BIENVENIDOS!!!

INTEGRANTES

• Luisa Margarita Artiga García
  17-3943-2004, tel:7398-7619
  Rol:Administrador de Seguridad Informática

• Julissa Guadalupe Menjívar Flores
  17-0965-2005, tel:7175-3551
  Rol: Planeador Estrátegico

• Elena Elizabeth Miranda Torres
  17-3536-2002, tel:7816-0328
  Rol: Administrador de Nuevos Proyectos

PREPARACIÓN DEL CENTRO DE CÓMPUTO

ADMÓN CAMBIO

5.2. Administración del Cambio de Equipo (Contestar todos los grupos)

5.2.1.1. ¿Quién es el encargado  de tomar la decisión de compra de equipos tecnológicos dentro de su organización?

Para el caso de nuestra organización el encargado principalmente  de mantener la tecnología es el Gerente de Soporte Técnico y los que realizan el trabajo son los:

• Técnicos de Soporte Interno.

5.2.1.2. ¿Qué ocurre si un departamento necesita espacio adicional de almacenamiento y debe comprarse un equipo nuevo? (proceso para adquirirlo)

• Inicialmente el departamento debe hacer un requerimiento al Jefe de Soporte Técnico.
• Luego se llena el formulario que proporciona el Jefe de Soporte Técnico para solicitar el equipo, ya que por medio de este se sabrá si realmente es necesario adquirir un nuevo equipo.
• El Jefe de Soporte Técnico  evalúa si es necesario un nuevo equipo o si se necesita solo comprar nuevos componentes de mayor almacenamiento; o alguna actualización de software, etc.
• Se evalúa el tipo de equipo o software a comprar o ya sea los componentes que se necesiten.
• Se solicitan ofertas a diferentes proveedores.
• Se verifica si hay presupuesto para la compra y a quien le corresponde (el departamento).
• Se pide equipo al proveedor previa evaluación de cotizaciones.

5.2.1.3. ¿Quién maneja esa adquisición y cómo se integra al centro de cómputo existente?

La adquisición la maneja el Gerente de Finanzas en conjunto con el Jefe de Soporte Técnico, cuando el equipo ya está en la organización son los Técnicos de Soporte Interno quien se encarga de realizar la instalación del equipo, durante el periodo de instalación del nuevo equipo adquirido, el antiguo sigue en funcionamiento, durante un periodo de tiempo los dos equipos están funcionando, la migración de datos de uno a otro equipo se realiza de una forma gradual y manteniendo la información en ambos, se toma la decisión de migrar la información por contenido de datos y verificando que los usuarios que tienen acceso a dicha información no tengan inconvenientes para acceder luego de haber realizado la migración al nuevo equipo, al terminar de migrar toda la información y corroborar que ningún usuario tiene problemas para el acceso se quita el equipo antiguo y se deja en funcionamiento solamente el equipo nuevo. Para que en la organización se tenga equipo actualizado y que su rendimiento sea favorable para todos los proceso que se dan cada momento en cada área dentro de ésta.

CONTINGENCIAS

5.4. Definiendo Procedimientos sobre contingencias.

5.4.1.1. ¿Qué acontecimientos pueden provocan alarmas de un centro de cómputo?

Son muchos y diversos los factores que pueden generar alarmas en un centro de computo, dentro los cuales podemos mencionas

Artificiales o generados por el hombre.

• Cuando alguien entra virtualmente al centro de computo.
• Cuando alguien entra físicamente  al centro de computo en horas no autorizadas.
• En el caso de violación de archivos seguros.
• Al desconectar un dispositivo que se está utilizando.
• Demasiada humedad en el centro de cómputo.
• Error humano al conectar dispositivos erróneamente.
• Provocación de incendio.
• Error humano de conexión a Internet.
• Terrorismo.
• Vandalismo.
• Negligencia, etc.

Tecnológicos: Indicadores de fallos automáticos en los sistemas, maquinaria o equipos  existentes en el centro de cómputo.

• Fallo de energía.
• Fallos en la instalación eléctrica.
• Fallo de fuentes de alimentación.
• Mal funcionamiento del aire acondicionado.
• Perdida de señal de la Internet, etc.

Naturales.

• Inundaciones.
• Incendios.
• Terremotos.
• Huracanes, etc.

