Instituto Emiliani Somascos

Junio 2013

Informática “B”

Integrantes: Gustavo Gutiérrez, Lester Hernández, Rai González, Javier Gómez

Origen de las normas iso-9000

La ISO (International Standarization Organization) es la entidad internacional encargada de favorecer la normalización en el mundo. Con sede en Ginebra, es una federación de organismos nacionales, éstos, a su vez, son oficinas de normalización que actúan de delegadas en cada país, como por ejemplo: AENOR en España, AFNOR en Francia, DIN en Alemania, etc. con comités técnicos que llevan a término las normas. Se creó para dar más eficacia a las normas nacionales.

Las normas de la familia ISO 9000 son un conjunto de normas y directrices internacionales para la gestión de la calidad que, desde su publicación inicial en 1987, han obtenido una reputación global como base para el establecimiento de sistemas de gestión de la calidad. De su importancia y arraigo a escala mundial basta señalar que se han adoptado en más de 150 países. Tres de las normas actuales, ISO 9001, 9002 y 9003, han sido ampliamente utilizadas como base para la certificación de sistemas de la calidad por tercera parte (y las calificaciones por segunda parte). Esto ha dado como resultado que, en la actualidad, existan más de 350 000 organizaciones certificadas en todo el mundo, así como muchas más en proceso de definición e implantación de sistemas de gestión de la calidad.  

Su origen está en las normas británicas BS 5750, de aplicación al campo nuclear; aunque ya existían normas similares de aplicación militar anteriores a esta, como la MOD 05/25 y la AQAP 149.

En 1985 se edita el primer borrador de la normas ISO 9001, 9002, 9003 (tres modelos para el Aseguramiento de la Calidad), publicándose por primera vez en 1987.

ESTANDARES

Un “NO estándar”La especificación de aquello a lo que se refiera el estándar (formato, protocolo, metodología,métrica, etc.) no es pública, ni tampoco ha sido normalizada ni reconocida por ningún cuerpo   de Estandarización internacional, nacional o incluso industrial.

Estándar cerrado La especificación del estándar ha sido hecha pública, pero sin embargo, existen determinadasrestricciones legales (principalmente patentes, pero también derechos de autor, marcas, etc.) queimpiden que se pueda implementar el estándar libremente por parte de aquellos que no lodesarrollaron o adquirieron sus derechos. Así, los términos de la licencia de implementación de lasespecificaciones no son públicos ni comunes para todos los posibles agentes del mercadointeresados en implementar el estándar, esto es, en crear aplicaciones o herramientas informáticas

que sigan cumplan con lo definido en las especificaciones del estándar. De esta forma, cadaimplementador se ve forzado a llegar a un acuerdo particular con cada uno de los propietarios decada una de las exclusividades legales que forman el estándar. Esto puede imposibilitar a  muchosdesarrolladores (empresas o personas) llevar a cabo una implementación compatible con el estándar,y, en todo caso, puede discriminar a unos frente a otros en los términos obtenidos para la licencia.Generalmente este tipo de estándares quedan delimitados a un círculo pequeño y semimonopolístico de agentes que son los que pasan a controlar el mercado que genera el  estándar.Como cuerpos de estandarización que pueden proveer este tipo de estándares se puede encontrar aECMA, una asociación industrial europea formada por muchas de las mayores multinacionalesinformáticas, y que en su proceso de estandarización no provee las suficientes garantías para que losmiembros del comité técnico de estandarización en cuestión desvelen las patentes y otrasrestricciones a las que está sometido el estándar en definición o ratificación.Los estándares cerrados pues, atan a determinados fabricantes (o incluso a un único fabricante) ypor tanto discriminan a la población y al resto de agentes del mercado en función de las buenas omalas relaciones que tengan con los propietarios de las distintas partes del estándar. Sólo podránrelacionarse con las aplicaciones que sigan esos estándares aquellos que sean clientes de losfabricantes que hayan llegado a acuerdos con los dueños del estándar, así como con los clientes delos propios dueños.El documento de especificación, es público, pero no por ello tiene que ser gratuito, pudiendo   tener un coste simbólico.

