documente esas practicas así otros aprenderan de su experiencia.
  • No permita que la tradición le impida moverse más allá, solo por que usted ha hecho algo de una manera específica no significa que debe ser hecho de esa forma. Si usted puede hacerlo más fácil el proceso, más rápido o más eficiente usando la tecnología que lo asiste o no retroceda por la tradición. Usted no puede automatizar cada actividad y usted debería esperar a aprender el proceso más eficiente a través de una cierta cantidad de errores. Use las herramientas habilitadas para usted manejar muchas de estas actividades que conducen a la automatización.

Las herramientas no lo reemplazarán a usted pero estas lo liberarán su tiempo para enfocarlo en cosas mas importantes.

Evaluando las Herramientas de Automatización

En estas actividades usted evaluara las herramientas de administración que pueden hacer su empleo como administrador del centro de cómputo mas fácil de ejecutar. Para esto complete estas actividades , piense en las tareas que usted podría automatizar y luego investigue el software que podría proveerle esta automatización. Usted puede usar los enlaces encontrados en la lección 3 o buscar diferentes herramientas en Internet. Use las siguientes preguntas para desarrollar su investigación:

  • ¿Qué problema la herramienta le ayuda a resolver?
  • ¿Qué capacidades la herramienta necesita para ser efectiva en su ambiente?
  • ¿Qué constraint  la herramienta necesita conocer?
  • ¿Conoce la herramienta todas las compatibilidades para su ambiente (sistemas operativos etc.)?
  • ¿Quién estará usando la herramienta en una base diaria?
  • El entrenamiento necesario para efectivo uso de la herramienta serán unas emisiones ya sea desde una perspectiva de presupuesto o una perspectiva de tiempo.
  • ¿Qué tipo de ROI regreso en emisiones? Será requerida de las herramientas que usted seleccione ¿Con qué rapidez ROI será realizado?
  • Si el presupuesto apoya el costo de la herramienta ¿cuál es la real amenaza de la herramienta (esta es cercana a ser mas que monetaria) por ejemplo que si la herramienta la libera y usted deje de ejecutar cosas mas importantes y una s tareas de costo mas efectivo?
  • Sobre que situaciones la herramienta es la mejor opción .
  • Sobre que situaciones la herramienta no es la mejor opción
  • ¿Qué características diferencia la herramienta de la competencia?
  • ¿Hay algo que a usted no le gusta de la herramienta?

Usando las respuestas de estas preguntas amplie sus elecciones de dos o tres ítems. La mayoría de vendedores permiten un periodo durante el cual usted puede probar su software sin comprar ninguna licencia tómese tiempo para probar el software antes de comprarlo para estar seguro de las funciones son las esperadas.

7.2- Mantenimiento del Hardware

Ciclo de Vida de la Información y de un Producto.

La misma naturaleza de un centro de cómputo manda que el hardware sea un componente esencial, sin embargo, el hardware no es estático. Se vuelve viejo y menos útil con el tiempo y tiene que ser reemplazado. El problema es que el reemplazo de hardware puede afectar el ciclo de vida del centro de cómputo.
Ciclo de vida del producto

Son similares a las etapas en la vida de un producto, desde la introducción a través de la madurez y finalizando en la disminución. En el caso de un centro de cómputo, los ciclos de vida del los servidores y del equipo de almacenamiento afectan los flujos de datos, porque la tecnología cambia rápidamente y se desgasta y debe ser reemplazada ocasionalmente, esto puede ocacionar que el equipo nuevo no pueda acceder a los datos almacenados o en uso. Por lo que se debe tener previsto los cambios en la tecnología.

Administración de cambio

Es el proceso de desarrollar un plan de acercamiento al cambio en la organización, maximizando los esfuerzos colectivos de todas personas involucradas en el cambio, puede ser reactivo (en respuesta a los cambios en el ambiente) o proactivo (para evitar una situación o lograr una meta deseada) . Se puede conducir de manera: semestralmente, anualmente, o según se necesite. La administración de cambio es una estrategia que le ayuda a prepararse para avances tecnológicos que afectarán su centro de cómputo en el futuro y se puede alcanzar desde varios ángulos, aplicándolos en varios procesos organizativos, entre los más comunes están:

  1. El desarrollo organizativo.
  2. La Administración de tecnología de la información.
  3. Administración Estratégica.
  4. Administración de proceso.
  5. Administración de Conformidad (asegurando la conformidad con políticas de seguridad de información, los estándares, las leyes y las regulaciones) .

