Tres de los servicios de TI y sus normas y

estndares aplicables.
Normas y
estndares
para
servicios de
TI

Jessica Mendoza Jimenez
Desarrollo de sitios Web
Los estndares son un conjunto de normas y recomendaciones que debera cumplir
un sitio web para ser considerado un sitio de calidad. Se define como sitio de calidad
aquel que es visualizable sin errores de despliegue en la mayora de los navegadores
existentes, desde la mayor parte de dispositivos electrnicos y sin requerimientos de
hardware para el visitante del mismo. Estas normas y recomendaciones son
cambiantes en el tiempo y dependen de la tecnologa en la cual se desarrollan los
sitios web, la organizacin encargada de establecer estos estndares es la World Wide
Web Consortium (http://www.w3c.org) la cual otorga herramientas web que
permiten la medicin del cumplimiento de estos estndares.
Por qu cumplir con estos estndares?
El objetivo principal es aumentar el potencial de la web, asegurando que las
tecnologas relacionadas a ella, sean compatibles entre s. De este modo, el hardware y
software usado para acceder a los sitios web trabaja en conjunto. A esto se le
denomina interoperabilidad web.
Interoperabilidad es la capacidad, conocimiento y acuerdo de dos o ms partes de un
todo, para que funcionen de manera conjunta y mancomunada, con el objetivo de
lograr un fin determinado. De acuerdo al cumplimiento de estos estndares se hacen
las mediciones de los sitios web.
Cmo se realiza la medicin y verificacin en el cumplimiento de los
estndares internacionales?
La medicin y verificacin del cumplimiento de los estndares, se realiza mediante
diferentes herramientas de validacin disponibles a travs de la web
http://www.w3c.org
Verificacin XHTML: Es un test de validacin del contenido XHTML de un sitio web. A
travs de una revisin del cdigo del mismo, se detectan inconsistencias, falencias y
cdigo html no utilizado o errneo.
Verificacin de CSS: Es un test de validacin del contenido CSS de una web. A travs
de una revisin del cdigo de la misma, se detectan inconsistencias, falencias y cdigo
CSS no utilizado o errneo.
Verificacin de enlaces rotos: Es un test de validacin de los enlaces (links) existentes
en un sitio web. Se analiza cada uno de ellos, detectando los que estn rotos o
invlidos.


La utilidad del DS 100/2006 radica en la necesidad de que los contenidos del sitio web
estn desarrollados con una orientacin al usuario, ofrecindole la informacin de
manera simple, actualizada, rpida y eficiente. Para ello, se deben adoptar las
siguientes medidas:
Ofrecer contenidos de utilidad. El sitio web debe ser til desde la perspectiva del
usuario. Es decir, debe entregar lo que anda buscando.
Emplear etiquetas descriptivas. Se deben emplear palabras y descriptores que sean
de fcil comprensin, escritos en un lenguaje que hable el usuario.
Asegurar la correcta indexacin. Se debe preparar la informacin del sitio web para
que sea incluida en el sistema de bsqueda, con el objetivo de que el sitio pueda ser
encontrado por diferentes medios.
Optimizar el acceso. Equilibrar el peso y calidad de los contenidos; que el sitio web
tenga caractersticas fsicas de peso de archivos que sean adecuadas para un buen
tiempo de despliegue.

Usar certificados de validacin para destacar la calidad de un sitio. Para dar a conocer
pblicamente que un sitio web ha pasado las validaciones, el propio sitio validador
entrega un certificado (cono) para cada una de las validaciones, destacando su
calidad.

Directrices de Calidad Google.
Las directrices de Google ayudan a ubicar, seleccionar y clasificar cada uno de los
sitios web existentes en Internet. Adicionalmente, muchas de estas directrices son
exigidas por el resto de los buscadores, como Yahoo, Baidu, MSN, Sohu, etc.

