ACTUALIZACION EN SISTEMAS OPERATIVOS, REDES Y NODOS.

Contenido
ACTUALIZACION EN SISTEMAS OPERATIVOS, REDES Y NODOS. ................................................... 1
1. Introducción .......................................................................................................................... 3
2. Estrategias del servicio .......................................................................................................... 3
2.1 Estrategias a nivel funcional: ......................................................................................... 3
2.1.1 Financiamiento ............................................................................................................. 3
2.1.2 Administrativa .............................................................................................................. 3
2.1.3 Área de redes .............................................................................................................. 3
2.1.4 Área de soporte .......................................................................................................... 4
3. Diseño del servicio ................................................................................................................ 4
3.1 Catálogo de servicios ........................................................................................................... 4
3.2 Niveles de servicios (SLA´s) ........................................................................................... 4
3.2.1 Servicios de primer nivel .............................................................................................. 5
3.2.2 Servicios de segundo nivel ........................................................................................... 5
3.2.3 Servicios de tercer nivel ............................................................................................... 5
3.3 Análisis de riesgos ......................................................................................................... 5
4. Transición del servicio ........................................................................................................... 6
4.1 Gestión de cambios ............................................................................................................. 6
4.2 Planificación y soporte ........................................................................................................ 6
4.3 Ediciones e implementaciones ............................................................................................ 6
4.4 Validación y pruebas ........................................................................................................... 7
5. Operación del servicio ........................................................................................................... 7
5.1 Incidentes ............................................................................................................................ 7
5.2 Acceso ................................................................................................................................. 7
6. Mejora continua .................................................................................................................... 7
6.1 Documentar (base de datos de los conocimientos) ............................................................ 7
6.2 Escalamiento ....................................................................................................................... 8
6.3 Auditoria .............................................................................................................................. 8
6.4 Métricas............................................................................................................................... 9
Beneficios .................................................................................................................................. 9
6.5 Norma ISO 27000 .............................................................................................................. 10
7. Conclusiones........................................................................................................................ 10
 1. Introducción
La Delegación Azcapotzalco en el departamento de informática a través de los años necesita
implementar cada cierto periodo de tiempo nuevas estrategias y tecnologías, aumentar la
calidad y brindar mejores servicios a la ciudadanía de Azcapotzalco.

Por lo que se debe gestionar el sistema que se usa a partir de analizar, revisar y mejora.

Los factores que se deben gestionar en un principio son:

1. Personas
2. Procesos Cada uno hace un todo
3. Tecnología

2. Estrategias del servicio

EL departamento de informática requiere una etapa de crecimiento, se ve en la necesidad de

plantear nuevas estrategias tendientes a mejorar su posición dentro de la CDMX a nivel de TI
(CIA), por lo que se contemplan las siguientes estrategias:

2.1 Estrategias a nivel funcional:

2.1.1 Financiamiento
o Definir las diferentes funciones y responsabilidades de todas las personas que
están en el departamento de finanzas.
o Provee de bienes (activos), previamente autorizados por el delegado.

2.1.2 Administrativa
o Definir las diferentes funciones y responsabilidades de todas las personas que
están en el departamento de redes.
o El personal debe tener cierto perfil para que integre el área de informática.
o Crear una cultura organizacional que genere una iniciativa, comunicación,
responsabilidad y toma de decisiones a un nivel jerárquico.
o Brindar los bienes necesarios a las áreas de redes y soporte.
o Capacitar periódicamente al personal.
o Control de acceso.

2.1.3 Área de redes

o Definir las diferentes funciones y responsabilidades de todas las personas que
están en el área de redes.
o El personal debe tener cierto perfil para que integre el área de redes.
o Proporcionar a servicio de red, telefonía a la comunidad.
o Establecer y adecuar dentro de la delegación Azcapotzalco y otros recintos
infraestructura (switch, cable estructurado, teléfonos, etc.).
 o Documentar cada corrección, cambio, implementación y actualización en una
bitácora.
o Monitorear red en tiempo real para prevenir posibles fallas.
o Mantenimiento preventivo cada cierto periodo de tiempo.
o Respaldar información (según prioridad), cada cierto periodo de tiempo.
o Contar con un protocolo de contingencia.
o Control de acceso.

