REPBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN UNIVERSITARIA INSTITUTO UNIVERSITARIO DE TECNOLOGA DR.

FEDERICO PALACIO RIVERO

INFORME DE AUDITORIA APLICADO AL PROYECTO DE MIGRACIN A SOFTWARE LIBRE DEL INSTITUTO NACIONAL DE AERONUTICA CIVIL (INAC)

Profesor: Keila Castro

Integrantes: Liendo Mara

Caracas, Diciembre 2010

Informe de Auditora Aplicado al Proyecto de Migracin de Software Libre Aplicado al Instituto Nacional de Aeronutica Civil INAC Este proyecto fue creado en el INAC para cumplir las directrices del Ejecutivo Nacional para alcanzar la independencia tecnolgica, y segn el Decreto Presidencial N 3.390, , publicado en Gaceta Oficial N 38.095, de fecha 28/12/2004, sobre el uso obligatorio del Software Libre (SL) para todas las dependencias pblicas, el Instituto Nacional de Aeronutica Civil (INAC) fungiendo como autoridad aeronutica y ejerciendo sus atribuciones, las cuales se encuentran contempladas en la Ley de su creacin y en el Reglamento del Instituto, a travs de la Oficina de Tecnologa de la Informacin (OTI), como ente rector de los procesos tecnolgicos en la organizacin dise el Plan para cumplir con esta disposicin ejecutiva e implementar el proceso de migracin de Software Propietario (SP) a Software Libre. Esta auditora se aplica para verificar con el cumplimiento del decreto, por ende est asociada a un requerimiento de la Oficina la Tecnologas de la Informacin OTI Motivo El INAC crea en la Gerencia de Sistemas de Informacin - GSI, un rea de trabajo dedicado a la migracin de Software Libre. El motivo por el cual la OTI indica realizar la auditoria es debido a que el CENTRO NACIONAL DE TECNOLOGAS DE INFORMACIN CNTI exige una serie de requerimientos. Puesto que de esa forma el CNTI puede incluir al INAC en su programa de entes pblicos que cumplen con el decreto, y mostrar los resultados de la misma a travs de sus herramientas. Esta Auditora se realiza a los 20 das del mes de Noviembre del ao 2010. Objetivos 1. Verificar el cumplimiento de los requerimientos exigidos por el Centro Nacional de Tecnologas de Informacin (CNTI) en cuanto a la migracin a software libre. Situacin Actual Para poder iniciar el proceso de migracin, se deben cumplir con varias fases, adems par formar parte de las instituciones que tiene registradas el CNTI se debe cumplir con una serie de requisitos. La primera fase se refiere al Levantamiento de la Informacin necesaria; una segunda fase de Capacitacin; una tercera fase de Migracin Parcial y una cuarta y ltima fase de Migracin Total. Fase I: Coleccin de Informacin Esta fase brindar los datos necesarios que servirn de base y harn falta para comenzar todo el proceso de migracin tecnolgica de SP a SL en el INAC, para esto se tomarn en cuenta tres aspectos principales que se vern influenciados directamente con la nueva Plataforma Tecnolgica e Informtica: a) Inventario de Capital Humano. b) Inventario del Hardware utilizado en la institucin.

c) Inventario del Software que utiliza la institucin. d) Inventario de los Requerimientos de Soporte. Inventario de Capital Humano Se realizar un levantamiento de la informacin referente al nivel conocimientos tecnolgicos y funcionales que posee el personal que labora en distintas dependencias del INAC y de cmo hace uso de la tecnologa, con el fin disear una metodologa de migracin efectiva. Dicha metodologa se basar resultados obtenidos por la aplicacin de instrumentos de medicin y coleccin datos. Los instrumentos de medicin y coleccin de datos servirn para: Distinguir los diferentes grupos de funcionarios (Soporte, Administracin de Servicios y Desarrollo). Distinguir los diferentes grupos de usuarios (Bsico, Intermedio y Avanzado). Crear el plan de entrenamiento que debe llevar cada grupo de personas (PLAN ANEXO Anexo 1). de las de en de