Para ser efectiva, la administración de cambio debe ser multidisciplinaria, tocando todos los aspectos de la organización, sin embargo, en su núcleo, el cambio se debe de dar en el personal, por consiguiente la Administración de cambio en la tecnología que afecta al centro de cómputo requiere personas enfocada en alcanzarla.
Uno de los primeros pasos para controlar el ciclo de vida del centro de cómputo es decidir cómo debe ser conducida la administración de cambio, por ejemplo:

  • ¿Quién es el encargado de mantener la tecnología dentro de su organización?
  • ¿Qué ocurre si un departamento necesita espacio adicional de almacenamiento y un equipo nuevo debe comprarse?
  • ¿Quién maneja esa adquisición y cómo se integra al centro de cómputo existente?

El siguiente paso es la educación, eduque a sus usuarios acerca de la administración de cambio y las políticas que usted pone en práctica para tratar los ciclos de vida de la información, por ejemplo, si una política dice que: los datos textuales deben ser almacenados en formato de texto plano, se debería tener una política complementaria que guié cómo los  documentos son formateados para la conversión. También debería entrenar a sus empleados en el formateo correcto. Si los usuarios necesitan acceder a los archivos de datos, usted necesita una política que gobierne cómo los datos pueden ser accedidos, y cómo los datos están estructurados para simplificar acceso.
La conformidad también juega un papel fuerte en los ciclos de vida de producto y de información. Muchas de las reglas afectan su centro de cómputo colocando lineamientos estrictos y específicos en cómo deberían ser los datos maniobrados, inclusivos cuando y cómo usted puede deshacerse de eso. Recuerde estas reglas como usted tenga previsto sus ciclos de vida del producto y administración. No hay método que le fiará acceso futuro para sus datos debido a los cambios de tecnología. Sin embargo, con unas políticas y plan firme en práctica y un personal educado, los cambios de tecnología tendrán un impacto inferior.

Respaldo y Recuperación de Datos.

Porque los datos son tan importantes para una mayoría de organizaciones, usted debe considerar qué ocurriría a los datos en caso de un desastre, ya sea de tipo natural, tecnológico, u otro. La mayoría de Responsables saben que usted debería conservar copias de respaldo de datos, y debería poder recobrar datos de esos respaldos en una pequeña cantidad de tiempo. Llega a la parte de apoyo con la que la mayoría de organizaciones tienen dificultad. En general, un respaldo es una foto de su información existente. Usted debería crear respaldos muy a menudo ya que si usted pierde sus datos existentes los puede reemplazar con los datos de apoyo con una cantidad mínima de reconstrucción.
Esa es una tarea difícil para llenar. Como medida, la mayoría de organizaciones crean respaldos una o más veces a la semana. Algunas organizaciones recurren a respaldos una vez al mes, o aun menos frecuentemente, lo cual puede ser peligroso para el negocio. Si usted respalda datos una vez al mes – en el último día de todos los meses – y su servidor le falla el 15, ese es valor de 15 días de información que se va y debe ser reconstruido. En el mejor de los panoramas, los respaldos de datos nuevos y críticos son realizados constantemente, y otros datos son respaldados una vez al día. Si sus datos se pierden, debería requerirse menos de dos horas para reconstruir y volverse operacional, lo cual es aceptable en la mayoría de los casos. Para lograr el mejor de los panoramas, usted puede tener que hacer una cantidad considerable de planificación.
Desarrollar un plan de respaldo y la recuperación que trabaje para su organización comienza con una valoración de su capacidades del respaldo actual y de recuperación. Una vez que usted ha completado la valoración, usted puede comenzar a planificar las metas y los objetivos que guían su respaldo y la recuperación planificada.
En la etapa de planificación, usted debería considerar los siguientes elementos:

  • ¿Cuáles son las necesidades de su organización?
  • ¿Cuáles son las expectativas administrativas de respaldo y la recuperación?
  • ¿Qué personal se encarga del respaldo y proceso de recuperación?
  • ¿Cómo afectan las reglas de conformidad su proceso de respaldo y recuperación?

Adicionalmente, ocúpese del proceso real de respaldar datos, como sigue:

  • ¿Cómo realizará usted el respaldo?
  • ¿Cuándo tendrá lugar?
  • ¿Cómo almacenaran los datos de respaldo y dónde?
  • ¿La clase de rastro de auditoría necesita usted para satisfacer reglas de conformidad?