5.4.1.2. ¿Qué pasos deben tomarse para prevenir esas alarmas?

Las medidas a tomar en cuenta son de acuerdo al caso que se presente

Artificiales o generados por el hombre.

• Puertas con chapas de control electrónico. O mejor dicho Tener puertas con seguridad para que no cualquier persona no autorizada pueda entrar al centro de cómputo.
• Tarjetas de acceso magnéticas.
• Equipo de video vigilancia.
• Alarmas detectoras de movimiento contra robo.
• Control de acceso al personal.
• Instalar una seguridad de varias capas para que el Server no sea accesado desde cualquier locación.
• Tener precaución cuando se desconectan dispositivos, expulsar los dispositivos que se han conectado o reiniciar los equipos no indispensables para el Server.
• Revisar periódicamente las instalaciones en busca de fallos o daños que se hayan sufrido por el tiempo o error humano.
• Entrenar a las personas que estarán en el centro de cómputo para evitar fallos.

En lo tecnológico:

• Creación de backups.
• Fuentes de poder redundantes.
• Planta eléctrica de emergencia.
• Firewalls.
• Conexiones seguras.
• Software de análisis de vulnerabilidad.
• Control de recursos.

Naturales

• Sistema de drenaje en el piso firme.
• Colocación estratégica de extinguidotes de fuego.
• Tener planes de contingencia ante incendios, aparte de extintores dentro y fuera del centro de cómputo.
• Procurar tener el centro de computo lo más aislado posible de las inclemencias del tiempo.
• Detectores de humo.
• Estructuras antisísmicas.
• Sistemas de drenaje.

5.4.1.3. ¿Cómo se verificarán cada una de esas alarmas?

Existen muchas y  diversas formas de verificar una alarma las cuales  a continuación mencionamos algunas:

• Asistencia remota (vía Web).
• Asistencia telefónica.
• Presencial.
• Monitoreo de vigilancia remota.

5.4.1.4. ¿Cuáles son los procedimientos de solución si una alarma se convierte en un acontecimiento real?

Dependiendo del tipo de alarma así será el trato como por ejemplo:

• Alarma tecnológica: Cuando se presente  ya sea por un fallo en un equipo, corte de servicio, etc. Se puede dar cierto tipo de solución remota.
• En caso de alarma por catástrofe: Es necesario presentarse al lugar y verificar la alarma y darle solución al problema.
• Alarma por Vandalismo: confirmar la alarma y comunicar a las autoridades correspondientes.

5.4.1.5. ¿Que puesto o persona será el responsable para resolver el acontecimiento?

La persona  o personal en turno encargado de la seguridad o mantenimiento.

5.4.1.6. ¿Cómo será contactado en el día o la noche?

Puedes ser contactado ya sea  vía correo electronico ,  via telefono celular o telefono fijo.

5.4.1.7. ¿Qué tareas de respaldo pueden ser iniciadas antes de que el acontecimiento sea resuelto?

• Copias de respaldo diarias o cada cierto lapso de tiempo.
• Si es necesario sacar el equipo que aun no se a dañado.
• Evacuación del personal que no sea del área de seguridad.

5.4.1.8. ¿Quién declarará que el acontecimiento ha sido resuelto y que ya no necesita atención?

La persona  o personal en turno encargado de la seguridad o mantenimiento,  que asisitio el caso.

5.4.1.9. ¿Qué persona y cuando se revisará el acontecimiento para que no vuelva a suceder?

La persona que revisara el acontecimiento es el encargado o supervisor del centro de cómputo, lo revisara inmediatamente después de haber estudiado las razones por las cuales sucedió, dando una pauta para que no vuelva a suceder.

RESPALDO Y RECUPERACIÓN DE DATOS

5.5 Respaldo y recuperación de datos

5.5.1.1 ¿Cuáles son las necesidades de respaldo de la organización?

Toda organización necesita proteger los datos porque son parte de los activos de la empresa, por lo tanto la organización necesita tener un respaldo de cada una de las operaciones que realizan

5.5.1.2 ¿Cuáles son las expectativas administrativas de respaldo y recuperación?

Las expectativas son que al ocurrir algún incidente que pueda dañar datos en el instante se pueda tener disponible nuevamente la información.

5.5.1.3 ¿Qué personal se encarga del proceso de respaldo y recuperación?

