Normas y estndares para servicios de TI

Desarrollo de sitios WebLos estndares son un conjunto de normas y recomendaciones que debera cumplir un sitio web para ser considerado un sitio de calidad. Se define como sitio de calidad aquel que es visualizable sin errores de despliegue en la mayora de los navegadores existentes, desde la mayor parte de dispositivos electrnicos y sin requerimientos de hardware para el visitante del mismo. Estas normas y recomendaciones son cambiantes en el tiempo y dependen de la tecnologa en la cual se desarrollan los sitios web, la organizacin encargada de establecer estos estndares es la World Wide Web Consortium (http://www.w3c.org) la cual otorga herramientas web que permiten la medicin del cumplimiento de estos estndares. Por qu cumplir con estos estndares? El objetivo principal es aumentar el potencial de la web, asegurando que las tecnologas relacionadas a ella, sean compatibles entre s. De este modo, el hardware y software usado para acceder a los sitios web trabaja en conjunto. A esto se le denomina interoperabilidad web. Interoperabilidad es la capacidad, conocimiento y acuerdo de dos o ms partes de un todo, para que funcionen de manera conjunta y mancomunada, con el objetivo de lograr un fin determinado. De acuerdo al cumplimiento de estos estndares se hacen las mediciones de los sitios web. Cmo se realiza la medicin y verificacin en el cumplimiento de los estndares internacionales? La medicin y verificacin del cumplimiento de los estndares, se realiza mediante diferentes herramientas de validacin disponibles a travs de la web http://www.w3c.org Verificacin XHTML: Es un test de validacin del contenido XHTML de un sitio web. A travs de una revisin del cdigo del mismo, se detectan inconsistencias, falencias y cdigo html no utilizado o errneo. Verificacin de CSS: Es un test de validacin del contenido CSS de una web. A travs de una revisin del cdigo de la misma, se detectan inconsistencias, falencias y cdigo CSS no utilizado o errneo. Verificacin de enlaces rotos: Es un test de validacin de los enlaces (links) existentes en un sitio web. Se analiza cada uno de ellos, detectando los que estn rotos o invlidos.

La utilidad del DS 100/2006 radica en la necesidad de que los contenidos del sitio web estn desarrollados con una orientacin al usuario, ofrecindole la informacin de manera simple, actualizada, rpida y eficiente. Para ello, se deben adoptar las siguientes medidas: Ofrecer contenidos de utilidad. El sitio web debe ser til desde la perspectiva del usuario. Es decir, debe entregar lo que anda buscando. Emplear etiquetas descriptivas. Se deben emplear palabras y descriptores que sean de fcil comprensin, escritos en un lenguaje que hable el usuario. Asegurar la correcta indexacin. Se debe preparar la informacin del sitio web para que sea incluida en el sistema de bsqueda, con el objetivo de que el sitio pueda ser encontrado por diferentes medios. Optimizar el acceso. Equilibrar el peso y calidad de los contenidos; que el sitio web tenga caractersticas fsicas de peso de archivos que sean adecuadas para un buen tiempo de despliegue.

Usar certificados de validacin para destacar la calidad de un sitio. Para dar a conocer pblicamente que un sitio web ha pasado las validaciones, el propio sitio validador entrega un certificado (cono) para cada una de las validaciones, destacando su calidad.

Directrices de Calidad Google. Las directrices de Google ayudan a ubicar, seleccionar y clasificar cada uno de los sitios web existentes en Internet. Adicionalmente, muchas de estas directrices son exigidas por el resto de los buscadores, como Yahoo, Baidu, MSN, Sohu, etc.