Si es posible, almacene datos de apoyo fuera del local. De hecho, su mejor plan es tener al menos dos copias de sus datos de respaldo. Una copia restante en una posición segura en el local para la recuperación rápida de datos perdidos. La otra copia está en una posición segura fuera del local en caso que la copia en el sitio se destruya.
Una vez el por qué y cómo de su plan de apoyo es dirigido, empieza el proceso de pre-implementación de apoyo. Para que respaldos sean efectivos, todo el mundo debe saber cómo surte efecto el proceso y el propósito de respaldos. Usted puede lograr esta meta a través de la educación y entrenamiento. Después de que el proceso de pre-implementación este completado, empiece el proceso de apoyo real. Es posible que usted respalde sus datos todos los días para cinco años y nunca lo necesitará. Sin embargo, en el caso del fracaso del equipo, un desastre natural, o una violación de seguridad, la habilidad para recobrar sus datos de prisa ahorrará el dinero de la compañía y retendrá a sus clientes. Después de que el proceso de apoyo esté en marcha, empiece el proceso duro. La experimentación es clave para asegurar que sus respaldos no son sólo efectivos, sino que también eficientes, y esos datos echados para atrás pueden ser recobrados. Vale más saber si un acontecimiento existe antes de que usted necesite recobrar datos, así que pruebe sus respaldos regularmente.
Otra razón para tener un plan sólido de recuperación y respaldo es la migración de datos, lo cual requiere datos en movimiento de un sitio a otro. Un respaldo y recuperación tienen previstas asistencias en esta migración, hacerla más suave y asegurar que las ráfagas técnicas en el proceso de migración no lo dejen varado. Usted aprenderá más acerca de la migración de datos en la siguiente sección como usted vaya actualizando, mejorando, y reemplazando equipo en su centro de cómputo.

El respaldo normal

Hay una razón que el respaldo de la cinta es tan popular: Es costeable, fidedigno, dimensionable para negocios de cualquier tamaño, y puede ser programado para programar un respaldo desatendido, haciéndole la elección ideal para sus centros de datos.

Mejoramiento y Reemplazo de Software y Hardware.

Es el reto de cada Responsable del centro de cómputo: la actualización, mejorar programas, o reemplazo de hardware y software existente en los centros de datos. No obstante, por el paso rápido en los cambios de tecnología, es una parte esencial de la administración de un centro de cómputo. Hay muchas razones que usted puede encontrar para cambiar la mitad del software hardware en su centro de cómputo. Por ejemplo, un parche de seguridad le podría obligar a actualizar uno o más servidores en su centro de cómputo, o un switch caido puede necesitar reemplazo. Cualquier cosa puede ocurrir, y en algún punto lo hará. La mejor forma para prepararse para estos tipos de problemas es hacer planes. Cree un plan que esboze qué tanta actualización, mejoramiento, y reemplazo del software y el hardware será maniobrado, y por quién. El “Quien” es siempre imprescindible para asegurar que tareas no son dejadas de hacer porque todo el mundo pensó que alguien más lo haria.
Algunos de los elementos que su plan debería incluir son los siguientes:

Presupuesto:

 Determine un presupuesto para mejorar o reemplazar software y  hardware. Tenga previsto período de inactividad por fallas, si es necesario.

Período de Inactividad por Fallas (tiempo fuera):

 Decida cuánto es necesario el período de inactividad por fallas para completar una actualización o mejorar. Usted tal vez puede encaminar peticiones diferentemente hasta que el proceso es completado para evitar período de inactividad por fallas enteramente. Si el período de inactividad por fallas es menester, decida cuándo debería ser programado el período de inactividad por fallas. En general, es mejor tener previsto el período de inactividad por fallas para las horas de uso mínimo.

Planificación:

 Realice software y actualizaciones operativas de sistema regularmente, al menos una vez al mes. El software y los programas mejorados del equipo dependen de sus ciclos de vida respectivos; Sin embargo, una regla general es que el equipo necesita ser mejorado cada tres o cinco años.