Estándar RANDUn estándar RAND es aquel estándar cuya especificación ha sido normalizada y es pública, y que ha sido licenciada bajo unos términos comunes para todo el mercado. Las patentes y otras posibles restricciones legales a las que esté sometido el estándar parcial o totalmente habrán sido hechospúblicos durante el proceso de estandarización. Esto incluye al menos aquellos que los miembrosdel comité de estandarización tengan en posesión, no así aquellos que sean externos o que nocuenten con Generalmente la forma “RAND” es el mínimo de apertura e inclusividad exigido por muchos de losprincipales organismos de estandarización (por ejemplo, ISO, IEC, OASIS, etc.) El término RAND proviene de las siglas en inglesas de la expresión “Reasonable and NonDiscriminatory”, sin embargo, y como se constata incluso mediante importantes pleitos en curso,dicho término muy al contrario frecuentemente implica términos de licenciamiento que son pocorazonables y muy discriminatorios. El hecho de que la licencia sea común para cualquierimplementador, no significa que la propia licencia no discrimine a partes del mercado o que loscostes de licenciamiento no sean abusivos (véase el pleito entre Nokia y Qualcomm actualmenteabierto en EE.UU.) Así, es frecuente que licencias RAND discriminen a modelos de desarrollocomo los de código abierto, pues muchas veces obligan a que las implementaciones del estándaroculten el código (algo imposible para estos modos de desarrollo). También es común que nopermitan la libre redistribución del software por parte de los usuarios del mismo, con lo queresultan discriminados los modelos de libre distribución como el software libre que en su definicióncontienen el derecho del usuario a distribuir libremente el software libre que recibe.Por otro lado, al igual que los anteriores tipos de estándares, el documento de especificación, espúblico, pero no por ello tiene que ser gratuito, pudiendo tener un coste simbólico.

Estándar abiertoUn estándar abierto ha de disponer su especificación de forma pública (aunque quizá sujeta a algúnpago simbólico en concepto de derechos de autor del documento en sí), el estándar ha de ser

inclusivo y haber sido desarrollado y estar mantenido en un proceso de estandarización abierto.Todo el que esté interesado podrá implementarlo sin ninguna restricción, ni pago, si sujeto a derechode exclusión alguna. Las licencias de los posibles propietarios del estándar o sus partes han deconceder esos derechos de forma gratuita y sin condición alguna a todos los agentes interesados ensu implementación, independientemente de su modelo de desarrollo, situación geopolítica, grado decumplimiento con la especificación, etc. En otras palabras estas condiciones equivalen a laexpresión “libres de regalías”.Los descritos son los mínimos términos de licenciamiento requeridos por ejemplo por cuerpos deestandarización tan importantes como W3C, el responsable de todos los formatos y protocolos de laweb. Por supuesto, todos los otros cuerpos de estandarización aceptan estos términos delicenciamiento de estándar abierto, pues sobrepasan los mínimos requeridos por los mismos   en cuanto a liberación de exclusividades.

Para mayor precisión, el Marco Europeo de Interoperabilidad, documento oficial emitido por laComisión Europea en el año 2004, define los estándares abiertos como aquellos cuya especificación y sus documentos de apoyo cumplen como mínimo las siguientes condiciones:

El estándar es adoptado y será mantenido por una organización sin ánimo de lucro, ysus sucesivos desarrollos se producen bajo la base de un procedimiento de toma dedecisiones abierto disponible a todas las partes interesadas (consenso o decisiónmayoritaria etc.)

– El estándar ha sido publicado y el documento de especificación del estándar estádisponible ya gratuitamente o a coste simbólico. Debe permitirse a cualquiera copiarlo,distribuirlo y usarlo sin coste alguno o a un coste nominal.

– La propiedad intelectual del estándar p. ejem. patentes posiblemente presentes – del (ode partes del) estándar se dispone irrevocablemente bajo una base libre de regalías.

– No hay limitaciones respecto al uso del estándar.

Estándar libreUn estándar libre es aquel estándar abierto para el que existe una implementación de referenciacompleta de dicho estándar bajo una licencia libre, o incluso, licencia GPL. En caso contrario suespecificación habrá de estar disponible de forma gratuita y sin condición alguna.Una implementación de referencia completa es aquella autosuficiente y que cubre toda laespecificación del estándar.

Estándar legalLo estándares legales son aquellos normalizados por organizaciones como CEN/CENELEC yaquellos adoptados por diferentes directivas, leyes o decretos en los distintos gobiernos y ámbitoslegislativos de la Unión Europea, y para los que su uso se hace obligatorio en entornos públicos.Ejemplo de estos estándares podría ser el sistema métrico decimal, el horario o el monetario,aunque también lo serían para el ámbito de aplicación geográfico correspondiente estándares comoISO 26300 (OpenDocument) para Extremadura, Bélgica, Massachusetts o Dinamarca.