Las directrices de Google establecen las prcticas ilcitas que pueden ocasionar una
penalizacin por parte de este motor de bsqueda, tales como la eliminacin de parte
del sitio, el desvo del trfico hacia otras web o, en el peor de los casos, caer en la lista
negra de Google.
Las normas se aplican a:
HTML & CSS
JavaScript Web APIs
Graphics
Audio and Video
Accessibility
Internationalization
Mobile Web
Privacy
Math on the Web





















Diseo y desarrollo de redes.
ISO International Standards Organization (Organizacin Internacional de normas).
Normas de Red
Es la norma ANSI/TIA/EIA-568-A, "Norma para construccin comercial de
cableado de telecomunicaciones". Esta norma fue desarrollada y aprobada por
comits del Instituto Nacional Americano de Normas (ANSI), la Asociacin de la
Industria de Telecomunicaciones (TIA), y la Asociacin de la Industria
Electrnica, (EIA) La norma establece criterios tcnicos y de rendimiento para
diversos componentes y configuraciones de sistemas. Adems, hay un nmero
de normas relacionadas que deben seguirse con apego
Dichas normas incluyen la ANSI/EIA/TIA-569, "Norma de construccin
comercial para vas y espacios de telecomunicaciones", que proporciona
directrices para conformar ubicaciones, reas, y vas a travs de las cuales se
instalan los equipos y medios de telecomunicaciones.

Estandares de Red
802.1 definicin internacional de redes
El comit que se ocupa de los estndares de computadoras a nivel mundial es
de la IEEE en su divisin 802, los cuales se dedican a lo referente de sistema de
red estn especificado los siguientes.
802.2 Control de enlaces lgicos
Define el protocolo de control de enlaces lgicos (LLC) del IEEE, el cual asegura
que los datos sean transmitidos de forma confiable por medio del enlace de
comunicacin y la capa de datos-enlace en el protocolo OSI esta subdividida en
subcapas de control de acceso a medios (MAC) y de control de enlaces lgicos
(LLC)
802.3 Redes CSMA/CD
Hace referencia a las redes tipo bus en donde se deben de evitar las colisiones
de paquetes de informacin, por lo cual este estndar hace regencia el uso de
CSMA/CD ( Acceso mltiple con detencin de portadora con detencin).
Estndares de Red
802.4 Redes Token Bus
Token pero para una red con topologa en anillo o la conocida como token bus
define esquemas de red de anchos de banda grande, usados en la industria de
manufactura, se deriva del protocolo de automatizacin de manufacturas
(MAP)Hace regencia al mtodo de acceso.
802.7 grupo asesor tcnico de anchos de banda
802.8 grupo asesor tcnico de fibra ptica
802.9 Redes integradas de datos y voz
El grupo de trabajo del IEEE 802.9 trabaja en la integracin de trafico de voz,
datos y video para las LAN 802 y redes digitales de servicios integrados y los
nodos definidos en la especificacin incluyen telfonos computadoras y
codificaciones/descodificaciones de video (CODECS)
802.10 Grupo asesor tcnico de seguridad en redes
802.11 Redes Inalmbricas
802.12 Prioridad de Demanda (100VG-ANYLAN)












Seguridad informtica
Las principales recomendaciones que se utilizan en seguridad de SI son las siguientes:
Se est trabajando en la modernizacin del Libro Naranja, ampliando su alcance,
ahora reducido a sistemas operativos, hacia las aplicaciones, bases de datos y
comunicaciones.


Los TCSEC (Trusted Computer Security Evaluation Criteria) definidas por el
Departamento de Defensa de EEUU (comnmente conocido como el Libro
Naranja). Suministra especificaciones de seguridad relativas a sistemas
operativos y sistemas gestores de bases de datos (en proceso de revisin).
El ITSEC (Information Technology Security Evaluation Criteria) que es el
equivalente europeo del Libro Naranja, pero ms moderno y con mayor alcance
que aqul. Se conoce comnmente como Libro Blanco.
El ITSEM (Information Technology Security Evaluation Manual).
Las definidas por el subcomit 27 del JTC-1 de la ISO/IEC.
Las definidas por la ECMA (European Computer Manufacturing Association).
El estndar ISO 7498-2 (OSI, Security Architecture).
A continuacin se describen cada una de estas recomendaciones de seguridad:


TCSEC
Los TCSEC tiene por objetivo aplicar la poltica de seguridad del Departamento de
Defensa estadounidense. Esta poltica se preocupa fundamentalmente del
mantenimiento de la confidencialidad de la informacin clasificada a nivel nacional.

Los TCSEC definen siete conjuntos de criterios de evaluacin denominados clases (D,
C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluacin:
poltica de seguridad, imputabilidad, aseguramiento y documentacin. Los criterios
correspondientes a estas cuatro reas van ganando en detalle de una clase a otra,
constituyendo una jerarqua en la que D es el nivel ms bajo y A1 l ms elevado.
Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.