Los encargados del proceso de respaldo y recuperación  son los del área de seguridad informática.

5.5.1.4 ¿Cómo afectan las regulaciones de conformidad (leyes sobre administración de información: acta del patriota, HIPAA, Sarbanes Oxley)?

Primeramente tenemos que conocer un poco de lo que es cada uno de los documentos, por ejemplo:

El Acta del Patriota: La Ley Patriótica (Patriotic Act), denominada en inglés USA PATRIOT Act, es un acta del Congreso de los Estados Unidos que el presidente George W. Bush promulgó como ley el 26 de octubre de 2001. Su objetivo es restringir una serie de derechos constitucionales, a fin de ampliar el poder represivo del Estado sin la intervención del poder judicial, a fin de garantizar la seguridad nacional y combatir el terrorismo. La misma ha sido severamente criticada por organismos de derechos humanos debido a la restricción de las libertades y garantías constitucionales y ha sido considerada inconstitucional por varios tribunales.

Sanción y contenido

Su nombre oficial en inglés, “USA PATRIOT” es un acrónimo proveniente de la siguiente frase: Uniendo y Fortaleciendo América mediante la Provisión de Apropiadas Herramientas Requeridas para Interceptar y Obstruir el Terrorismo (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism). El acrónimo “USA PATRIOT” genera a su vez un slogan nacionalista equivalente a “ESTADOS UNIDOS PATRIÓTICO”.

El Acta fue aprobada cuarenta y cinco días después de los atentados del 11 de septiembre de 2001 y su objetivo fue ampliar sustancialmente los poderes represivos del Estado con el fin declarado de combatir el terrorismo, sin necesidad de orden judicial, tanto dentro como fuera de Estados Unidos, restringiendo una serie de derechos constitucionales. Entre sus previsiones, el Acta Patriótica incrementa las facultades de las agencias represivas para vigilar las comunicaciones telefónicas y de correo electrónico, así como los registros públicos y privados (médicos, financieros, libros solicitados en las bibliotecas, etc.); reduce las restricciones para acciones de inteligencia en otros países; aumenta el poder de la Secretaría del Tesoro para regular el mercado financiero; y concede poder discrecional a las autoridades policiales y migratorias para detener y deportar a inmigrantes, cuando se invoque que los mismos están sospechados de estar relacionados con el terrorismo. El Acta Patriótica también amplía la definición de terrorismo, con el fin de incluir actividades realizadas por ciudadanos estadounidenses y actos que antes no eran considerados como tal.

Ahora conozcamos un poco sobre el HIPAA: HIPAA es la ley federal de 1996 que se conoce como Ley de “Portabilidad” y Responsabilidad del Seguro Médico. La meta fundamental de la ley era facilitar a las personas el mantener un seguro médico, proteger la confidencialidad y la seguridad de la información del cuidado médico y ayudar a la industria del cuidado de la salud a controlar los costos administrativos.

HIPAA se divide en cinco títulos o secciones. Cada título trata un aspecto único de la reforma del seguro de salud. El Título I ya vigente es la movilidad (“portabilidad”). La movilidad permite a las personas llevar su seguro médico de un trabajo a otro para que no tengan un lapso en la cobertura. También restringe a los planes médicos de requerir condiciones preexistentes a personas que cambian un plan médico a otro.

El Titulo II se conoce como la Simplificación Administrativa y tendrá un impacto mayor para los proveedores. Se diseñó para:

• Combatir el fraude y abuso en el cuidado de la salud;
• Garantizar la seguridad y la privacidad de la información médica;
• Establecer estándares para la información y transacciones médicas y
• Reducir el costo del cuidado médico mediante la estandardización de la manera en que la industria comunica la información.

Los títulos restantes son:

• Título III – Disposiciones de Salud Relacionadas a Impuestos
• Título IV – Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud
• Título V – Retenciones de Ingresos

¿Qué es la Simplificación Administrativa?

La Simplificación Administrativa es el establecimiento de un conjunto de estándares para recibir, transmitir y mantener información del cuidado médico y asegurar la privacidad y seguridad de la información identificable de una persona. HIPAA establece estándares para transacciones electrónicas del cuidado de la salud, conjuntos de códigos nacionales e identificación única para los proveedores, los planes de salud, los patronos y las personas.