Clasificacin de los funcionarios Los funcionarios sern clasificados en tres grupos atendiendo a sus funciones: Funcionarios de soporte: Integrarn este grupo los funcionarios y funcionarias que brindarn apoyo tecnolgico directamente a los usuarios finales (OTI). Funcionarios de administracin de servicios: A este grupo pertenecern los funcionarios y funcionarias que se encargarn de la instalacin, configuracin y mantenimiento de la plataforma operativa del INAC (OTI). Funcionarios de desarrollo: Conformarn este grupo los funcionarios y funcionarias dedicados al desarrollo de aplicaciones basadas en herramientas libres (OTI).

Clasificacin de los usuarios finales Los usuarios finales se clasificarn de acuerdo al grado de capacitacin, destreza en el manejo de las herramientas tecnolgicas y las funciones inherentes a su cargo: Usuarios Bsicos: (Funciones bsicas) Estos funcionarios y funcionarias no hacen uso de herramientas y aplicaciones muy complejas, slo herramientas e instrucciones bsicas. Usuarios intermedios: Hacen uso de aplicaciones especializadas, que no son de uso comn por el resto del personal de la institucin, ejemplo, Sistema Integrado para Entes del Sector Publico (SIGESP), Sistema de Tramites de la Divisin de Licencias, Sistema de Registro Aeronutico, Sistema de Transporte Aeronutico, Sistema de Control de Citas (CONCIT), Sistema de Fondos de Radio Ayudas, Sistema de Liquidacin de Multas, Sistema de Despacho de Vuelos, Sistema de Facturacin, entre otros. Usuarios avanzados: Hacen uso de herramientas avanzadas en los sistemas automatizados y mantienen un uso muy frecuente de las tecnologas de la informacin, gerentes de proyecto, Ingenieros, etc.

Herramientas de medicin y coleccin de datos para realizar la clasificacin de los usuarios y funcionarios Encuestas y evaluaciones de sondeo al personal tcnico y a los usuarios finales (FORMATO ANEXO anexo 5). Responsabilidad de la planificacin, y aplicacin de los instrumentos de medicin y coleccin de datos - Comit de Migracin - Ver anexo. (CRONOGRAMA ANEXO anexo 6 ) Responsabilidad de la evaluacin de los resultados obtenidos por la aplicacin de los instrumentos de medicin y coleccin de datos - Comit de Migracin. Identificacin de Activos Inventario de Hardware En la etapa de coleccin de informacin se determinar la totalidad de los equipos (hardware), con la finalidad de determinar la cantidad de equipos con el que se contar y poder determinar la compatibilidad de los mismos con el SL, a fin de realizar las adaptaciones pertinentes en cuanto a software se refiere. Adems, se analizar cada recurso de hardware con el que se cuenta, tales como impresoras, datacards, scanners, tarjetas capturadoras, tarjetas firewall, etc., ya que de ello depender que se pueda configurar su funcionamiento con el SL. Clasificacin de compatibilidad de los equipos (Hardware) con el SL El proceso de clasificacin de compatibilidad de dispositivos se llevar a cabo a travs de cuatro niveles diferenciados por colores: COLOR COLOR COLOR COLOR AZUL: Certificado de marca compatible; VERDE: Alta compatibilidad; AMARILLO: compatibilidad no validada; y ROJO: incompatible GNU/Linux/Sin Informacin.

Se utilizar el recurso de Internet para recabar informacin con relacin a la compatibilidad de los diferentes equipos con el SL (ANEXO DE LINKS PAGINAS WEB Anexo 7). Herramientas de coleccin de datos para realizar el inventario del Hardware Se utilizarn los siguientes mtodos para colectar informacin relacionada al Hardware disponible: Un inventario de los equipos (Hardware) disponible en el instituto (FORMATO ANEXO Anexo 8).