Estándar nacionalSon estándares nacionales aquellos normalizados o ratificados por los cuerpos de estandarizaciónnacionales  de   cada  país.  Así,  para  España   lo   será  AENOR,  mientras  que  para  EE.UU.   lo   será  ANSI, por ejemplo.

Estándar internacionalSon aquellos estándares normalizados o adoptados oficialmente por organismos deEstandarización internacionales formados por los representantes legales de cada gobierno. Es el caso de ISO/IEC principalmente. A veces estos estándares se denominan “estándares de iure”.

Estándar industrialSon aquellos estándares promovidos, generados, adoptados o ratificados por consorciosIndustriales  que representan a una parte  importante de  la  industria.  Este es el  caso de organismos como OASIS, W3C, ECMA, etc.

NOMENCLATURAS

Diccionario técnico de computación - Completo diccionario de términos técnicos de computación

Diccionario de grabación - Diccionario de términos de grabación

Ciber-Léxico Comparativo  - Equivalentes en español de terminología inglesa relacionada con la informática y la tecnología.

Diccionario Informático  - Contiene definiciones de interés relacionadas con el mundo de la informática e Internet.

Enciclopedia Virtual Informática  - Artículos enciclopédicos sobre la materia.

Glosario de Términos Informáticos  - Completo glosario, con términos, nomenclaturas y nombres de programas usados realmente en entornos técnicos y geeks.

MCI Tecnoguía  - Glosario con terminología tecnológica que contiene definiciones, traducciones y usos práctiocos del término.

Rinconcito, El  - Diccionario básico de términos informáticos.

Diccionario de Términos Informáticos  - Términos, signos y abreviaturas usados en computación e Internet, publicados en el suplemento Clarín.

Glosario Básico Inglés-Español de Internet 

Glosario de Términos Informaticos Inglés-Español 

Glosario del E-business  - Glosario de términos relacionados con Internet, el comercio electrónico y las tecnologías que lo sustentan.

Términos de internet  - Glosario de siglas y acronismos como ARCHIE, CGI, FIEWALLS, FTP, GOPHER, HTML, JAVA; PERL, MOSAIC, URL, PPP y muchos otros.

Vocabulario Técnico de Marketing e Internet  - Buscador de términos en forma alfabética.

kilobyte = kb

megabyte = mb

gigabyte = gb

terabyte = tb

petabyte = pb

exabyte = eb

zettabyte = zb

yottabye = yb

NORMAS  ESPECÍFICAS  DE  LA  INFORMATICA

http://www.iso27000.es/download/doc_iso27000_all.pdf

ISO 27000-seriesLa serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas normas se encuentran en preparación e incluyen.

* ISO/IEC 27000 - Publicada en mayo de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman. Es un vocabulario estándar para el SGSI. Se encuentra en desarrollo actualmente.

* ISO/IEC 27001 – “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSI deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799) .es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un

enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre de 2005.

* ISO/IEC 27002 – (Anteriormente denominada ISO17799). Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles. S 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la gestión de 

• ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

• ISO 27011: En fase de desarrollo; su fecha prevista de publicación es finales de 2008. Consistirá en una guía de gestión de seguridad de la información específica Para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional De Telecomunicaciones).

• ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la Información y comunicaciones.

• ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.

• ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, Arquitectura de seguridad de redes, escenarios de redes de referencia, Aseguramiento de las comunicaciones entre redes mediante Gateway, acceso Remoto, aseguramiento de comunicaciones en redes mediante Bps y diseño e Implementación de seguridad en redes. Provendrá de la revisión, ampliación y Remuneración de ISO 18028.

• ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

• ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de Seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para Apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto Detallado de controles y directrices de buenas prácticas para la gestión de la salud y La seguridad de la información por organizaciones sanitarias y otros custodios de la Información sanitaria en base a garantizar un mínimo nivel necesario de seguridad Apropiado para la organización y circunstancias que van a mantener la Confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en Cualquiera de sus formas, toma la información (palabras y números, grabaciones Sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para Almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento)

Y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes Informáticas o por correo), ya que la información siempre debe estar adecuadamente Protegida. El original en inglés o francés puede adquirirse en ISO.org.

ORIGENDesde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Stand Ards Institución, la organización británica equivalente a AENOR en España) es Responsable de la publicación de importantes normas como:

1979 Publicación BS 5750 - ahora ISO 9001 1992 Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de Proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas Para la gestión de la seguridad de su información.

La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la Que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), Publicada por primera vez en 1998, la que establece los requisitos de un sistema de Seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó Por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de Sistemas de gestión.

En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se Publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó La BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.