¿Cuáles son las Medidas Específicas de la Simplificación Administrativa?

• Conjuntos de Transacciones y Códigos – HIPAA ordena el desarrollo y uso de transacciones estandardizadas para el intercambio electrónico de información. Además requiere el uso de conjuntos de códigos nacionales estandardizados para identificar condiciones médicas, tratamientos, proveedores, personas, y procedimientos.
• Privacidad – Provee para la protección de información de salud individualmente identificable que se transmite o mantiene mediante cualquier forma o medio. Estas reglas se finalizaron y entraron y se ordenó su implementación para el 14 de abril de 2003. La regla de privacidad afecta las operaciones cotidianas de negocio de todas las organizaciones que proveen cuidado médico y que mantienen información personal de salud.
• Estándares de Seguridad – Los estándares de seguridad se diseñaron para proteger la información del cuidado médico mientras se almacena e intercambia. También incluyen medidas para corroborar la identidad de aquéllos que envían y reciben electrónicamente información de cuidado médico.

¿Qué Requiere la Regla de Privacidad?

A los proveedores se les requiere que:

1. Garanticen los derechos a la privacidad del paciente al:
   • Entreguen a los pacientes explicaciones claras, por escrito de cómo el proveedor podría utilizar y revelar su información de salud;
   • Aseguren que los pacientes puedan ver y obtener copias de sus expedientes y solicitar correcciones;
   • Hagan un historial de revelaciones no rutinarias accesible a los pacientes;
   • Obtengan el consentimiento del paciente antes de compartir su información para tratamiento, pago y actividades del cuidado médico;
   • Obtengan la autorización del paciente para las revelaciones no rutinarias y la mayoría de los propósitos no relacionados al cuidado médico y
   • Permitan a los pacientes solicitar restricciones en los usos y revelaciones de su información
2. Adopten procedimientos de privacidad por escrito que incluyan:
   • Quién tiene acceso a la información protegida,
   • Cómo se utilizará dentro de la agencia y
   • Cuándo la información se revelará.
3. Se aseguren que los asociados del negocio protejan la privacidad de la información de salud.
4. Enseñen a los empleados los procedimientos de privacidad del proveedor.
5. Designen un oficial de privacidad que es responsable de asegurarse que los procedimientos de seguridad se cumplen.

Veamos lo que es Sarbanes Oxley: La Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de julio de 2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. También es llamada SOx o SarbOx.

La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.

Esta ley, más allá del ámbito nacional, afecta a todas las empresas que cotizan en NYSEC (Bolsa de Valores De Nueva York), así como a sus filiales.

Introducción

La Ley Sarbanes-Oxley es una Ley federal de Estados Unidos que ha generado mucha controversia, ya que esta Ley va en respuesta a los escándalos financieros de algunas grandes corporaciones, entre los que se incluyen los casos que afectan a Enron, Tyco International, WorldCom y Peregrine Systems. Estos escándalos hicieron caer la confianza de la opinión pública en los sistemas de contabilidad y auditoría. La Ley toma el nombre del senador Paul Sarbanes (Demócrata) y el congresista Michael G. Oxley (Republicano). La Ley fue aprobada por amplia mayoría, tanto en el congreso como el senado. La legislación abarca y establece nuevos estándares para los consejos de administración y dirección y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para el consejo de administración y establece unos requerimientos por parte de la SEC (Securities and Exchanges Commission), es decir, la comisión reguladora del mercado de valores de Estados Unidos. Los partidarios de esta Ley afirman que la legislación era necesaria y útil, mientras los críticos creen que causara más daño económico del que previene.

La primera y más importante parte de la Ley establece un nueva agencia cuasi pública, “the Public Company Accounting Oversight Board”, es decir, una compañía reguladora encargada de revisar, regular, inspeccionar y disciplinar a las auditoras. La Ley también se refiere a la independencia de las auditoras, el gobierno corporativo y la transparencia financiera. Se considera uno de los cambios más significativos en la legislación empresarial, desde el “New Deal” de 1930.

5.5.1.5 ¿Cómo realizara usted el respaldo?

Lo primero que se hará en la organización es detallar el software y hardware, para tener un control de los mismos. Luego el respaldo se hará creando copias de cada uno de los datos que se procesen,  así como asegurando el funcionamiento de los equipos.