Revisión:

 Aun con un plan firme en práctica, usted debería establecer un horario para revisar todas sus políticas para actualizar, la promoción, y reemplazo de software y hardware. Todo cambia con el paso del tiempo. Para que su centro de cómputo continúe dirigiendo en una manera efectiva y eficiente, una revisión periódica – cada seis o 12 meses – es imprescindible para asegurar que el plan que usted estableció aun concuerda con las necesidades de su centro de cómputo.
En una manera efectiva y eficiente, un repaso periódico cada 6 y 12 meses – es esencial para asegurar que el plan que usted establezca sea reconocido que su centro de cómputo necesita para el manejo de planificación. Usted debe tener de acuerdo con todo los departamentos. Por ejemplo si usted quiere ejecutar un tramo de actualización el ultimo viernes de cada mes entre la 1 y las 3 A.M. Pero el departamento de contaduría hace un reporte mensual durante esas horas, la actualización y el reporte podrían entrar en conflicto una con otra. Por lo consiguiente, trabajar con personal en todos los departamentos para asegurar que las actividades del centro de cómputo no impida su productividad. Esto le ayudara a prevenir conflictos, y ganar el apoyo para los cambos futuros.
Finalmente, comunique sus planes para actualizar y remplazar la parte lógica y física de la PC. Dese cuenta que debería salir bien el avance de muchas actividades para dar otros departamentos dentro de su organización, o en su centro de cómputo de clientes, tiempo para revisar sus horarios, si es necesario.
La misma verdad para regular horarios de mantenimiento aun si usted tiene un horario regular en el cual usted ejecute una copia de respaldo y otros ejercicios de mantenimiento que los usuarios podrían olvidar. Si los ejercicios de mantenimiento afectaran la finalización de la experiencia de los usuarios de cómputo. Este seguro de recordar a sus usuarios cuando usted ejecutara estas funciones así ellas no serán sorprendidas moviéndose
Los ciclos de producto de información, la copia de respaldo y recuperación y actualización y reemplazos son todos esenciales para guardar su centro de operación de datos. En esta lección usted aprenderá acerca de esos tópicos y como la planificación puede minimizar esos problemas.

Creando y Actualizando la Calendarización de Mantenimiento

Uno de los aspectos que mas debe de supervisar del manejo de el centro de cómputo el trabajo del actualizador y el equipo de reparación y software. La mayoría de los centros de administración están muy ocupados para ejecutar tareas de manera oportuna. Como resultado actualizaciones reparaciones son usualmente quitadas,(retrasadas) dejando la organización vulnerable y no funcionando efectivamente estas actividades, usted creara un horario para actualización de equipo  y software y mantenimiento de software en su centro de cómputo.

  • Determine donde su equipo esta en su ciclo de vida
  • Determina donde su software esta en su ciclo de vida
  •  Responda las siguientes preguntas:
  • ¿Cuán frecuente la actualización necesita llevarse acabo?
  • ¿Cuán frecuente debe de dar mantenimiento?
  • ¿Cómo afecta la actualización o mantenimiento otros departamentos dentro de       la organización?
  • ¿Cómo puede minimizar estos efectos? 
  • ¿Quién necesita estar prevenido de estas actualizaciones o reparaciones?
  • ¿Quién es el responsable de ejecutar y monitorear las actualizaciones y mantenimientos?
  • ¿Qué penalidades deben de ser impuestas si las actualizaciones o reparaciones no sean ejecutadas en el horario previsto?
  • ¿Tiene usted un sistema de prevención para asegurarse que estas actividades sean completadas de manera efectiva?
  • ¿Quién es el responsable de comunicar y entrenar a los usuarios acerca de las actualizaciones y mantenimiento?
  • Desarrolle un horario para actualización de equipo y software, y mantenimiento de software y sistemas se operación

ISO/IEC 17799 http://es.wikipedia.org/wiki/Iso_17799

Ciclo de Vida de la Información y de un Producto.

La misma naturaleza de un centro de cómputo manda que el hardware sea un componente esencial, sin embargo, el hardware no es estático. Se vuelve viejo y menos útil con el tiempo y tiene que ser reemplazado. El problema es que el reemplazo de hardware puede afectar el ciclo de vida del centro de cómputo.
Ciclo de vida del producto

Son similares a las etapas en la vida de un producto, desde la introducción a través de la madurez y finalizando en la disminución. En el caso de un centro de cómputo, los ciclos de vida del los servidores y del equipo de almacenamiento afectan los flujos de datos, porque la tecnología cambia rápidamente y se desgasta y debe ser reemplazada ocasionalmente, esto puede ocacionar que el equipo nuevo no pueda acceder a los datos almacenados o en uso. Por lo que se debe tener previsto los cambios en la tecnología.