2.1.4 Área de soporte

o Definir las diferentes funciones y responsabilidades de todas las personas que
están en el área de soporte.
o El personal debe tener cierto perfil para que integre el área de soporte.
o Proporcionar a la comunidad un área de trabajo integro.
o Establecer y adecuar dentro de la delegación Azcapotzalco y otros recintos
infraestructura (equipos de computación, impresoras, escáner, etc.).
o Documentar cada corrección, cambio, implementación y actualización en una
bitácora.
o Mantenimiento preventivo cada cierto periodo de tiempo.
o Respaldar información (según prioridad), cada cierto periodo de tiempo.
o Contar con un protocolo de contingencia.
o Control de acceso.

3. Diseño del servicio

3.1 Catálogo de servicios

Línea de servicio Servicio TI
Equipamiento de Oficina
Acceso Internet
Intranet
Ofimática y Correo
Aplicaciones y
Servicios Aplicaciones de gestión
Transacciones
Herramientas de Soporte al Desarrollo
Servicio de Datos
Comunicaciones
Servicio de Voz
Infraestructura de Seguridad
Infraestructura
Infraestructura de HW y SW de Base

3.2 Niveles de servicios (SLA´s)

 3.2.1 Servicios de primer nivel
Un soporte de primer nivel, Help Desk, como un recurso de información y asistencia que tiene
como objetivo resolver incidencias TIC, es canalizado a través de un servicio de asistencia
telefónica y presencial. Existe el soporte interno que provee el mismo tipo de ayuda para
empleados de la delegación Azcapotzalco.

3.2.2 Servicios de segundo nivel

Apoya al soporte de primer nivel tanto mediante capacitación continua en el puesto de
trabajo, así como a través de la documentación de nuevas soluciones, por lo regular se hace un
escalamiento por lo que el encargado de acuerdo a su experiencia da una posible solución.

3.2.3 Servicios de tercer nivel

En caso de no poder dar solución a alguna incidencia se manda a llamar a algún especialista en
el área, genera costo y tiempo adicional y debe ser autorizado por otras áreas.

3.3 Análisis de riesgos

Identificación de Activos Tasación de Activos Identificación de Amenazas

Priorizar Activos (Equipos Impacto con relación a su 1. Amenazas naturales.

de cómputo, servidores, confidencialidad, 2. Amenazas a
teléfonos, side, instalaciones.
integridad y
información). 3. Amenazas humanas.
confidencialidad.
4. Amenazas tecnológicas
(Software y hardware).
Cumplimiento 5. Amenazas operacionales.
6. Amenazas sociales.

Posibilidad de Identificación de Posible Explotación de

ocurrencia de amenazas Vulnerabilidades Vulnerabilidades

Por cada amenaza, se  Control de acceso. Evaluar la posibilidad de

mide su posibilidad de  Seguridad física y ocurrencia de cada una de ellas.
ocurrencia. ambiental.
 Gestión de operaciones y
comunicación.
 Mantenimiento,
desarrollo y adquisición
de TI´s.
Estimado del Valor de los
Activos en Riesgo

Su objetivo es determinar
el daño económico que el Posibilidad de ocurrencia Valor del riesgo de los
riesgo pudiera causar a los del riesgo. activos
activos evaluados (Activos,
Basado en las amenazas y Se obtiene al multiplicar el
información). El valor de
vulnerabilidades y los valor del activo por la
los activos expresan el
valores que se le han probabilidad de ocurrencia
impacto de la pérdida de
calculado. del riesgo.
la confidencialidad,
integridad y
disponibilidad.

4. Transición del servicio

4.1 Gestión de cambios

Se debe definir a quién le corresponde evaluar los cambios propuestos, según el nivel de
riesgo de los mismos.