5.5.1.6 ¿Cuándo tendrá lugar?

El respaldo se realizara siempre que se creen archivos, datos o documentos importantes.

5.5.1.7 ¿Cómo almacenaran los datos de respaldo y donde?

Los datos de respaldo se almacenaran en Cd, USB o PCs. La organización contara con un lugar estratégico en la cual diariamente se estarán enviando los datos que se requieran respaldar.

5.5.1.8 ¿Qué tipo de auditorías necesitaran para cumplir con las regulaciones de conformidad?

La auditoria más importante será la de revisar si se esta cumpliendo en respaldar los datos diariamente y si dichos datos son de relevancia para la organización.

También se diseña un sistema que registre quien ha realizados las copias de respaldo con un documento similar al siguiente.

Fecha:

Hora:

Supervisor:

Responsable:

Tipo de información a procesar:

Departamento:

Dirección dentro del disco duro:

Si es un dispositivo físico detalle a donde se trasladara:

F. ___________________

ACTUALIZACIÓN (UPDATE) Y MEJORA (UPGRADE) DE DATOS

5.6 Actualización (Update) y mejora (Upgrade) del software Principal.

5.6.1.1.  Determine en que parte del ciclo de vida se encuentra el software principal.

Ciclo de vida del software

El desarrollo de software va unido a un ciclo de vida compuesto por una serie de etapas que comprenden todas las actividades, desde el momento en que surge la idea de crear un nuevo producto software, hasta aquel en que el producto deja definitivamente de ser utilizado por el último de sus usuarios.

Etapas en el ciclo.

Veamos, a grandes rasgos, una pequeña descripción de etapas con que podemos contar a lo largo del ciclo de vida del software; una vez delimitadas en cierta manera las etapas, habrá que ver la forma en que estas se afrontan (existen diversos modelos de ciclo de vida, y la elección de un cierto modelo para un determinado tipo de proyecto puede ser de vital importancia; el orden de las etapas es un factor importante, p.ej. tener una etapa de validación al final del proyecto, tal como sugiere el modelo en cascada o lineal, puede implicar serios problemas sobre la gestión de determinados proyectos; hay que tener en cuenta que retomar etapas previas es costoso, y cuanto más tarde se haga más costoso resultará, por tanto el hecho de contar con una etapa de validación tardía tiene su riesgo y, por su situación en el ciclo, un posible tiempo de reacción mínimo en caso de tener que retornar a fases previas):

Expresión de necesidades.

Esta etapa tiene como objetivo la consecución de un primer documento en que queden reflejados los requerimientos y funcionalidades que ofrecerá al usuario del sistema a desarrollar (qué, y no cómo, se va a desarrollar).

Dado que normalmente se trata de necesidades del cliente para el que se creará la aplicación, el documento resultante suele tener como origen una serie de entrevistas cliente-proveedor situadas en el contexto de una relación comercial, siendo que debe ser comprendido por ambas partes (puede incluso tomarse como base para el propio acuerdo comercial).

Especificaciones.

Ahora se trata de formalizar los requerimientos; el documento obtenido en la etapa anterior se tomará como punto de partida para esta fase. Su contenido es aún insuficiente y lleno de imprecisiones que será necesario completar y depurar. Por medio de esta etapa se obtendrá un nuevo documento que definirá con más precisión el sistema requerido por el cliente (el empleo de los casos de uso, use cases, de Jacobson es una muy buena elección para llevar a cabo la especificación del sistema).

Lo más normal será que no resulte posible obtener una buena especificación del sistema a la primera; serán necesarias sucesivas versiones del documento en que irán quedando reflejada la evolución de las necesidades del cliente (por una parte no siempre sabe en los primeros contactos todo lo que quiere realmente, y por otra parte pueden surgir cambios externos que supongan requerimientos nuevos o modificaciones de los ya contemplados).

Análisis.

Es necesario determinar que elementos intervienen en el sistema a desarrollar, así como su estructura, relaciones, evolución en el tiempo, detalle de sus funcionalidades, … que van a dar una descripción clara de qué sistema vamos a construir, qué funcionalidades va a aportar y qué comportamiento va a tener. Para ello se enfocará el sistema desde tres puntos de vista relacionados pero diferentes:

• Funcional.
• Estático.
• Dinámico.

Diseño.