Se revisar la documentacin adjunta del computador especficamente en la seccin especificaciones tcnicas.

equipos,

Responsabilidad de la elaboracin del inventario, anlisis y clasificacin de los equipos (Hardware) del instituto - Gerencia de Infraestructura Tecnolgica. Cronograma para la elaboracin del inventario, anlisis y clasificacin de los equipos (Hardware) del instituto - Ver anexo. (CRONOGRAMA ANEXO Anexo) Responsabilidad de la evaluacin de los resultados obtenidos por la aplicacin de los instrumentos de medicin y coleccin de datos - Comit de Migracin. Inventario de Software Se determinar la cantidad de sistemas utilizados en la institucin a travs del levantamiento de informacin, el cual implicar hacer un anlisis completo de los programas instalados en cada una de las Estaciones de Trabajo de la institucin. Al obtener la informacin colectada se identificar los sistemas de uso crtico, necesarios para la operatividad del INAC, de manera de buscar los equivalentes de cada aplicacin en SL y se realizarn pruebas de software en un entorno semejante a la realidad operativa de la institucin, en este momento ya se deber tener certeza (Basada en los anlisis previos del software de los equipos) de los sistemas que deben ser reprogramados o programados totalmente y estimarse los costos de programacin que puede conllevar esto. Inventario de Requerimientos de Soporte Se determinar estas necesidades, funciones y responsabilidades de acuerdo a la fase de capacitacin de los funcionarios de soporte tcnico. Responsabilidad de la determinacin de requerimientos de soporte - Comit de Migracin. Fase II. Capacitacin La capacitacin se impartir en dos niveles: a) Capacitacin del personal tcnico. b) Capacitacin del usuario final. Capacitacin del personal tcnico El objetivo perseguido con la planificacin para la instruccin al personal tcnico en sus diferentes clasificaciones facilitar el proceso de migracin ya que se contar con el capital humano que soportar y mantendr la plataforma antes, durante y despus del proceso de migracin. Programas de capacitacin

Se solicitar el apoyo de instruccin al Centro Nacional de Tecnologas de la Informacin (CNTI), en lo que respecta a dictar la instruccin necesaria para los funcionarios del INAC en sus diferentes clasificaciones en lo que respecta a: Entrenamiento y actualizacin. Entrenamiento sobre aplicaciones de oficina Conocimiento sobre estrategias de migracin e instalacin de SL. Capacitacin de individuos multiplicadores de conocimiento. Este multiplicador se encargar de ser una semilla de conocimiento para capacitar personal interno de la institucin, as se evitar la dependencia de terceros al momento de capacitar. Metodologa de la enseanza para la capacitacin del personal tcnico Fase Comn de Conocimientos Se solicitar al CNTI instruccin adecuada al nivel de destreza de cada uno de los funcionarios tcnicos, relativo: Manejo bsico, medio y avanzado del uso y administracin del sistema operativo GNU/Linux. Instalacin y configuracin del sistema GNU/Linux. Visin general de un sistema GNU/Linux. Visin general del rbol de directorios. Archivos de dispositivos. Utilizacin de discos y otros medios de almacenamiento. Administracin de memoria. Encendido y apagado. Como trabajar en el sistema init. Entrar y salir del sistema. Administrar cuentas de usuario. Copias de seguridad (backup). Configuracin de la hora del sistema. Sistema de Logs. Mecanismos para obtener documentacin y ayuda. Instalacin desde binarios. Compilacin de paquetes desde fuentes.

Adems, la instruccin para el personal tcnico contemplar el uso y configuracin de sistemas de escritorio bajo plataforma GNU/Linux, esto con la finalidad de que el personal pueda brindar un buen soporte hacia el usuario final, los principales puntos a tomar en cuenta en este aspecto son: Configuracin general de un sistema de escritorio. Barra de tareas y mens. Navegacin Web y tareas comunes. Migracin de documentos a entornos libres (hojas de clculo, documentos, mails, etc.).