Administración de cambio

Es el proceso de desarrollar un plan de acercamiento al cambio en la organización, maximizando los esfuerzos colectivos de todas personas involucradas en el cambio, puede ser reactivo (en respuesta a los cambios en el ambiente) o proactivo (para evitar una situación o lograr una meta deseada) . Se puede conducir de manera: semestralmente, anualmente, o según se necesite. La administración de cambio es una estrategia que le ayuda a prepararse para avances tecnológicos que afectarán su centro de cómputo en el futuro y se puede alcanzar desde varios ángulos, aplicándolos en varios procesos organizativos, entre los más comunes están:

  1. El desarrollo organizativo.
  2. La Administración de tecnología de la información.
  3. Administración Estratégica.
  4. Administración de proceso.
  5. Administración de Conformidad (asegurando la conformidad con políticas de seguridad de información, los estándares, las leyes y las regulaciones) .

Para ser efectiva, la administración de cambio debe ser multidisciplinaria, tocando todos los aspectos de la organización, sin embargo, en su núcleo, el cambio se debe de dar en el personal, por consiguiente la Administración de cambio en la tecnología que afecta al centro de cómputo requiere personas enfocada en alcanzarla.
Uno de los primeros pasos para controlar el ciclo de vida del centro de cómputo es decidir cómo debe ser conducida la administración de cambio, por ejemplo:

  • ¿Quién es el encargado de mantener la tecnología dentro de su organización?
  • ¿Qué ocurre si un departamento necesita espacio adicional de almacenamiento y un equipo nuevo debe comprarse?
  • ¿Quién maneja esa adquisición y cómo se integra al centro de cómputo existente?

El siguiente paso es la educación, eduque a sus usuarios acerca de la administración de cambio y las políticas que usted pone en práctica para tratar los ciclos de vida de la información, por ejemplo, si una política dice que: los datos textuales deben ser almacenados en formato de texto plano, se debería tener una política complementaria que guié cómo los  documentos son formateados para la conversión. También debería entrenar a sus empleados en el formateo correcto. Si los usuarios necesitan acceder a los archivos de datos, usted necesita una política que gobierne cómo los datos pueden ser accedidos, y cómo los datos están estructurados para simplificar acceso.
La conformidad también juega un papel fuerte en los ciclos de vida de producto y de información. Muchas de las reglas afectan su centro de cómputo colocando lineamientos estrictos y específicos en cómo deberían ser los datos maniobrados, inclusivos cuando y cómo usted puede deshacerse de eso. Recuerde estas reglas como usted tenga previsto sus ciclos de vida del producto y administración. No hay método que le fiará acceso futuro para sus datos debido a los cambios de tecnología. Sin embargo, con unas políticas y plan firme en práctica y un personal educado, los cambios de tecnología tendrán un impacto inferior.

Respaldo y Recuperación de Datos.

Porque los datos son tan importantes para una mayoría de organizaciones, usted debe considerar qué ocurriría a los datos en caso de un desastre, ya sea de tipo natural, tecnológico, u otro. La mayoría de Responsables saben que usted debería conservar copias de respaldo de datos, y debería poder recobrar datos de esos respaldos en una pequeña cantidad de tiempo. Llega a la parte de apoyo con la que la mayoría de organizaciones tienen dificultad. En general, un respaldo es una foto de su información existente. Usted debería crear respaldos muy a menudo ya que si usted pierde sus datos existentes los puede reemplazar con los datos de apoyo con una cantidad mínima de reconstrucción.
Esa es una tarea difícil para llenar. Como medida, la mayoría de organizaciones crean respaldos una o más veces a la semana. Algunas organizaciones recurren a respaldos una vez al mes, o aun menos frecuentemente, lo cual puede ser peligroso para el negocio. Si usted respalda datos una vez al mes – en el último día de todos los meses – y su servidor le falla el 15, ese es valor de 15 días de información que se va y debe ser reconstruido. En el mejor de los panoramas, los respaldos de datos nuevos y críticos son realizados constantemente, y otros datos son respaldados una vez al día. Si sus datos se pierden, debería requerirse menos de dos horas para reconstruir y volverse operacional, lo cual es aceptable en la mayoría de los casos. Para lograr el mejor de los panoramas, usted puede tener que hacer una cantidad considerable de planificación.
Desarrollar un plan de respaldo y la recuperación que trabaje para su organización comienza con una valoración de su capacidades del respaldo actual y de recuperación. Una vez que usted ha completado la valoración, usted puede comenzar a planificar las metas y los objetivos que guían su respaldo y la recuperación planificada.
En la etapa de planificación, usted debería considerar los siguientes elementos:

  • ¿Cuáles son las necesidades de su organización?
  • ¿Cuáles son las expectativas administrativas de respaldo y la recuperación?
  • ¿Qué personal se encarga del respaldo y proceso de recuperación?
  • ¿Cómo afectan las reglas de conformidad su proceso de respaldo y recuperación?