Las directrices de Google establecen las prcticas ilcitas que pueden ocasionar una penalizacin por parte de este motor de bsqueda, tales como la eliminacin de parte del sitio, el desvo del trfico hacia otras web o, en el peor de los casos, caer en la lista negra de Google. Las normas se aplican a:HTML & CSSJavaScript Web APIsGraphicsAudio and VideoAccessibilityInternationalizationMobile WebPrivacyMath on the Web

Diseo y desarrollo de redes.ISO International Standards Organization (Organizacin Internacional de normas).Normas de Red Es la norma ANSI/TIA/EIA-568-A, "Norma para construccin comercial de cableado de telecomunicaciones". Esta norma fue desarrollada y aprobada por comits del Instituto Nacional Americano de Normas (ANSI), la Asociacin de la Industria de Telecomunicaciones (TIA), y la Asociacin de la Industria Electrnica, (EIA) La norma establece criterios tcnicos y de rendimiento para diversos componentes y configuraciones de sistemas. Adems, hay un nmero de normas relacionadas que deben seguirse con apego Dichas normas incluyen la ANSI/EIA/TIA-569, "Norma de construccin comercial para vas y espacios de telecomunicaciones", que proporciona directrices para conformar ubicaciones, reas, y vas a travs de las cuales se instalan los equipos y medios de telecomunicaciones.

Estandares de Red 802.1 definicin internacional de redesEl comit que se ocupa de los estndares de computadoras a nivel mundial es de la IEEE en su divisin 802, los cuales se dedican a lo referente de sistema de red estn especificado los siguientes. 802.2 Control de enlaces lgicosDefine el protocolo de control de enlaces lgicos (LLC) del IEEE, el cual asegura que los datos sean transmitidos de forma confiable por medio del enlace de comunicacin y la capa de datos-enlace en el protocolo OSI esta subdividida en subcapas de control de acceso a medios (MAC) y de control de enlaces lgicos (LLC) 802.3 Redes CSMA/CDHace referencia a las redes tipo bus en donde se deben de evitar las colisiones de paquetes de informacin, por lo cual este estndar hace regencia el uso de CSMA/CD ( Acceso mltiple con detencin de portadora con detencin).Estndares de Red 802.4 Redes Token BusToken pero para una red con topologa en anillo o la conocida como token bus define esquemas de red de anchos de banda grande, usados en la industria de manufactura, se deriva del protocolo de automatizacin de manufacturas (MAP)Hace regencia al mtodo de acceso. 802.7 grupo asesor tcnico de anchos de banda 802.8 grupo asesor tcnico de fibra ptica 802.9 Redes integradas de datos y voz El grupo de trabajo del IEEE 802.9 trabaja en la integracin de trafico de voz, datos y video para las LAN 802 y redes digitales de servicios integrados y los nodos definidos en la especificacin incluyen telfonos computadoras y codificaciones/descodificaciones de video (CODECS) 802.10 Grupo asesor tcnico de seguridad en redes 802.11 Redes Inalmbricas 802.12 Prioridad de Demanda (100VG-ANYLAN)

Seguridad informticaLas principales recomendaciones que se utilizan en seguridad de SI son las siguientes:Se est trabajando en la modernizacin del Libro Naranja, ampliando su alcance, ahora reducido a sistemas operativos, hacia las aplicaciones, bases de datos y comunicaciones.

LosTCSEC(Trusted Computer Security Evaluation Criteria) definidas por el Departamento de Defensa de EEUU (comnmente conocido como el Libro Naranja). Suministra especificaciones de seguridad relativas a sistemas operativos y sistemas gestores de bases de datos (en proceso de revisin). ElITSEC(Information Technology Security Evaluation Criteria) que es el equivalente europeo del Libro Naranja, pero ms moderno y con mayor alcance que aqul. Se conoce comnmente como Libro Blanco. ElITSEM(Information Technology Security Evaluation Manual). Las definidas por el subcomit 27 del JTC-1 de laISO/IEC. Las definidas por laECMA(European Computer Manufacturing Association). El estndar ISO 7498-2 (OSI, Security Architecture).A continuacin se describen cada una de estas recomendaciones de seguridad:

TCSECLosTCSECtiene por objetivo aplicar la poltica de seguridad del Departamento de Defensa estadounidense. Esta poltica se preocupa fundamentalmente del mantenimiento de la confidencialidad de la informacin clasificada a nivel nacional.

LosTCSECdefinen siete conjuntos de criterios de evaluacin denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluacin: poltica de seguridad, imputabilidad, aseguramiento y documentacin. Los criterios correspondientes a estas cuatro reas van ganando en detalle de una clase a otra, constituyendo una jerarqua en la que D es el nivel ms bajo y A1 l ms elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.