Por otra parte se debe tener un registro el cual debe tener todos los detalles de un cambio,
documentar su ciclo de vida y dónde se define a manera de adición, cambio o remoción de
cualquier objeto que pueda afectar los servicios.

Debe de haber una persona el cual será gestor de cambios, su objetivo primario es
viabilizar la realización de Cambios beneficiosos con un mínimo de interrupciones en la
prestación de servicios de TI.

4.2 Planificación y soporte

Debe de haber un gestor de proyecto el cual será responsable de la planificación y la

coordinación de los recursos necesarios para implementar una edición operativa
importante dentro de los márgenes de costo, tiempo y calidad preestablecidos.

Crear auditorías internas con el fin de llevar un control de activos, debe estar documentado

4.3 Ediciones e implementaciones

Administrar las de ediciones en circunstancias reales y de prueba. La meta principal de la

gestión de ediciones es salvaguardar la integridad en condiciones reales y corregir las
ediciones que se hayan puesto en uso en el área de informática.
4.4 Validación y pruebas

Asegurar que las ediciones implementadas, eventos o incidentes y los servicios resultantes
cumplan las expectativas de los usuarios, y verificar que las operaciones de TI sirvan de
soporte a los servicios nuevos, si todo funciona se termina y registra, si no regresar a la
estrategia para volver a aplicar un nuevo control de cambios.

5. Operación del servicio

5.1 Incidentes

 Instalación de software malicioso

 Acceso sin autorización al sistema o a sus datos
 Interrupciones indeseadas
 Denegación de servicios
 Uso desautorizado de las bases de datos
 Cambio en el hardware, firmware o software del sistema

5.2 Acceso

Consiste en la autorización, autenticación, autorización de acceso y auditoría. Una definición

más estrecha de control de acceso abarcaría únicamente la aprobación de acceso, por lo que el
sistema adopta la decisión de conceder o rechazar una solicitud de acceso de un sujeto ya
autenticado, sobre la base a lo que el sujeto está autorizado a acceder. Autenticación y control
de acceso a menudo se combinan en una sola operación, por lo que el acceso está aprobado
sobre la base de la autenticación exitosa. Los métodos de autenticación incluyen contraseñas,
escaneados biométricos, llaves físicas, llaves electrónicas y dispositivos, caminos ocultos,
barreras sociales y monitoreo por seres humanos y sistemas automatizados.

6. Mejora continua

6.1 Documentar (base de datos de los conocimientos)

La documentación debe ser fácilmente accesible y permitir búsquedas (genere documentos en

formato electrónico y utilice motores de búsqueda e indexadores de contenido).

Los procedimientos existen por un motivo en concreto. Asegurarse de tener clara la razón de la
existencia (la respuesta al por qué) para no tener procedimientos innecesarios (ir al grano en
soluciones en este caso aplicados en el departamento de informática).

Los documentos generados, especialmente los procedimientos, deben plantearse si responden

a tres preguntas ¿qué? ¿cómo? ¿por qué?
Debe ser conocida por los integrantes del departamento de tal modo que esté disponible.

6.2 Escalamiento

El escalamiento también puede ser automático si el problema no es resuelto dentro de un

periodo de tiempo estipulado. El escalamiento es un proceso normal en el que un incidente es
transferido a una persona de nivel de soporte más alto, que tiene mayor conocimiento o
experiencia y recursos para manejar cuestiones más difíciles. El escalamiento también puede
ser automático si el problema no es resuelto dentro de un periodo de tiempo estipulación.