Tras la etapa anterior ya se tiene claro que debe hacer el sistema, ahora tenemos que determinar como va a hacerlo (¿cómo debe ser construido el sistema?; aquí se definirán en detalle entidades y relaciones de las bases de datos, se pasará de casos de uso esenciales a su definición como casos expandidos reales, se seleccionará el lenguaje más adecuado, el Sistema Gestor de Bases de Datos a utilizar en su caso, librerías, configuraciones hardware, redes, etc.).

Observación:
Aunque todo debe ser tratado a su tiempo, y sería muy deseable que las decisiones correspondientes en esta etapa fueran tomadas precisamente en esta etapa, muchas veces nos vamos a encontrar con unas decisiones previamente impuestas sobre lenguaje, plataforma, etc. Unas veces se dirán justificadas en simple política de empresa y por mantener “compatibilidad” en lo que respecta a los demás proyectos de la propia empresa, y en otras ocasiones por rumores de que tal o cual herramienta mejoraría la velocidad de desarrollo u otro aspecto de interés (en parte de los casos no serán rumores con fundamento o estudios previos realizados al efecto, sino más bien debidos a la propia publicidad como consejera).

Implementación:
Llegado este punto se empieza a codificar algoritmos y estructuras de datos, definidos en las etapas anteriores, en el correspondiente lenguaje de programación y/o para un determinado sistema gestor de bases de datos.

Observación:
Lamentablemente en la actualidad, año 2.000, quedan bastantes empresas en las que, tras una reunión comercial en que tan solo se ha conseguido recabar una breve lista de requerimientos, a pesar de tener que enfrentarse a proyectos grandes-medios, se pasa directamente a la etapa de implementación; son proyectos guiados por el riesgo que supone adoptar un modelo de ciclo de vida de codificar-corregir (code and fix) donde se eliminan las fases de especificaciones, análisis y diseño con la consiguiente pérdida de control sobre la gestión del proyecto.

Pruebas.

El objetivo de estas pruebas es garantizar que el sistema ha sido desarrollado correctamente, sin errores de diseño y/o programación. Es conveniente que sean planteadas al menos tanto a nivel de cada módulo (aislado del resto), como de integración del sistema (según sea la naturaleza del proyecto en cuestión se podrán tener en cuenta pruebas adicionales, p.ej. de rendimiento).

Validación.

Esta etapa tiene como objetivo la verificación de que el sistema desarrollado cumple con los requisitos expresados inicialmente por el cliente y que han dado lugar al presente proyecto (para esta fase también es interesante contar con los use cases, generados a través de las correspondientes fases previas, que servirán de guía para la verificación de que el sistema cumple con lo descrito por estos).

Mantenimiento y evolución.

Finalmente la aplicación resultante se encuentra ya en fase de producción (en funcionamiento para el cliente, cumpliendo ya los objetivos para los que ha sido creada). A partir de este momento se entra en la etapa de mantenimiento, que supondrá ya pequeñas operaciones tanto de corrección como de mejora de la aplicación (Ej. mejora del rendimiento), así como otras de mayor importancia, fruto de la propia evolución (Ej. nuevas opciones para el usuario debidas a nuevas operaciones contempladas para el producto).

La mayoría de  veces  que se desarrolla una nueva aplicación, se piensa solamente en un ciclo de vida para su creación, olvidando la posibilidad de que esta deba sufrir modificaciones futuras (que tendrán que producirse con casi completa seguridad para la mayor parte de los casos).

El Software Principal esta en la fase de implementación y mantenimiento. El Software que se ha utilizado siempre ha sido Windows, actualmente se cuenta con las licencias de Windows XP teniendo la experiencia que este ha sido muy inestable ya que continuamente es atacado con virus y es muy preocupante perder información.

5.6.1.2.  ¿Con cuánta frecuencia se necesita llevarse a cabo la actualización software principal?

Las Actualizaciones del sistema se darán cuando exista la necesidad de hacer algún cambio o corrección de estos siempre y cuando estos Sistemas son creados para una determina operación, en cambio sistemas creados para operaciones estándar con los sistemas operativos de los servidores de archivos y de las maquinas que acceden a esa información, antivirus, etc. deben de ser actualizados cada vez que la empresa responsable de estos sistemas y/o programas lancen nuevas actualizaciones.