A continuacin se enumeran las siete clases:

DProteccin mnima. Sin seguridad. C1Limitaciones de accesos a datos. C2Acceso controlado al SI. Archivos delogy de auditora del sistema. B1Equivalente al nivelC2pero con una mayor proteccin individual para cada fichero. B2Los sistemas deben estar diseados para ser resistentes al acceso de personas no autorizadas. B3Dominios de seguridad. Los sistemas deben estar diseados para ser altamente resistentes a la entrada de personas no autorizadas. A1Proteccin verificada. En la prctica, es lo mismo que el nivelB3,pero la seguridad debe estar definida en la fase de anlisis del sistema.El Libro Naranja fue desarrollado por elNCSC(National Computer Security Center) de laNSA(National Security Agency) del Departamento de Defensa de EEUU. Actualmente, la responsabilidad sobre la seguridad deSIla ostenta un organismo civil, elNIST(National Institute of Standards and Technology).

ITSECHa surgido de la armonizacin de varios sistemas europeos de criterios de seguridad en TI. Tiene un enfoque ms amplio que TCSEC.

Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir teniendo presentes las leyes y reglamentaciones).

Se definen siete niveles de evaluacin, denominados E0 a E6, que representan una confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza til, y E6 el nivel de confianza ms elevado. Por ello, los presentes criterios pueden aplicarse a una gama de posibles sistemas y productos ms amplia que los del TCSEC.

El objetivo del proceso de evaluacin es permitir al evaluador la preparacin de un informe imparcial en el que se indique si el sistema bajo estudio satisface o no su meta de seguridad al nivel de confianza precisado por el nivel de evaluacin indicado.

En general, a funcionalidad idntica y a nivel de confianza equivalente, un sistema goza de ms libertad arquitectnica para satisfacer los criterios de ITSEC que los de TCSEC. La correspondencia que se pretende entre los criterios ITSEC y las claves TCSEC es la siguiente:

Criterios ITSECClaves TCSEC

E0D

F-C1, E1C1

F-C2, E2C2

F-B1, E3B1

F-B2, E4B2

F-B3, E5B3

F-B3, E6A1

F-C1, F-C2, etc., son claves de funcionalidad definidas en el Anexo A de ITSEC.

ITSEMManual de evaluacin de la seguridad de TI que forma parte del ITSEC versin 1.2 y cuya misin es describir cmo aplicar los criterios de evaluacin del ITSEC.

El objetivo especfico del ITSEM es asegurar que existe un conjunto completo de mtodos de evaluacin de sistemas de seguridad que complemente al ITSEC. Contiene mtodos y procedimientos de evaluacin suficientemente detallados para ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el pblico.

Definidos por el subcomit 27 del JTC-1 de la ISOISO, junto conIEC(International Electrotechnical Commission), ha creado un Comit Tcnico Conjunto (JTC-1) para abordar un amplio rango de estndares en tecnologas de la informacin, incluida la seguridad. Se han establecido varios subcomits para el desarrollo de estndares, de los cuales elSC27(subcomit 27) tiene el protagonismo en tcnicas de seguridad, si bien en al menos otros seis subcomits tienen especial relevancia los aspectos de seguridad. La lista de todos estos subcomits se detalla a continuacin:

SC6Ncleo de seguridad. Capas OSI 3 y 4. SC14Representacin de elementos de datos.EDI. SC17Tarjetas inteligentes y de identificacin. SC18Sistemas ofimticos. Manejo de mensajes, oficina distribuida, arquitectura de seguridad de documento compartido. SC21Seguridad de las capas altas de OSI. Bases de datos, gestin de directorios y archivos, seguridad deFTAMyTP. SC22Lenguajes. SC27Tcnicas de seguridad. Criptografa, etc. Incluye autentificacin, integridad, no repudiacin, modos de operacin, control de acceso y registro de algoritmos. Definidas por la ECMA TC22Bases de datos. TC29Seguridad de la arquitectura de documento compartido. TC32Protocolos y capas bajas deOSI. Estndar ISO 7498-2 Define el concepto deArquitectura de Seguridad- See more at: http://www.listeningonlineingles.com/2011/03/normas-y-estandares-aplicables-en.html#sthash.kdxRC6E4.dpuf