Adicionalmente, ocúpese del proceso real de respaldar datos, como sigue:

  • ¿Cómo realizará usted el respaldo?
  • ¿Cuándo tendrá lugar?
  • ¿Cómo almacenaran los datos de respaldo y dónde?
  • ¿La clase de rastro de auditoría necesita usted para satisfacer reglas de conformidad?

Si es posible, almacene datos de apoyo fuera del local. De hecho, su mejor plan es tener al menos dos copias de sus datos de respaldo. Una copia restante en una posición segura en el local para la recuperación rápida de datos perdidos. La otra copia está en una posición segura fuera del local en caso que la copia en el sitio se destruya.
Una vez el por qué y cómo de su plan de apoyo es dirigido, empieza el proceso de pre-implementación de apoyo. Para que respaldos sean efectivos, todo el mundo debe saber cómo surte efecto el proceso y el propósito de respaldos. Usted puede lograr esta meta a través de la educación y entrenamiento. Después de que el proceso de pre-implementación este completado, empiece el proceso de apoyo real. Es posible que usted respalde sus datos todos los días para cinco años y nunca lo necesitará. Sin embargo, en el caso del fracaso del equipo, un desastre natural, o una violación de seguridad, la habilidad para recobrar sus datos de prisa ahorrará el dinero de la compañía y retendrá a sus clientes. Después de que el proceso de apoyo esté en marcha, empiece el proceso duro. La experimentación es clave para asegurar que sus respaldos no son sólo efectivos, sino que también eficientes, y esos datos echados para atrás pueden ser recobrados. Vale más saber si un acontecimiento existe antes de que usted necesite recobrar datos, así que pruebe sus respaldos regularmente.
Otra razón para tener un plan sólido de recuperación y respaldo es la migración de datos, lo cual requiere datos en movimiento de un sitio a otro. Un respaldo y recuperación tienen previstas asistencias en esta migración, hacerla más suave y asegurar que las ráfagas técnicas en el proceso de migración no lo dejen varado. Usted aprenderá más acerca de la migración de datos en la siguiente sección como usted vaya actualizando, mejorando, y reemplazando equipo en su centro de cómputo.

El respaldo normal

Hay una razón que el respaldo de la cinta es tan popular: Es costeable, fidedigno, dimensionable para negocios de cualquier tamaño, y puede ser programado para programar un respaldo desatendido, haciéndole la elección ideal para sus centros de datos.

Mejoramiento y Reemplazo de Software y Hardware.

Es el reto de cada Responsable del centro de cómputo: la actualización, mejorar programas, o reemplazo de hardware y software existente en los centros de datos. No obstante, por el paso rápido en los cambios de tecnología, es una parte esencial de la administración de un centro de cómputo. Hay muchas razones que usted puede encontrar para cambiar la mitad del software hardware en su centro de cómputo. Por ejemplo, un parche de seguridad le podría obligar a actualizar uno o más servidores en su centro de cómputo, o un switch caido puede necesitar reemplazo. Cualquier cosa puede ocurrir, y en algún punto lo hará. La mejor forma para prepararse para estos tipos de problemas es hacer planes. Cree un plan que esboze qué tanta actualización, mejoramiento, y reemplazo del software y el hardware será maniobrado, y por quién. El “Quien” es siempre imprescindible para asegurar que tareas no son dejadas de hacer porque todo el mundo pensó que alguien más lo haria.
Algunos de los elementos que su plan debería incluir son los siguientes:

Presupuesto:

Determine un presupuesto para mejorar o reemplazar software y  hardware. Tenga previsto período de inactividad por fallas, si es necesario.