A continuacin se enumeran las siete clases:

o D Proteccin mnima. Sin seguridad.
o C1 Limitaciones de accesos a datos.
o C2 Acceso controlado al SI. Archivos de log y de auditora del sistema.
o B1 Equivalente al nivel C2 pero con una mayor proteccin individual
para cada fichero.
o B2 Los sistemas deben estar diseados para ser resistentes al acceso de
personas no autorizadas.
o B3 Dominios de seguridad. Los sistemas deben estar diseados para ser
altamente resistentes a la entrada de personas no autorizadas.
o A1 Proteccin verificada. En la prctica, es lo mismo que el
nivel B3, pero la seguridad debe estar definida en la fase de anlisis del
sistema.
El Libro Naranja fue desarrollado por el NCSC (National Computer Security Center) de
la NSA (National Security Agency) del Departamento de Defensa de EEUU.
Actualmente, la responsabilidad sobre la seguridad de SI la ostenta un organismo civil,
el NIST (National Institute of Standards and Technology).

ITSEC
Ha surgido de la armonizacin de varios sistemas europeos de criterios de seguridad
en TI. Tiene un enfoque ms amplio que TCSEC.


Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad
arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir teniendo
presentes las leyes y reglamentaciones).


Se definen siete niveles de evaluacin, denominados E0 a E6, que representan una
confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza
inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza til, y E6
el nivel de confianza ms elevado. Por ello, los presentes criterios pueden aplicarse a
una gama de posibles sistemas y productos ms amplia que los del TCSEC.

El objetivo del proceso de evaluacin es permitir al evaluador la preparacin de un
informe imparcial en el que se indique si el sistema bajo estudio satisface o no su meta
de seguridad al nivel de confianza precisado por el nivel de evaluacin indicado.

En general, a funcionalidad idntica y a nivel de confianza equivalente, un sistema
goza de ms libertad arquitectnica para satisfacer los criterios de ITSEC que los de
TCSEC. La correspondencia que se pretende entre los criterios ITSEC y las claves
TCSEC es la siguiente:









Criterios ITSEC Claves TCSEC
E0 D
F-C1, E1 C1
F-C2, E2 C2
F-B1, E3 B1
F-B2, E4 B2
F-B3, E5 B3
F-B3, E6 A1


F-C1, F-C2, etc., son claves de funcionalidad definidas en el Anexo A de ITSEC.


ITSEM
Manual de evaluacin de la seguridad de TI que forma parte del ITSEC versin 1.2 y
cuya misin es describir cmo aplicar los criterios de evaluacin del ITSEC.

El objetivo especfico del ITSEM es asegurar que existe un conjunto completo de
mtodos de evaluacin de sistemas de seguridad que complemente al ITSEC. Contiene
mtodos y procedimientos de evaluacin suficientemente detallados para ser
aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el
pblico.

Definidos por el subcomit 27 del JTC-1 de la ISO
ISO, junto con IEC (International Electrotechnical Commission), ha creado un Comit
Tcnico Conjunto (JTC-1) para abordar un amplio rango de estndares en tecnologas
de la informacin, incluida la seguridad. Se han establecido varios subcomits para el
desarrollo de estndares, de los cuales el SC27 (subcomit 27) tiene el protagonismo
en tcnicas de seguridad, si bien en al menos otros seis subcomits tienen especial
relevancia los aspectos de seguridad. La lista de todos estos subcomits se detalla a
continuacin:

o SC6 Ncleo de seguridad. Capas OSI 3 y 4.
o SC14 Representacin de elementos de datos. EDI.
o SC17 Tarjetas inteligentes y de identificacin.
o SC18 Sistemas ofimticos. Manejo de mensajes, oficina distribuida,
arquitectura de seguridad de documento compartido.
o SC21 Seguridad de las capas altas de OSI. Bases de datos, gestin de
directorios y archivos, seguridad de FTAM y TP.
o SC22 Lenguajes.
o SC27 Tcnicas de seguridad. Criptografa, etc. Incluye autentificacin,
integridad, no repudiacin, modos de operacin, control de acceso y
registro de algoritmos.
Definidas por la ECMA
o TC22 Bases de datos.
o TC29 Seguridad de la arquitectura de documento compartido.
o TC32 Protocolos y capas bajas de OSI.
Estndar ISO 7498-2
Define el concepto de Arquitectura de Seguridad
- See more at: http://www.listeningonlineingles.com/2011/03/normas-y-estandares-
aplicables-en.html#sthash.kdxRC6E4.dpuf