Fase Especializada de Conocimientos Despus de haber realizado un entrenamiento general, se impartir la instruccin especfica a los tcnicos de acuerdo a su clasificacin: Soporte a usuario final. Administracin de servicios. Desarrolladores de aplicaciones en entornos libres.

Personal de Soporte Tcnico al usuario final: En la fase comn de conocimientos todo el personal tcnico obtendr la capacitacin necesaria para brindar Soporte tcnico al usuario final. Sin embargo y adicionalmente se capacitar al funcionario de esta clasificacin a travs de cursos orientados a conocer: Las diferencias entre distribuciones comerciales y distribuciones libres y la efectiva integracin entre ellas. Intercambio de paquetera y diferencias entre la configuracin y la organizacin de cada una de las distribuciones. Instalacin de distribuciones de GNU/Linux bajo mltiples plataformas. Instalacin de GNU/Linux en conjunto con otros sistemas operativos. Adaptacin de GNU/Linux para tareas especficas. Personal de Administracin de servicios: Para el grupo de Administracin de servicios se adicionar el conocimiento relativo a lo siguiente: Identificar los servicios usados en la institucin. Buscar la mejor alternativa libre, basadas en las mejores prcticas, que puedan reemplazar los servicios actuales de acuerdo a las necesidades de la institucin. Plan de entrenamiento en mejores alternativas libres, basadas en las mejores prcticas, que puedan reemplazar los servicios necesarios en la institucin.

Los cursos debern contar con amplia adaptabilidad a las necesidades del instituto y los requerimientos de capacitacin de las mismas. En caso de que las temticas requeridas por el INAC no se encuentren expresadas en el presente documento se deber elaborar informes sobre la viabilidad de los temas. Estos cursos deben estar orientados a: La administracin de estaciones y servidores basados en GNU/Linux. Contemplar el manejo de las herramientas de auditora, control de usuarios y recursos del sistema. Adaptacin y puesta a punto de servicios de red, manipulacin de dispositivos, diseo de kernel, servicios de monitoreo y seguridad en sistemas. Organizacin interna, creacin de extensiones del sistema e interaccin con otros sistemas operativos. Servidores de Internet y protocolos de intercambio de informacin local y remota. Sistemas de la familia Unix. Uso efectivo del shell y de los entornos grficos. Herramientas de manipulacin de datos especiales y diseo de estrategias de control.

Servidores Web, FTP, Samba, ldap, VNC, NFS, NIS, DNS, DHCP, Pop3, correo electrnico, IRC, firewall, proteccin de redes locales. Distribuciones de GNU/Linux. Puesta a punto de servicios para estaciones y servidores de datos. Servidores Unix, protocolo TCP/IP, servicios de informacin para redes locales y redes de amplia cobertura o de Internet. Cobertura DNS, NIS, DHCP, NFS. Servidores Web, FTP, Pop3, correo electrnico y protocolos auxiliares. Integracin de GNU/Linux en redes heterogneas. Interaccin con diversas plataformas. Adaptacin y optimizacin de servidores GNU/Linux para manejo simultneo de servicios para redes Windows (Samba ofreciendo funciones para remplazar o interactuar con Windows NT). Protocolo IPX para redes Novell, Appletalk para redes de la familia MacOS. Virtual Network Protocol para monitoreo directo de la actividad del escritorio de usuarios de Windows. Estaciones y servidores sin disco duro. Interconexin de redes remotas. Tablas de encaminamiento de datos. Monitoreo de actividades de redes locales. Seguridad y auditora de sistemas. Firewall y proteccin de redes locales ante ataques de redes externas. Bases de datos. Visualizacin de aplicaciones remotas. Seguridad en redes basadas en GNU/Linux. Personal de Desarrollo de aplicaciones en entornos libres: En este caso la capacitacin estar basada en cursos orientados a:

Desarrollar de aplicaciones. Integracin de los sistemas bajo el entorno de programacin GNU/Linux para optimizar los recursos como plataforma de desarrollo. Metodologas de desarrollo de Software Libre. Uso del shells como ambiente de programacin, interaccin con los recursos del sistema, creacin de interfaces de uso y control, desarrollo Web. Compiladores, debuggers, libreras y bibliotecas, lenguajes de programacin C, C++, awk, sed, Perl, lenguajes de programacin literaria TeXPascal, TeXC. Libreras para interfaces bajo Tk/tcl, Gdk/Gtk, LibQt, ncurses, svga libs. Filtros, dispositivos, programacin hacia puertos de hardware externos. Lenguajes de estructuracin y composicin digital de documentos TeX, LaTeX, Metafont, PostScript, DocBook, HTML, SGML. Diseo de BD. Lenguajes de extraccin de datos y de bases de datos SQL.

Capacitacin del usuario final A fin de minimizar el impacto que pudiera causar el cambio de plataforma en los usuarios finales se requerir realizar un plan de capacitacin al usuario final, que permita al mismo familiarizarse y adaptarse con el nuevo sistema de operacin y sus aplicaciones. Asimismo, la capacitacin del usuario final se realizar en dos etapas:

Etapa I:

Tendr como objetivo capacitar al usuario en lo siguiente: Adiestramiento en herramientas ofimticas en software libre (suite OpenOffice). Adiestramiento en herramientas de navegacin en software libre (mozilla firefox). Etapa II: Se llevar a cabo una vez realizado el inventario de software, de esta manera se capacitar al usuario en las aplicaciones equivalentes en SL; a las utilizadas por l en sus labores cotidianas. Esta etapa tambin permitir al usuario familiarizarse con en el entorno de escritorio (Gnomo, KDE). Existen usuarios finales particulares a los que ser necesario capacitar mediante cursos de aplicaciones especficas. Estos cursos estarn orientados a: Uso de software especfico de GNU/Linux. OpenOf ice (Oficina), GIMP (Diseo grfico), Uso del entorno KDE (escritorio), Uso del entorno GNOME, Uso de X Windows (X.org), Uso de Inkscape (Diseo vectorial), Introduccin a la computacin, TeXMetafont, LaTeX, LyX (Tipografa Digital). GNUplot, qCAD, etc.

Responsabilidad de la planificacin para la instruccin de tcnicos y usuarios del INAC en sus diferentes clasificaciones - Comit de Migracin. Cronograma para la instruccin de tcnicos y usuarios del INAC en sus diferentes clasificaciones - Ver anexo. (CRONOGRAMA ANEXO 10) Ente encargado para impartir la instruccin a los tcnicos y usuarios del INAC en sus diferentes clasificaciones - Centro Nacional de Tecnologas de la Informacin (CNTI). Fase III. Migracin Parcial La Migracin Parcial contemplar el combinar el uso de sistemas operacionales propietarios con la instalacin en stos de herramientas de SL que as lo permitan, ir recopilando informacin mediante ensayos, pruebas o investigaciones acerca de las herramientas y aplicaciones de SL que ms se adapten a la plataforma propuesta, identificacin de los servicios ofrecidos a los usuarios y las caractersticas de la plataforma que los soporta. En funcin a esto ser necesario: a) Realizar la instalacin previa de herramientas de SL bajo la plataforma actual del INAC con el fin de realizar una migracin parcial o progresiva de las estaciones de trabajo. Inmediatamente despus de la capacitacin al personal se requiere instalar las herramientas de ofimticas (openoffice) y navegador (mozilla firefox) que sern