6.3 Auditoria

Deben ser personas capacitadas que su rol consiste en recoger, agrupar y evaluar evidencias
para determinar si un sistema de información salvaguarda el activo del recinto en este caso la
delegación Azcapotzalco, mantiene la integridad de los datos ya que esta lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las
leyes y regulaciones establecidas.
La auditoría informática tiene 2 tipos las cuales son:
Auditoria interna: Es aquella que se hace desde dentro de la empresa; sin contratar a personas
ajena, en el cual los empleados realizan esta auditoría trabajan ya sea para la empresa que
fueron contratados o simplemente algún afiliado a esta.
Auditoria externa: Como su nombre lo dice es aquella en la cual la empresa contrata a
personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente
en estudiar los mecanismos de control que están implantados en una empresa u organización,
determinando si los mismos son adecuados y cumplen unos determinados objetivos o
estrategias, estableciendo los cambios que se deberían realizar para la consecución de los
mismos.
Los mecanismos de control pueden ser en el área de informática son:
 Directivos
 Preventivos
 Detección
 Correctivos
 Recuperación
 Contingencia
 6.4 Métricas

Métricas asociadas directamente a los CSF (Factores críticos de riesgo).

Es importante que recalquemos la distinción entre un KPI y una métrica general. Los KPI son
métricas (siendo que métricas es el término general para una medición) pero no todas las
métricas son KPI. Nuestro proceso o servicio puede tener muchas métricas que nos ayudarán a
tomar decisiones y algunas de esas son KPI. Lo ideal es que el número de KPI sea muy limitado
y que el resto de las métricas estén asociadas indirectamente a un KPI.

Por ejemplo: un CSF para un departamento de sistemas puede ser la participación de la

población de los empleados en sus servicios.

El KPI de este CSF sería definitivamente el porcentaje de personas que utilizan una aplicación
determinada. Una métrica podría ser la disponibilidad de la aplicación en cuestión.

De esta manera podemos trazar claramente la relación entre la disponibilidad de la aplicación

y el porcentaje de participación de la población total, ya que si la aplicación no está disponible
entonces los usuarios no pueden utilizarla aunque tengan la voluntad y, por lo tanto, nuestro
departamento no puede ser considerado exitoso.

Beneficios
Es sumamente importante que tengamos claras las razones por las cuales necesitamos
implementar métricas. Algunos de los beneficios son:

 Identificar la interrelación entre distintos factores o elementos que componen nuestro

servicio.
 Apoyar comparaciones entre distintas alternativas.
 Percibir posibles problemas o áreas de oportunidad.
 Analizar tendencias para una mejor preparación futura.
 Dirigir esfuerzos hacia donde se provean los mejores resultados.
 Permitir la mejora continua.
 Habilitar la toma de decisiones efectiva.
 Eliminar o reducir las percepciones subjetivas sobre el desempeño de un servicio.
6.5 Norma ISO 27000

La implantación de una ISO 27000 en una organización permite proteger la información de

ésta de la forma más fiable posible. Se persiguen 3 objetivos:

1. Preservar la confidencialidad de los datos de la empresa

2. Conservar la integridad de estos datos
3. Hacer que la información protegida se encuentre disponible

Una empresa que tiene implantada la ISO 27000 garantiza, tanto de manera interna como al
resto de las empresas, que los riesgos de la seguridad de la información son controlados por la
organización de una forma eficiente.

7. Conclusiones

Al tener una gestión con ayuda de ITIL y COBIT se hace conocimiento de aplicar buenas
prácticas orientado a un sistema holístico el cual contempla personas, procesos y tecnología,
sin embargo se busca optimizar, en este caso el departamento de informática. Se debe hacer
un análisis a detalle, el cual comienza por plantear un objetivo el aplicado en este caso es
brindar a la ciudadanía servicios con (CIA), a partir de ello se aplica el ciclo de vida de servicios
contemplando n factores, con el fin de documentar, analizar, revisar y aplicar cambios si se
requiere, también no se debe olvidar hacer un escalamiento de cada evento; Contemplar un
análisis de riesgo el cual ayudara a prevenir incidentes o bien amenazas hacia activos (CIA) y
que todos los procesos trabajen de forma segura sin que haya interrupciones. Por otra parte
dar prioridad a cada situación y activos que se tengan en el recinto. De tal modo que se
apliquen las buenas practicas hacia un beneficio en la delegación. A futuro sería bueno poner
en marcha una auditoria para obtener una certificación en norma ISO 20000 o 27001.