5.6.1.3. ¿Con cuánta frecuencia se debe de dar mantenimiento?

El proceso de mejora y optimización del software debe ser de constante revisión como también corrección de los defectos.

El mantenimiento del software involucra varias técnicas específicas. Una técnica es el rebanamiento estático, la cual es usada para identificar todo el código de programa que puede modificar alguna variable. Es generalmente útil en la refabricación del código del. La fase de mantenimiento de software es una parte explícita del modelo en cascada del proceso de desarrollo de software el cual fue desarrollado durante el movimiento de programación estructurada en computadores. El otro gran modelo, el Desarrollo en espiral desarrollado durante el movimiento de ingeniería de software orientada a objeto no hace una mención explícita de la fase de mantenimiento. Sin embargo, esta actividad es notable, considerando el hecho de que dos tercios del costo del tiempo de vida de un sistema de software involucran mantenimiento.

En un ambiente formal de desarrollo de software, la organización o equipo de desarrollo tendrán algún mecanismo para documentar y rastrear defectos y deficiencias. El Software tan igual como la mayoría de otros productos, es típicamente lanzado con un conjunto conocido de defectos y deficiencias. El software es lanzado con esos defectos conocidos porque la organización de desarrollo en las utilidades y el valor del software en un determinado nivel de calidad compensan el impacto de los defectos y deficiencias conocidas.

Las deficiencias conocidas son normalmente documentadas en una carta de consideraciones operacionales o notas de lanzamiento (release notes) es así que los usuarios del software serán capaces de trabajar evitando las deficiencias conocidas y conocerán cuando el uso del software sería inadecuado para tareas específicas. Con el lanzamiento del software (software release), otros, defectos y deficiencias no documentados serán descubiertas por los usuarios del software. Tan pronto como estos defectos sean reportados a la organización de desarrollo, serán ingresados en el sistema de rastreo de defectos.

Las personas involucradas en la fase de mantenimiento de software esperan trabajar en estos defectos conocidos, ubicarlos y preparar un nuevo lanzamiento del software, conocido como un lanzamiento de mantenimiento, el cual resolverá los temas pendientes.
Tipos de mantenimiento.

A continuación se señalan los tipos de mantenimientos existentes, definidos tal y como se especifican para la metodología de Métrica:

Perfectivo: son las acciones llevadas a cabo para mejorar la calidad interna de los sistemas en cualquiera de sus aspectos: reestructuración del código, definición más clara del sistema y optimización del rendimiento y eficiencia.

Evolutivo: son las incorporaciones, modificaciones y eliminaciones necesarias en un producto software para cubrir la expansión o cambio en las necesidades del usuario.

Adaptativo: son las modificaciones que afectan a los entornos en los que el sistema opera, por ejemplo, cambios de configuración del hardware, software de base, gestores de base de datos, comunicaciones, etc.

Correctivo: son aquellos cambios precisos para corregir errores del producto software.

Es importante señalar que, de estos 4 tipos de mantenimiento, solamente el correctivo y el evolutivo entran dentro del ámbito de Métrica versión 3, ya que los otros dos requieres actividades y perfiles distintos a los del proceso de desarrollo.

5.6.1.4. ¿Cómo afecta a otros departamentos dentro de la organización las actualizaciones o mantenimiento?

Las actualizaciones y mantenimiento de los sistemas deben de llevarse a cabo primero en un ambiente de pruebas adonde se tienen que hacer todas las pruebas a la actualización de tal forma de garantizar que la actualización no afectará los procesos que realizan o se llevan a cabo dentro de cada departamento de la organización.

Luego de realizar las respectivas pruebas estas actualizaciones se llevan a cabo en un momento que no afecten las operaciones diarias de los usuarios de la organización.

5.6.1.5. ¿Cómo se pueden minimizar estos efectos?

Teniendo la mayor compatibilidad del sistema se pueden minimizar tanto los tiempos de pruebas, como también minimizar el hecho de que existan demasiados errores por corregir debido a las nuevas actualizaciones. Como también tener una calendarización para llevar a cabo los respectivos mantenimientos y actualización del software.

5.6.1.6. ¿Qué puesto o Persona será el responsable de ejecutar y monitorear las actualizaciones y mantenimientos?