enseadas en la capacitacin, esto con el fin de ir progresivamente acostumbrando al personal al uso de estas herramientas de SL y que adquieran destrezas en ellas antes de utilizarlas en un entorno grfico GNU/Linux. Para lo cual, se requiere realizar un plan de migracin masivo de herramientas de ofimtica y navegadores en la Institucin, desinstalando los paquetes de ofimticas y navegadores de licencias propietarias, a fin de eliminar la dependencia del personal al uso de estas herramientas, e instalar las herramientas equivalentes en SL. b) Realizar la creacin de un laboratorio en SL, en el cual se realizarn pruebas, clasificacin e investigacin de compatibilidad con el SL del hardware existente, as como pruebas, clasificacin e investigacin de equivalencias con el SL del software utilizado actualmente. La creacin de un entorno adecuado para efectuar pruebas de compatibilidad de hardware es fundamental para efectuar una migracin exitosa. El objetivo principal de estos laboratorios es llevar a cero los riesgos de incorporacin, migracin o actualizacin de tecnologas libres, para maximizar la continuidad operativa de la institucin y as la ejecucin del plan de desarrollo del pas. c) Realizar un estudio para identificar las caractersticas de los servicios ofrecidos, as como de la plataforma tecnolgica que los soporta con el fin de proceder con la migracin parcial de los servicios. d) Crear Imgenes de SL adaptadas a las necesidades del INAC. Luego de realizar el levantamiento de informacin de hardware y software y despus de haber hecho todas las pruebas requeridas de hardware con SL se proceder a generar las imgenes en el laboratorio de cada uno de los computadores de escritorio y los porttiles existentes en la institucin, una imagen por cada modelo. Se debe instalar la distribucin desde cero con todas las actualizaciones y los paquetes requeridos, en caso de los porttiles hay que tener en cuenta la conexin inalmbrica y dems opciones usadas en los mismos. Aqu se debe tener en cuenta si ser necesario virtualizar algn S.O. o aplicativo de licencia propietaria para generar las imgenes con la mquina virtual instalada y configurada. e) Generacin de servidores de imgenes en SL para facilitar el proceso de migracin. Fase IV. Migracin Total. a) Programacin de herramientas a la medida. En esta parte el personal tcnico debe determinar los requerimientos de la institucin con respecto a sistemas hechos a la medida o aplicaciones que deben ser reprogramadas, tales como: sistemas administrativos, portales, etc. Todas estas aplicaciones deben programarse con herramientas libres y a su vez la aplicacin programada tambin debe ser libre, para esta parte se debe tomar la decisin de si las aplicaciones se programan por equipos de desarrollo interno o se contrata con terceros, para lo cual debe indicarse que el tercero debe entregar el software con licencia GPL. b) Migracin Total de las estaciones de trabajo. c) Migracin Total de los Servicios. Las principales funciones de los servidores son fortalecidas por los servicios descriptos a continuacin: Servidor de correo Servidor Web

Servicio de autenticacin Sistemas Manejadores de Bases de Datos Aplicaciones de seguridad Telefona IP 5. Soporte posterior a la migracin Se refiere a la resolucin de problemas de primer nivel que pueda tener el usuario al momento de operar el equipo ya migrado. Adems, debe existir personal de soporte tcnico encargado de resolver estos problemas. 6. Documentacin de la migracin Se deber documentar todo el proceso paso a paso resaltando las experiencias que se consideren relevantes y que puedan ser de utilidad. Adicionalmente, documentar todas las pruebas realizadas en el laboratorio (pruebas de hardware y pruebas de software), de manera que pueda ser utilizada como material de apoyo y/o referencia. La documentacin de estas pruebas permitir elaborar un manual de procedimientos y/o protocolos de pruebas, para usar en el laboratorio. Asimismo, la documentacin deber realizarse en un formato estndar, donde se detalle: descripcin de la actividad realizada, objetivo y resultados obtenidos, estos servirn como protocolos de pruebas para futuras aplicaciones y hardware que necesite ser verificado. Vulnerabilidades Compatibilidad y disponibilidad del software. Aceptacin por parte del usuario y resistencia al cambio. El costo asociado al entrenamiento y soporte del usuario final. El reto y costo que implica el desarrollo de aplicaciones completamente dependientes de MS Windows. Riesgos Amenazas Nivel de Impacto