Período de Inactividad por Fallas (tiempo fuera):

Decida cuánto es necesario el período de inactividad por fallas para completar una actualización o mejorar. Usted tal vez puede encaminar peticiones diferentemente hasta que el proceso es completado para evitar período de inactividad por fallas enteramente. Si el período de inactividad por fallas es menester, decida cuándo debería ser programado el período de inactividad por fallas. En general, es mejor tener previsto el período de inactividad por fallas para las horas de uso mínimo.

Planificación:

Realice software y actualizaciones operativas de sistema regularmente, al menos una vez al mes. El software y los programas mejorados del equipo dependen de sus ciclos de vida respectivos; Sin embargo, una regla general es que el equipo necesita ser mejorado cada tres o cinco años.

Revisión:

Aun con un plan firme en práctica, usted debería establecer un horario para revisar todas sus políticas para actualizar, la promoción, y reemplazo de software y hardware. Todo cambia con el paso del tiempo. Para que su centro de cómputo continúe dirigiendo en una manera efectiva y eficiente, una revisión periódica – cada seis o 12 meses – es imprescindible para asegurar que el plan que usted estableció aun concuerda con las necesidades de su centro de cómputo.
En una manera efectiva y eficiente, un repaso periódico cada 6 y 12 meses – es esencial para asegurar que el plan que usted establezca sea reconocido que su centro de cómputo necesita para el manejo de planificación. Usted debe tener de acuerdo con todo los departamentos. Por ejemplo si usted quiere ejecutar un tramo de actualización el ultimo viernes de cada mes entre la 1 y las 3 A.M. Pero el departamento de contaduría hace un reporte mensual durante esas horas, la actualización y el reporte podrían entrar en conflicto una con otra. Por lo consiguiente, trabajar con personal en todos los departamentos para asegurar que las actividades del centro de cómputo no impida su productividad. Esto le ayudara a prevenir conflictos, y ganar el apoyo para los cambos futuros.
Finalmente, comunique sus planes para actualizar y remplazar la parte lógica y física de la PC. Dese cuenta que debería salir bien el avance de muchas actividades para dar otros departamentos dentro de su organización, o en su centro de cómputo de clientes, tiempo para revisar sus horarios, si es necesario.
La misma verdad para regular horarios de mantenimiento aun si usted tiene un horario regular en el cual usted ejecute una copia de respaldo y otros ejercicios de mantenimiento que los usuarios podrían olvidar. Si los ejercicios de mantenimiento afectaran la finalización de la experiencia de los usuarios de cómputo. Este seguro de recordar a sus usuarios cuando usted ejecutara estas funciones así ellas no serán sorprendidas moviéndose
Los ciclos de producto de información, la copia de respaldo y recuperación y actualización y reemplazos son todos esenciales para guardar su centro de operación de datos. En esta lección usted aprenderá acerca de esos tópicos y como la planificación puede minimizar esos problemas.

Creando y Actualizando un Horario de Mantenimiento

Uno de los aspectos que mas debe de supervisar del manejo de el centro de cómputo el trabajo del actualizador y el equipo de reparación y software. La mayoría de los centros de administración están muy ocupados para ejecutar tareas de manera oportuna. Como resultado actualizaciones reparaciones son usualmente quitadas,(retrasadas) dejando la organización vulnerable y no funcionando efectivamente estas actividades, usted creara un horario para actualización de equipo  y software y mantenimiento de software en su centro de cómputo.

  • Determine donde su equipo esta en su ciclo de vida
  • Determina donde su software esta en su ciclo de vida
  •  Responda las siguientes preguntas:
  • ¿Cuán frecuente la actualización necesita llevarse acabo?
  • ¿Cuán frecuente debe de dar mantenimiento?
  • ¿Cómo afecta la actualización o mantenimiento otros departamentos dentro de       la organización?
  • ¿Cómo puede minimizar estos efectos?
  • ¿Quién necesita estar prevenido de estas actualizaciones o reparaciones?
  • ¿Quién es el responsable de ejecutar y monitorear las actualizaciones y mantenimientos?
  • ¿Qué penalidades deben de ser impuestas si las actualizaciones o reparaciones no sean ejecutadas en el horario previsto?
  • ¿Tiene usted un sistema de prevención para asegurarse que estas actividades sean completadas de manera efectiva?
  • ¿Quién es el responsable de comunicar y entrenar a los usuarios acerca de las actualizaciones y mantenimiento?
  • Desarrolle un horario para actualización de equipo y software, y mantenimiento de software y sistemas se operación

ISO/IEC 17799 http://es.wikipedia.org/wiki/Iso_17799