El responsable de llevar a cabo de ejecutar y monitoria las nuevas actualizaciones de los sistemas será el mismo encargado del departamento de soporte informático será el jefe de seguridad informática y los usuarios de cada computadora asignadas ya que son los responsables de los cambios y son los únicos que poseen la contraseña de ingreso a cada computadora.

5.6.1.7. ¿Qué penalidades deben de ser impuestas si las actualizaciones o reparaciones no son ejecutadas en el horario previsto?

Dependiendo del nivel de importancia y consecuencia de no realizar la actualización, parche del sistema así será la penalidad impuesta al encargado de realizar la actividad programa.

Las penalidades dependerán del riesgo que se tome, entre las cuales tenemos:

Sanciones

• Amonestación escrita
• Amonestación verbal
• Despido
• Llamada de atención
• Ninguna

Consecuencias de los errores

• Atrasos
• Pérdida física
• Pérdida humana
• Pérdida monetaria

5.6.1.8. ¿Se tiene un sistema de prevención para asegurarse que estas actividades sean completadas de manera efectiva?

Se debe de llevar una bitácora de las actividades realizadas, adonde se plasme el estatus actual de la actividad como también la finalización exitosa de dicha actividad. Teniendo muy cuenta con sistemas de prevención, por ejemplo, antivirus (a nivel de software), plantas eléctricas, UPS´s, reguladores de voltaje (a nivel de hardware), esto para evitar contratiempos y perdida de datos importantes.

5.6.1.9. ¿Quién es el responsable de comunicar y entrenar a los usuarios acerca de las actualizaciones y mantenimiento?

Cuando las actualizaciones no son criticas y las pueden llevar a cabo los usuarios, estos serán notificados de que existen actualizaciones disponibles para sus sistemas, previo entrenamiento o capacitación por parte del departamento de soporte informático. En este caso el jefe de seguridad informática será el responsable de velar por la capacitación del personal del centro de computo, y es el que capacita cuando esta dentro de sus capacidades o es el que gestiona ante compañías proveedoras de software las capacitaciones que el personal necesite.

5.6.1.10. Desarrolle un horario para actualización y mantenimiento de de equipo y software o  sistemas de información.

Por defecto los Sistemas Operativos traen embebidos las opciones de actualización Manual y Automática.

Pero a continuación presentamos  un horario que nos servirá para una buena organización de actualización y mantenimiento.

ORGANIZACION DEL CAPITAL HUMANO INFORMATICO

INTEGRANTES

Roberto Carlos Amaya Quintanilla
17-0768-2000, tel:7871-0477
Rol: Administrador de Recursos Humanos

Luisa Margarita Artiga García
17-3943-2004, tel:7398-7619
Rol: Planeador Estrátegico

Julissa Guadalupe Menjívar Flores
17-0965-2005, tel:7175-3551
Rol: Administrador de Nuevos Proyectos

Elena Elizabeth Miranda Torres
17-3536-2002, tel:7816-0328
Rol: Administrador de Seguridad Informática

CATALOGO DE SERVICIOS

Evolución Tecnológica S.A de C.V, esta empresa estará dedicada a la venta de productos y servicios informáticos: soporte técnico, hardware y software. La atención al cliente se realizará a través de una página web en la que se brinda la información necesaria y una sala de ventas.

I
• Nombre: Evolución Tecnológica S.A de C.V
• Descripción: Venta de Centro de Computo.
• Propietario: Sociedad
• Clientes: Centros Educativos
• Condiciones: referente a los pagos al crédito
• Horas de Servicio: 7:00 am a 6: 00 pm
• Disponibilidad: Inmediata

II
• Nombre: Evolución Tecnológica S.A de C.V
• Descripción: Soporte técnico y venta de equipos informáticos.
• Propietario: Sociedad
• Clientes: Supermercados, empresas bancarias, etc.
• Condiciones: referente a los pagos al crédito
• Horas de Servicio: 7:00 am a 6: 00 pm
• Disponibilidad: Inmediata

Catálogo de Servicios Unidad de TI de la empresa Evolución Tecnológica S.A. de C.V.

- Administrar Servidor de Correo
- Administrador de Servicios de Internet
- Administrador de Aplicaciones Web
- Administrador de Aplicaciones de desarrollo local
- Soporte ERP
- Soporte Server
- Soporte RED
- Soporte Hardware

DESCRIPCION DE OTROS SERVICIOS